Cómo administrar proveedor de identidad

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio Collaboration Services > Suscripción Enterprise > Accediendo a portales y aplicaciones >

Cómo administrar proveedor de identidad

Introducción

Como se explica en Acceso a portales y aplicaciones,, todas las ofertas basadas en la nube de Bizagi, excepto el Portal de Trabajo, se autentican a través de un proveedor de identidad privado (IdP). Este proveedor de identidad permite a los usuarios iniciar sesión en todos los portales de su servicio que se muestran en la imagen a continuación. Bizagi proporciona un proveedor de identidad predeterminado y le permite integrar un proveedor de identidad corporativo adicional como Azure AD u Okta, para que los usuarios puedan iniciar sesión fácilmente con su proveedor de identidad corporativa.

 

Los IdP activos afectan a todos los portales y aplicaciones de los servicios basados en la nube de Bizagi que ha comprado.

 

Esta sección explica cómo puede cambiar el proveedor de identidad de los portales y aplicaciones en la nube.

 

customerportal_120

 

Antes de Empezar

Para cambiar el proveedor de identidad, debe tener acceso al Customer Portal como administrador de la empresa. Consulte Cómo configurar administradores de empresa.

 

Administrar proveedores de identidad

Puede administrar el proveedor de identidad de sus portales basados ​​en la nube desde el Customer Portal. Puede realizar cualquiera de las siguientes acciones:

 

Agregar un autenticador

Activar/desactivar un autenticador

Eliminar un autenticador

Editar las propiedades de un autenticador

Restaurar la configuración por defecto de los protocolos de autenticación

Cambiar los tiempos de expiración de la sesión

Configurar Single Sign On con el proveedor de identidad corporativo

 

Cómo agregar un autenticador

Como administrador de la empresa, acceda al Customer Portal. Haga clic en el icono Configuración y luego abra la sección Protocolos.

Por defecto, encuentra el proveedor de identidad de Bizagi. El nombre de este proveedor de identidad es Accounts. Para agregar otro proveedor de identidad, haga clic en el botón Agregar autenticador y seleccione el protocolo de su IdP.

 

note_pin

Se puede agregar un máximo de un autenticador adicional, por lo que puede tener Bizagi accounts y un autenticador adicional.

 

customerportal_117

 

Puede elegir entre las siguientes opciones

customerportal_118

 

Haga clic en cualquiera de los IdP para ver ejemplos de configuración:

 

Protocolo

Proveedores de Identidad Soportados

SAML 2.0

Usted puede usar cualquier IdP que soporte el protocolo SAML 2.0. Vea Configure Azure AD usando SAML 2.0. o puede ver la configuración general para otros proveedores de soporten SAML 2.0.

Open ID Connect

Usted puede usar Okta, vea un ejemplo de configuración. Otros IdPs no son soportados.

WS-Federation

Los siguientes IdP son soportados usando protocolo WS-Federation:

Azure AD con WS-Federation.

ADFS 3 con WS-Federation.

ADFS 4 con WS-Federation.

Auenticación con Formas (Bizagi Accounts)

Este es el protocolo de autenticación predeterminado que utiliza la autenticación de formularios que ofrece Bizagi. Al agregar un autenticador usando este protocolo, puede configurar las políticas de seguridad.

 

Activar / desactivar un autenticador

Para activar un autenticador debe abrir el menú Protocolos y activar un autenticador. Recuerde que solo un (1) autenticador puede estar activo al mismo tiempo. Antes de activar el nuevo autenticador, revise cuidadosamente sus ajustes de configuración.

 

AzureAD_portal21

 

Cuando activa un protocolo de autenticación un email es enviado al usuario que activa el autenticador.

 

MultipleAuth_6

 

Bizagi muestra un mensaje de advertencia.

 

AzureAD_portal23

 

Eliminar un autenticador

En el menú Protocolos puede encontrar la lista de todos los autenticadores. Puede eliminar los autenticadores no activos haciendo clic en la papelera en el lado derecho de cada autenticador.

 

customerportal_130

 

Editar las propiedades de un autenticador

Puede editar las propiedades del autenticador desde el Customer Portal. Como administrador de la empresa, acceda a las opciones de configuración, seleccione el menú Protocolos y haga clic en el icono Editar en el lado derecho de cada autenticador.

