Configuración con Azure AD B2C

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio > Definición de Seguridad > Seguridad del Portal de Trabajo > Autenticación del Portal de Trabajo > Autenticación con SAML >

Configuración con Azure AD B2C

Introducción

Azure AD B2C es un sistema de administración de identidad y accesos que permite a los usuarios utilizar cuentas de redes sociales, empresariales o personales para obtener un inicio de sesión único (SSO) en la aplicación donde se configure.

Este artículo provee una guía paso a paso para la configuración necesaria en Azure AD y en Bizagi, para tener una autenticación intregrada en Bizagi contra Azure AD.

 

 

AzureADB2C_00

 

Una vez haya realizar estos pasos, los usuarios pueden iniciar seción a cualquier servicio basado en la nube directamente con su IdP, como se describe en Iniciar sesión en portales y aplicaciones en la nube.

 

Antes de comenzar

Para configurar Azure AD soportando SAML 2.0, necesita:

 

Contar con un recurso de Azure AD B2C

Crear un Tenant B2C dentro del Azure AD B2C. Para saber cómo crear un Tenant B2C, haga clic aquí.

 

Asociar el protocolo de SAML 2.0 con el B2C.

 

Configure las políticas necesarias para soportar SAML 2.0

Para hacer esto, diríjase a la configuración de su tenant y vaya al Marco de experiencia de identidad.

 

AzureADB2C_02

 

note_pin

Tenga en cuenta que debe estar en la suscripción y en el directorio activo donde el tenant B2C fue creado.

 

Cree las claves de directtiva necesarias para identificar los servicios con los que se va a integrar. Para hacer esto, haga clic en Claves de directiva y después en Agregar.

 

AzureADB2C_03

 

AzureADB2C_04

 

Registre la aplicación SAML en el Azure AD B2C. Para más información sobre cómo registrar una aplicación SAML en su B2C, haga clic aquí.

 

AzureADB2C_10

 

Para saber más sobre claves de directiva personalizadas, haga clic aquí.

 

Generar e importar previamente sus propios certificados.

La integración utiliza los certificados para firmar afirmaciones.

Este paso no está ligado a Bizagi ni restringido por ningún requerimiento especial de Bizagi (normalmente lo hace usted).

Si necesita alguna orientación o un ejemplo sobre este paso, consulte la sección Generación e instalación de certificados.

 

Para seguir estos pasos guiados, es necesario tener certificados importados en su Proveedor de Identidad. Para este ejercicio, usted necesita:

La información del certificado en formato de archivo P12 o .PFX.

La contraseña del archivo del certificado, tal como la definió cuando exportó las claves pública y privada.

 

Azure AD particularmente no exige que los certificados P12 coincidan con la configuración del lado de Azure.

 

Si también va a cifrar aserciones, también necesita esta información para otro certificado.

 

note_pin

Deberá encargarse de la gestión de los certificados instalados (realizar un seguimiento de su fecha de caducidad y de otros aspectos de mantenimiento relevantes, como los cambios en los puntos finales de su Proveedor de Identidad).

 

Registrar usuarios en el Customer Portal

Cuando se integra cualquier Administrador de Identidad, es necesario sincronizar las cuentas autorizadas para que puedan acceder a sus aplicaciones web.

Registrar significa proveer o actualizar los identificadores primarios de la cuenta. El email de la cuenta debe ser el mismo del atributo NameID de la aserción de SAML. Vea Crear usuarios en la compañia.

 

Bizagi no almacena contraseñas cuando se integra un Administrador de Identidad.

 

note_pin

No puede tener dos o más usuarios con el mismo correo electrónico, porque el email se considera como parte del identificador principal.

 

Una vez que usted ha verificado en el Customer Portal que ha habido al menos un registro inicial de sus usuarios en Bizagi, puede proceder.

 

125Users13

 

note_pin

En Bizagi, los identificadores únicos para los usuarios son el correo electrónico o la combinación de dominio y nombre de usuario. Recomendamos el uso del correo electrónico en su configuración de Azure como identificador único.

 

¿Qué necesita hacer?

Para configurar Azure AD B2C en su proyecto, complete los siguientes pasos:

1.Configure su proveedor de identidad en el proyecto de Bizagi.

2.Descargue el archivo de metadatos de Bizagi.

3.Registre una aplicación autorizada en Azure AD B2C.

