Configuración con Azure AD

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio > Definición de Seguridad > Seguridad del Portal de Trabajo > Autenticación del Portal de Trabajo > Autenticación con SAML >

Configuración con Azure AD

Introducción

Bizagi proporciona una aplicación Azure Enterprise que le ayuda a configurar su Azure AD con SSO fácilmente.  Esta sección explica cómo puede configurar la aplicación Enterprise.

 

1. Prerrequisitos

Para configurar Azure AD, como con cualquier Proveedor de Identidad que soporte SAML 2.0, necesita:

 

1.1 Haber generado e importado previamente sus propios certificados.

La integración utiliza los certificados para firmar afirmaciones.

Este paso no está ligado a Bizagi ni restringido por ningún requerimiento especial de Bizagi (normalmente lo hace usted).

Si necesita alguna orientación o un ejemplo sobre este paso, consulte la sección Generación e instalación de certificados.

 

Para seguir estos pasos guiados, es necesario tener certificados importados en su Proveedor de Identidad. Para este ejercicio, usted necesita:

La información del certificado en formato de archivo P12 o .PFX.

La contraseña del archivo del certificado, tal como la definió cuando exportó las claves pública y privada.

 

Azure AD particularmente no exige que los certificados P12 coincidan con la configuración del lado de Azure.

 

Si también va a cifrar afirmaciones, también necesita esta información para otro certificado.

 

note_pin

Deberá encargarse de la gestión de los certificados instalados (realizar un seguimiento de su fecha de caducidad y de otros aspectos de mantenimiento relevantes, como los cambios en los puntos finales de su Proveedor de Identidad).

 

1. 2. Haber importado y sincronizado ya sus usuarios en Bizagi.

Cuando se integra cualquier Administrador de Identidad, es necesario sincronizar las cuentas autorizadas para que puedan acceder al Work Portal de Bizagi.

Sincronizar significa importar o actualizar sólo los identificadores primarios de la cuenta (el dominio más el nombre de usuario típicamente, y la dirección de correo electrónico).

Bizagi no almacena contraseñas cuando se integra un Administrador de Identidad.

 

note_pin

No puede tener dos o más usuarios con el mismo correo electrónico, porque el email se considera como parte del identificador principal.

 

Una vez que usted ha verificado en el Work Portal que ha habido al menos una importación inicial de sus usuarios en Bizagi, puede proceder:

 

125Users13

 

note_pin

En Bizagi, los identificadores únicos para los usuarios son el correo electrónico o la combinación de dominio y nombre de usuario. Recomendamos el uso del correo electrónico en su configuración de Azure como identificador único.

 

2. Configure su proyecto Bizagi

Abra el proyecto Bizagi Studio o el Management Console de su ambiente, y establezca las propiedades de Autenticación:

 

EnterpriseApp_02

 

Configure estos ajustes:

Tipo de Cookie: Defina el tipo de cookie que Bizagi utiliza Persistente o cookies de sesión. El tiempo de espera de la sesión define el tiempo de expiración de las cookies.

Habilitar la encriptación de aserción: Cuando Bizagi envía mensajes al proveedor de identidad, envía dos tipos de aserciones.

 -Solicitud de autenticación: que no tiene información sensible, por lo tanto no está encriptada por definiciones estándar.

 -Solicitud de cierre de sesión: Esta afirmación contiene información sensible, y puede ser encriptada. Si se activa esta propiedad, las solicitudes de cierre de sesión son encriptadas por Bizagi. Asegúrese de que su proveedor de identidad soporta la recepción de la solicitud de cierre de sesión encriptada.

Por otro lado, Bizagi puede manejar cualquier mensaje encriptado enviado por el IdP, incluso si esta propiedad está activada.

Habilitar el registro de autenticación de la base de datos: Marque esta casilla de verificación (marcada como Activada) para dirigir la aplicación web a registrar cada evento de autenticación, de acuerdo con sus requisitos y expectativas de auditoría. Puede ver el registro en el Work portal.

Certificado de cifrado: Utilice el botón Examinar para localizar y cargar el certificado digital (en formato P12 o PFX, que contiene la clave pública y privada) que se utilizará para cifrar las aseveraciones generadas por Bizagi.

Contraseña del certificado de encriptación: Proporcione la contraseña del certificado digital utilizado para la encriptación de las aseveraciones.