 

customerportal_119

 

Restaurar la configuración por defecto de los protocolos de autenticación

La funcionalidad de recuperación de autenticación de Bizagi permite restaurar Bizagi Accounts como el IdP predeterminado. Por lo tanto, si ya ha configurado varios proveedores de identidad para diferentes dominios, estos se desactivan y Bizagi Accounts se define como IdP para todos los dominios. Esta funcionalidad está disponible solo para usuarios con el rol de Dueño de la Plataforma o Dueño de la suscripción , y se puede ejecutar desde el Customer Portal de dos maneras:

 

A través de la URL de recuperación de autenticación

A través del correo de recuperación

 

URL de recuperación de autenticación

Para ejecutar la función de recuperación de autenticación mediante este método, debe acceder a la URL de recuperación de autenticación de su empresa. La estructura genérica de esta URL es la URL de su cuenta con los caracteres /recovery agregados al final (por ejemplo, https://accounts-mycompany.bizagi.com/recovery). Para describir el flujo del proceso de recuperación de autenticación, se utiliza la cuenta de la empresa wholeproduct. Por lo tanto, la URL de recuperación de autenticación de esta empresa es https://accounts-wholeproduct.bizagi.com/recovery.

 

Una vez haya accedido a la URL de recuperación de autenticación, se muestra la siguiente página:

 

AuthenticationRecoveryFlow_01

 

Ingrese su correo de recuperación, que es la dirección de correo electrónico donde desea recibir el código que permite restaurar la configuración por defecto de los protocolos de autenticación. Una vez lo haya introducido, haga clic en el botón Enviar código de restauración.

 

AuthenticationRecoveryFlow_02

 

Una vez haya hecho clic en el botón Enviar código de restauración, aparece un mensaje en la pantalla que confirma que se ha enviado un código de doce dígitos al correo de recuperación, junto con un campo de texto en el que debe escribir este código para continuar con el proceso de recuperación de autenticación. Adicionalmente, puede encontrar en la parte inferior de la página un botón Reenviar correo que permite enviar nuevamente el código, y se habilita después de que hayan transcurrido 3 minutos desde el primer correo electrónico. Si ha escrito mal el correo de recuperación, puede hacer clic en el enlace Reingresar correo e intentarlo nuevamente junto al botón Reenviar correo, y volver al paso donde este fue ingresado.

 

AuthenticationRecoveryFlow_03

 

 

Si no tuvo problemas especificando el correo de recuperación, debe haber recibido un correo electrónico con el código de recuperación (el código de doce dígitos necesario para continuar con el proceso de recuperación de la autenticación).

 

AuthenticationRecoveryFlow_04

 

Ingrese el código de recuperación en el campo de texto correspondiente y luego haga clic en el botón Confirmar código.

 

AuthenticationRecoveryFlow_05

 

Una vez haya hecho esto, usted es redirigido a la configuración de Protocolos de Autenticación en el Customer Portal, donde puede verificar que Bizagi Accounts se ha definido como IdP para todos los dominios y es el único protocolo activo.

 

AuthenticationRecoveryFlow_06

 

Correo de recuperación

Cuando un usuario activa un nuevo IdP, se envía un correo electrónico a este usuario con instrucciones para restaurar Bizagi Accounts como protocolo de autenticación predeterminado.

 

AuthenticationRecoveryFlow_07

 

El correo electrónico indica que se ha activado un nuevo protocolo de autenticación y muestra un breve resumen del mismo. Este resumen comprende el nombre asignado al protocolo, el protocolo seleccionado, los proveedores de identidad admitidos y la fecha de activación. Junto con la descripción del protocolo, el mensaje especifica la dirección de correo electrónico del usuario que activó el nuevo protocolo e incluye el botón Ir a la página de restauración para acceder a la página de recuperación de autenticación. Una vez que el usuario ha accedido a la página, se deben seguir los pasos descritos en la sección URL de recuperación de autenticación para completar el proceso de recuperación de autenticación.

 

Cambiar los tiempos de expiración de la sesión

Puede definir el tiempo de caducidad de la sesión de cada portal de forma independiente. Cuando el usuario está autenticado, ya sea usando el proveedor de identidad predeterminado o el de su empresa, Bizagi genera un token que se almacena en el navegador del usuario. El token contiene características de la sesión, incluido el tiempo de vencimiento. Bizagi ofrece dos opciones que se pueden configurar en un token:

 

Tokens de acceso por portal

Duración del token de acceso: el token de acceso contiene los permisos que tiene un usuario sobre un portal después de su autenticación. La duración del token de acceso define cuánto tiempo un usuario puede tener una sesión activa válida. Este tiempo debe configurarse lo más breve posible, para evitar que se haya comprometido el acceso a una aplicación en particular.