 

Configuración

Siga los pasos presentados para integrar su Azure AD después de haber creado los usuarios de la empresa:

 

1. Configure su proyecto Bizagi

Abra el proyecto Bizagi Studio o el Management Console de su ambiente, y establezca las propiedades de Autenticación:

 

EnterpriseApp_02

 

Configure estos ajustes:

Tipo de Cookie: Defina el tipo de cookie que Bizagi utiliza Persistente o cookies de sesión. El tiempo de espera de la sesión define el tiempo de expiración de las cookies.

Habilitar la encriptación de aserción: Cuando Bizagi envía mensajes al proveedor de identidad, envía dos tipos de aserciones.

 -Solicitud de autenticación: que no tiene información sensible, por lo tanto no está encriptada por definiciones estándar.

 -Solicitud de cierre de sesión: Esta afirmación contiene información sensible, y puede ser encriptada. Si se activa esta propiedad, las solicitudes de cierre de sesión son encriptadas por Bizagi. Asegúrese de que su proveedor de identidad soporta la recepción de la solicitud de cierre de sesión encriptada.

Por otro lado, Bizagi puede manejar cualquier mensaje encriptado enviado por el IdP, incluso si esta propiedad está activada.

Habilitar el registro de autenticación de la base de datos: Marque esta casilla de verificación (marcada como Activada) para dirigir la aplicación web a registrar cada evento de autenticación, de acuerdo con sus requisitos y expectativas de auditoría. Puede ver el registro en el Work portal.

Certificado de cifrado: Utilice el botón Examinar para localizar y cargar el certificado digital (en formato P12 o PFX, que contiene la clave pública y privada) que se utilizará para cifrar las aseveraciones generadas por Bizagi.

Contraseña del certificado de encriptación: Proporcione la contraseña del certificado digital utilizado para la encriptación de las aseveraciones.

Esta contraseña debe coincidir con la que se definió al exportar la información del certificado en formato P12 o PFX.

Forzar la autentificación: Marque esta casilla de verificación (puesta en Activada) para desactivar las capacidades SSO de manera que cada vez que los usuarios intenten ingresar a Bizagi, tengan que proporcionar sus credenciales. El uso de esta opción depende de sus requerimientos y expectativas de autenticación.

Ruta de Archivo de Metadatos del Proveedor de Identidad: Provee la ruta donde se encuentra el archivo de metadatos de Azure AD. Esta ubicación suele ser una URL. Dicha URL en Azure AD se encuentra normalmente en:

https://login.microsoftonline.com/[inquilino]/federationmetadata/2007-06/federationmetadata.xml.

 

Es necesario proporcionar la identificación de su tenant/suscripción (tal como se copió en su portapapeles en los primeros pasos de configuración de Azure AD). Inicialmente, puede usar una metadata ficticita. Por ejemplo puede usar la compañía fictia de microsoft llamada constos usada para pruebas:

 

https://login.microsoftonline.com/contoso.com/FederationMetadata/2007-06/FederationMetadata.xml

 

reconfigurar este parámetro al final del procedimiento de configuración. Consulte Obtener el archivo de metadatos de Azure.

Tiempo muerto de las sesiones: Defina los minutos de inactividad después de los cuales una sesión expira, según sus requisitos y expectativas de autenticación (por ejemplo, 5 minutos).

Nombre de la organización: Proporcione el nombre de su organización. Esto se incluye dentro de los mensajes de solicitud enviados por Bizagi.

URL de la organización: Proporcione la URL del sitio web de su organización. Esto se incluye dentro de los mensajes de solicitud enviados por Bizagi.

Redireccionar a una página de cierre de sesión después del proceso de cierre de sesión: Marque esta casilla si desea redirigir a los usuarios a una página de cierre de sesión estática cuando cierren la sesión.

SAML Protocol Binding for SLO: Recomendamos seleccionar REDIRIGIR como soportado específicamente por Azure.

Vinculación de protocolo SAML para SSO: Recomendamos seleccionar ENVIAR para que haya soporte para mensajes más largos.

URL del proveedor de servicios: Proporcione la URL completa del portal de trabajo de Bizagi.

Para el servicio de Automation, dicha URL utiliza este formato:

https://[ambiente]-[proyecto]-[empresa].bizagi.com/

Para los proyectos on-premises (locales), la URL utiliza este formato:

https://[servidor]/[proyecto]

El URL anterior distingue entre mayúsculas y minúsculas. No introduzca nada para [ambiente]- para que se refiera al ambiente de Producción.

Mostrar mensajes de error de autenticación detallados: Marque esta casilla si desea que los errores de autenticación se muestren de forma detallada cuando se produzcan.

Contraseña del certificado de firma: Proporcione la contraseña del certificado digital utilizado para la firma de afirmaciones.