Esta contraseña debe coincidir con la que se definió al exportar la información del certificado en formato P12 o PFX.

Forzar la autentificación: Marque esta casilla de verificación (puesta en Activada) para desactivar las capacidades SSO de manera que cada vez que los usuarios intenten ingresar a Bizagi, tengan que proporcionar sus credenciales. El uso de esta opción depende de sus requerimientos y expectativas de autenticación.

Ruta de Archivo de Metadatos del Proveedor de Identidad: Provee la ruta donde se encuentra el archivo de metadatos de Azure AD. Esta ubicación suele ser una URL. Dicha URL en Azure AD se encuentra normalmente en:

https://login.microsoftonline.com/[inquilino]/federationmetadata/2007-06/federationmetadata.xml.

 

Es necesario proporcionar la identificación de su tenant/suscripción (tal como se copió en su portapapeles en los primeros pasos de configuración de Azure AD). Inicialmente, puede usar una metadata ficticita. Por ejemplo puede usar la compañía fictia de microsoft llamada constos usada para pruebas:

 

https://login.microsoftonline.com/contoso.com/FederationMetadata/2007-06/FederationMetadata.xml

 

reconfigurar este parámetro al final del procedimiento de configuración. Consulte Obtener el archivo de metadatos de Azure.

Tiempo muerto de las sesiones: Defina los minutos de inactividad después de los cuales una sesión expira, según sus requisitos y expectativas de autenticación (por ejemplo, 5 minutos).

Nombre de la organización: Proporcione el nombre de su organización. Esto se incluye dentro de los mensajes de solicitud enviados por Bizagi.

URL de la organización: Proporcione la URL del sitio web de su organización. Esto se incluye dentro de los mensajes de solicitud enviados por Bizagi.

Redireccionar a una página de cierre de sesión después del proceso de cierre de sesión: Marque esta casilla si desea redirigir a los usuarios a una página de cierre de sesión estática cuando cierren la sesión.

SAML Protocol Binding for SLO: Recomendamos seleccionar REDIRIGIR como soportado específicamente por Azure.

Vinculación de protocolo SAML para SSO: Recomendamos seleccionar ENVIAR para que haya soporte para mensajes más largos.

URL del proveedor de servicios: Proporcione la URL completa del portal de trabajo de Bizagi.

Para el servicio de Automation, dicha URL utiliza este formato:

https://[ambiente]-[proyecto]-[empresa].bizagi.com/

Para los proyectos on-premises (locales), la URL utiliza este formato:

https://[servidor]/[proyecto]

El URL anterior distingue entre mayúsculas y minúsculas. No introduzca nada para [ambiente]- para que se refiera al ambiente de Producción.

Mostrar mensajes de error de autenticación detallados: Marque esta casilla si desea que los errores de autenticación se muestren de forma detallada cuando se produzcan.

Contraseña del certificado de firma: Proporcione la contraseña del certificado digital utilizado para la firma de afirmaciones.

Esta contraseña debe coincidir con la que definió al exportar la información del certificado en formato P12.

Algoritmo de firma: Seleccione SHA1 o SHA256.

Certificado de firma: Utilice el botón Examinar para localizar y cargar el certificado digital (en formato P12), que contiene la clave pública y privada que se utilizará para firmar las aseveraciones generadas por Bizagi.

Dirección técnica de contacto por correo electrónico: Proporcione una dirección de correo electrónico para el contacto con su empresa en relación con cuestiones técnicas.

Note que los valores que usted provee para las configuraciones están encriptados en Bizagi cuando los guarda.

 

Después de completar este paso, Bizagi genera un archivo metadata.xml. Usted puede usarlo como entrada en el siguiente paso.

 

2.1 Descargue el archivo de metadatos

Antes de configurar Bizagi como proveedor de servicios en su proveedor de identidad, necesita descargar un archivo que contiene los metadatos de la configuración SAML. Este archivo es usualmente requerido por los proveedores de identidad para definir configuraciones predefinidas.

 

Asegúrese de cargar el Certificado de Firma y establezca la Contraseña del Certificado de Firma.