 

Duración del token de refresh: el token de actualización, por otro lado, se emite junto con el token de acceso, y es responsable de solicitar un token de acceso nuevo cuando el token de acceso existente expira. La duración del Token de actualización es de larga duración y, al menos, debe ser mayor que la duración del Token de acceso.

 

Acceda al Portal del cliente como administrador de la empresa, haga clic en el icono Configuración y abra la sección Hora de vencimiento de las sesiones.

 

customerportal_137

 

Haga clic en el icono de Editar en el lado derecho de cada portal. Puede editar la vida útil del Token de acceso y del Token de actualización.

 

customerportal_138

 

note_pin

El Token de actualización debe ser mayor que el Token de acceso y, por lo general, es significativamente mayor.

 

Token de inicio de sesión único

El inicio de sesión único (SSO) permite a los usuarios acceder a varios portales con una instancia de autenticación. Por ejemplo, puede iniciar sesión en el Portal del cliente y, si usa el mismo navegador, puede acceder a otros portales basados en la nube, como Modeler o una Consola de administración Web. Puede configurar la duración de SSO para definir durante cuánto tiempo un usuario puede acceder a otros portales sin volver a proporcionar las credenciales de autenticación.

 

customerportal_139

 

Configurar Single Sign On con el proveedor de identidad corporativo

Puede configurar la autenticación de todos los usuarios en los servicios de su plataforma en la nube utilizando solo su proveedor de identidad corporativa.

 

Requisitos

•Necesitas dos cuentas de correo electrónico

oSu correo electrónico corporativo (por ejemplo, John@mycompany.com)

oUn correo electrónico con un dominio diferente al de su empresa (por ejemplo, hotmail.com o yahoo.com).

•Ambos usuarios (para cada correo electrónico) deben ser Propietarios de la suscripción, para realizar todas las configuraciones.

 

Para hacerlo, siga estos pasos:

 

1. Inicie sesión en el portal del cliente como propietario de la suscripción. Este usuario puede utilizar posteriormente la opción de recuperación en caso de cualquier problema en la configuración. Si no es propietario de una suscripción, debe pedirle al administrador de la empresa que lo agregue. Consulte Administrar usuarios de suscripción.

2. Agregue un nuevo autenticador.

 

customerportal_117

 

Para obtener más información, consulte Agregar un autenticador.

 

3. En la sección de dominios, incluya su dominio corporativo, por ejemplo, @miempresa.com.

 

MultipleAuth_2

 

4. Cierre sesión en el Portal del cliente.

 

5. Asegúrese de que no haya sesiones activas y elimine todas las cookies.

 

Para Google Chrome.

Para Mozilla.

Para Edge.

 

6. Vuelva a iniciar sesión en el Customer Portal como propietario de la suscripción, utilizando el dominio configurado en el paso anterior (@miempresa.com).

 

note_pin

Si hay problemas, puede utilizar el procedimiento de recuperación. Asegúrese de que el propietario de la suscripción active el procedimiento de recuperación.

 

7. Desactive el autenticador de Bizagi. Abra la sección de autenticadores en el Customer Portal y desactive el autenticador de Bizagi que viene por defecto. Por lo tanto, solo su proveedor de identidad corporativa funciona como autenticador único.

 

CustomerPortal_149

 

8. Una vez desactivado el IdP de Bizagi, haga clic en la opción Editar de ese autenticador (Bizagi Accounts). En la opción de dominios, desactive TODOS LOS DOMINIOS y registre el segundo dominio. Si es necesario, puede registrar un tercer dominio.

 

MultipleAuth_3

 

9. Luego de editar y guardar el proveedor de identidad de Bizagi, actívelo nuevamente.

 

10. Cierre sesión en el Customer Portal.

 

11. Inicie sesión con el dominio alternativo (por ejemplo, yahoo.com).

 

CustomerPortal_1

 

12. Acceda nuevamente a la configuración de los autenticadores. Y desactive el NUEVO autenticador asociado a su empresa.

 

AzureAD_portal21

 

13. Edite el NUEVO autenticador y active la opción TODOS LOS DOMINIOS.

 

 

MultipleAuth_5

 

14. Active el NUEVO autenticador.

 

15. Cerrar sesión. Ahora tu configuración está lista. La próxima vez, cualquier usuario que acceda a cualquier portal basado en la nube de Bizagi será redirigido a la página de inicio de sesión del proveedor de su identidad corporativa.

 

AzureAD