Esta contraseña debe coincidir con la que definió al exportar la información del certificado en formato P12.

Algoritmo de firma: Seleccione SHA1 o SHA256.

Certificado de firma: Utilice el botón Examinar para localizar y cargar el certificado digital (en formato P12), que contiene la clave pública y privada que se utilizará para firmar las aseveraciones generadas por Bizagi.

Dirección técnica de contacto por correo electrónico: Proporcione una dirección de correo electrónico para el contacto con su empresa en relación con cuestiones técnicas.

Note que los valores que usted provee para las configuraciones están encriptados en Bizagi cuando los guarda.

 

Después de completar este paso, Bizagi genera un archivo metadata.xml. Usted puede usarlo como entrada en el siguiente paso.

 

2. Descargue el archivo de metadatos

Antes de configurar Bizagi como proveedor de servicios en su proveedor de identidad, necesita descargar un archivo que contiene los metadatos de la configuración SAML. Este archivo es usualmente requerido por los proveedores de identidad para definir configuraciones predefinidas.

 

Asegúrese de cargar el Certificado de Firma y establezca la Contraseña del Certificado de Firma.

Para descargar el archivo de metadatos, Bizagi tiene los siguientes endpoints:

 

Puede revisar este archivo de metadatos navegando por él:

https://[ambiente]-[proyecto]-[empresa].bizagi.com/saml2/metadata.xml?mode=preview

 

Descargue el archivo introduciéndolo en su navegador:

https://[ambiente]-[proyecto]-[empresa].bizagi.com/saml2/metadata.xml?mode=attachment

 

EnterpriseApp_03

 

3. Configure la aplicación Entreprise en Azure AD

 

3.1 Acceda a sus servicios de Azure con una cuenta de usuario con derechos de administrador.

Acceda a su suscripción a Azure con el servicio Azure AD.

Tendrá que registrarse en el portal de Azure en https://portal.azure.com.

 

AzureAD_portal01

 

Asegúrese de estar en la suscripción y en el directorio activo donde el tenant B2C fue creado.

 

AzureADB2C_05

 

3.2 Registre la aplicación

Abra el Azure AD, y seleccione el menú de Registros de aplicaciones. Haga clic en Nuevo registro:

 

AzureADB2C_06

 

De un nombre a su aplicación. Después, seleccióne el tipo de cuentas compatibles. Asegúrese de seleccionar el tenant asociado al B2C. Finalmente, digite la URL de su proyecto.

 

AzureADB2C_07

 

3.3 Cambie el manifiesto de la aplicación

Una vez su aplicación haya sido registrada, ustted podrá verla en el menú de Registros de aplicaciones. Diríjase a la aplicación.

 

AzureADB2C_08

 

En el manifiesto, cambie los siguientes parámetros por los valores a continuación:

identifiersURIs: https://myproject-bizagi.com

logoutURl: https://myproject-bizagi.com/saml2/logout

replyURL withType

ourl: https://myproject-bizagi.com/saml2/assertionConsumer

samlMetadataURL; https://myproject-bizagi.com/saml2/metadata?mode=preview

signInURL: https://myproject-bizagi.com

 

AzureADB2C_09

 

3.4 Obtenga la URL de los metadatos

Diríjase al Marco de experiencia de identidad y abra el archivo llamado TrustFrameWorkBase.

 

AzureADB2C_11

 

Busque el nodo de TechnicalProfile asociado al protocolo SAML. Dentro de este encontrará el IssuerUri, donde se encuentra la metadata asociada al generador de aserciones de SAML configurado en Azure AD B2C

 

AzureADB2C_12

 

Finalmente, agrege el siguiente sufijo a la URL copiada: Samlp/metadata

 

note_pin

La URL de metadata URL debe tener el siguiente formato:

 

https://<B2Ctenant>.b2clogin.com/<B2Ctenant>.onmicrosoft.com/B2C_1A_signup_signin_saml/Samlp/metadata

 

Donde <B2Ctenant> es el nombre de su tenant configurado en el Azure AD B2C active directory.

 

Abra su configuración de Autenticación de Bizagi Studio, o usando su Management Console, y pegue la URL:

 

EnterpriseApp_14

 

Ahora, cuando ejecuta el Portal de trabajo, Bizagi muestra la página de inicio de sesión de Azure y los usuarios pueden autenticarse con su Azure AD.

 

note_pin

Recuerde que debe hacer esta configuración en todos sus ambientes, o hacer un deployment de las configuraciones de seguridad en sus ambientes de destino, por ejemplo, test o producción.