Para descargar el archivo de metadatos, Bizagi tiene los siguientes endpoints:

 

Puede revisar este archivo de metadatos navegando por él:

https://[ambiente]-[proyecto]-[empresa].bizagi.com/saml2/metadata.xml?mode=preview

 

Descargue el archivo introduciéndolo en su navegador:

https://[ambiente]-[proyecto]-[empresa].bizagi.com/saml2/metadata.xml?mode=attachment

 

EnterpriseApp_03

 

 

3. Configure la aplicación Entreprise en Azure AD

Hágalo en las opciones de administración proporcionadas por Azure AD.

 

3.1 Acceda a sus servicios de Azure con una cuenta de usuario con derechos de administrador.

Acceda a su suscripción a Azure con el servicio Azure AD.

Tendrá que registrarse en el portal de Azure en https://portal.azure.com.

 

AzureAD_portal01

 

3.2 Registre la aplicación Enterprise

Abra el Azure AD, y seleccione el menú de Aplicaciones de la Empresa. Haga clic en Nueva aplicación:

 

EnterpriseApp_01

 

Busque la aplicación Bizagi y selecciónela:

 

EnterpriseApp_04

 

3.3 Definir los usuarios que van a ser autentificados en Bizagi usando Azure SSO

Defina los usuarios que van a ser autentificados en Bizagi usando Azure SSO. Ingreselos manualmente o con cualquier grupo predefinido en su Azure AD. Recuerde que los usuarios deben estar registrados en Bizagi.

 

EnterpriseApp_05

 

3.4 Configure las propiedades de Inicio de sesión único

Seleccione el menú Inicio de sesión único y haga clic en la opción SAML:

 

EnterpriseApp_06

 

3.4 Configure el archivo de metadatos

Ahora puede subir el archivo de metadatos descargado en el paso 2.1.

 

EnterpriseApp_07

 

Ingrese el resto de los campos obligatorios:

 

EnterpriseApp_08

 

URL de ingreso: es la URL del Work Portal de Bizagi, por ejemplo,   https://<projectname>-<companyname>.bizagi.com

Identificador (Identificación de la Entidad): es la URL del Work Portal de Bizagi, por ejemplo, https://<projectname>-<companyname>.bizagi.com/saml2/assertionConsumer

Identifier (Entity ID):  es la URL del Work Portal de Bizagi, por ejemplo, https://<projectname>-<companyname>.bizagi.com

Logout URL:es la URL de logout del Work Portal de Bizagi, por ejemplo https://<projectname>-<companyname>.bizagi.com/saml2/logout

 

3.5 Verifique o suba el certificado

Usted debe incluir el certificado de firma de SAML. Si la configuració no tiene un certificado, haga click en Agregar un certificado. y suba el mismo certificado que usó en la configuración de Bizagi.

 

EnterpriseApp_16

 

Si el certificado es configurado correctamente, puede ver sus propiedades. Asegurese que el estado sea activo.

 

EnterpriseApp_17

 

3.6 Defina el Identificador Único de Usuario

Para identificar a los usuarios cuando están siendo autenticados por Bizagi, es necesario definir un Identificador Único. En Bizagi, los identificadores únicos para los usuarios son el correo electrónico o la combinación de dominio y nombre de usuario. Recomendamos establecer el correo electrónico como el Identificador Único. Haga clic en el icono de edición en las opciones de Atributos y Reclamos del Usuario:

 

EnterpriseApp_09

 

Haga clic en el Identificador Único:

 

EnterpriseApp_12

 

Seleccione el formato de dirección de correo electrónico y user.mail como atributo de origen:

 

EnterpriseApp_13

 

3.7 Obtenga la URL de los metadatos

Por último, copie la URL de los metadatos de la Federación de la Aplicación:

 

EnterpriseApp_11

 

note_pin

La URL de metadata URL debe tener el siguiente formato:

 

https://login.microsoftonline.com/<TenantID>/federationmetadata/2007-06/federationmetadata.xml?appid=<applicationID>

 

Es muy importante asegurarse que el parámetro appid esté incluido al final de la URL.

 

Abra su configuración de Autenticación de Bizagi Studio, o usando su Management Console, y pegue la URL:

 

EnterpriseApp_14

 

Ahora, cuando ejecuta el Portal de trabajo, Bizagi muestra la página de inicio de sesión de Azure y los usuarios pueden autenticarse con su Azure AD.

 

note_pin

Recuerde que debe hacer esta configuración en todos sus ambientes, o hacer un deployment de las configuraciones de seguridad en sus ambientes de destino, por ejemplo, test o producción.