Introducción
Como se explica en Acceso a portales y aplicaciones,, todas las ofertas basadas en la nube de Bizagi, excepto el Portal de Trabajo, se autentican a través de un proveedor de identidad privado (IdP). Este proveedor de identidad permite a los usuarios iniciar sesión en todos los portales de su servicio que se muestran en la imagen a continuación. Bizagi proporciona un proveedor de identidad predeterminado y le permite integrar un proveedor de identidad corporativo adicional como Azure AD u Okta, para que los usuarios puedan iniciar sesión fácilmente con su proveedor de identidad corporativa.
Los IdP activos afectan a todos los portales y aplicaciones de los servicios basados en la nube de Bizagi que ha comprado.
Esta sección explica cómo puede cambiar el proveedor de identidad de los portales y aplicaciones en la nube.
Antes de Empezar
Para cambiar el proveedor de identidad, debe tener acceso al Customer Portal como administrador de la empresa. Consulte Cómo configurar administradores de empresa.
Administrar proveedores de identidad
Puede administrar el proveedor de identidad de sus portales basados en la nube desde el Customer Portal. Puede realizar cualquiera de las siguientes acciones:
•Activar/desactivar un autenticador
•Editar las propiedades de un autenticador
•Restaurar la configuración por defecto de los protocolos de autenticación
•Cambiar los tiempos de expiración de la sesión
•Configurar Single Sign On con el proveedor de identidad corporativo
Como administrador de la empresa, acceda al Customer Portal. Haga clic en el icono Configuración y luego abra la sección Protocolos.
Por defecto, encuentra el proveedor de identidad de Bizagi. El nombre de este proveedor de identidad es Accounts. Para agregar otro proveedor de identidad, haga clic en el botón Agregar autenticador y seleccione el protocolo de su IdP.
Puede elegir entre las siguientes opciones
Haga clic en cualquiera de los IdP para ver ejemplos de configuración:
Protocolo |
Proveedores de Identidad Soportados |
|---|---|
SAML 2.0 |
Usted puede usar cualquier IdP que soporte el protocolo SAML 2.0. Vea Configure Azure AD usando SAML 2.0. o puede ver la configuración general para otros proveedores de soporten SAML 2.0. |
Open ID Connect |
Usted puede usar Okta, vea un ejemplo de configuración. Otros IdPs no son soportados. |
WS-Federation |
Los siguientes IdP son soportados usando protocolo WS-Federation: |
Auenticación con Formas (Bizagi Accounts) |
Este es el protocolo de autenticación predeterminado que utiliza la autenticación de formularios que ofrece Bizagi. Al agregar un autenticador usando este protocolo, puede configurar las políticas de seguridad. |
Activar / desactivar un autenticador
Para activar un autenticador debe abrir el menú Protocolos y activar un autenticador. Recuerde que solo un (1) autenticador puede estar activo al mismo tiempo. Antes de activar el nuevo autenticador, revise cuidadosamente sus ajustes de configuración.
Cuando activa un protocolo de autenticación un email es enviado al usuario que activa el autenticador.
Bizagi muestra un mensaje de advertencia.
En el menú Protocolos puede encontrar la lista de todos los autenticadores. Puede eliminar los autenticadores no activos haciendo clic en la papelera en el lado derecho de cada autenticador.
Editar las propiedades de un autenticador
Puede editar las propiedades del autenticador desde el Customer Portal. Como administrador de la empresa, acceda a las opciones de configuración, seleccione el menú Protocolos y haga clic en el icono Editar en el lado derecho de cada autenticador.
Restaurar la configuración por defecto de los protocolos de autenticación
La funcionalidad de recuperación de autenticación de Bizagi permite restaurar Bizagi Accounts como el IdP predeterminado. Por lo tanto, si ya ha configurado varios proveedores de identidad para diferentes dominios, estos se desactivan y Bizagi Accounts se define como IdP para todos los dominios. Esta funcionalidad está disponible solo para usuarios con el rol de Dueño de la Plataforma o Dueño de la suscripción , y se puede ejecutar desde el Customer Portal de dos maneras:
•A través de la URL de recuperación de autenticación
•A través del correo de recuperación
URL de recuperación de autenticación
Para ejecutar la función de recuperación de autenticación mediante este método, debe acceder a la URL de recuperación de autenticación de su empresa. La estructura genérica de esta URL es la URL de su cuenta con los caracteres /recovery agregados al final (por ejemplo, https://accounts-mycompany.bizagi.com/recovery). Para describir el flujo del proceso de recuperación de autenticación, se utiliza la cuenta de la empresa wholeproduct. Por lo tanto, la URL de recuperación de autenticación de esta empresa es https://accounts-wholeproduct.bizagi.com/recovery.
Una vez haya accedido a la URL de recuperación de autenticación, se muestra la siguiente página:
Ingrese su correo de recuperación, que es la dirección de correo electrónico donde desea recibir el código que permite restaurar la configuración por defecto de los protocolos de autenticación. Una vez lo haya introducido, haga clic en el botón Enviar código de restauración.
Una vez haya hecho clic en el botón Enviar código de restauración, aparece un mensaje en la pantalla que confirma que se ha enviado un código de doce dígitos al correo de recuperación, junto con un campo de texto en el que debe escribir este código para continuar con el proceso de recuperación de autenticación. Adicionalmente, puede encontrar en la parte inferior de la página un botón Reenviar correo que permite enviar nuevamente el código, y se habilita después de que hayan transcurrido 3 minutos desde el primer correo electrónico. Si ha escrito mal el correo de recuperación, puede hacer clic en el enlace Reingresar correo e intentarlo nuevamente junto al botón Reenviar correo, y volver al paso donde este fue ingresado.
Si no tuvo problemas especificando el correo de recuperación, debe haber recibido un correo electrónico con el código de recuperación (el código de doce dígitos necesario para continuar con el proceso de recuperación de la autenticación).
Ingrese el código de recuperación en el campo de texto correspondiente y luego haga clic en el botón Confirmar código.
Una vez haya hecho esto, usted es redirigido a la configuración de Protocolos de Autenticación en el Customer Portal, donde puede verificar que Bizagi Accounts se ha definido como IdP para todos los dominios y es el único protocolo activo.
Correo de recuperación
Cuando un usuario activa un nuevo IdP, se envía un correo electrónico a este usuario con instrucciones para restaurar Bizagi Accounts como protocolo de autenticación predeterminado.
El correo electrónico indica que se ha activado un nuevo protocolo de autenticación y muestra un breve resumen del mismo. Este resumen comprende el nombre asignado al protocolo, el protocolo seleccionado, los proveedores de identidad admitidos y la fecha de activación. Junto con la descripción del protocolo, el mensaje especifica la dirección de correo electrónico del usuario que activó el nuevo protocolo e incluye el botón Ir a la página de restauración para acceder a la página de recuperación de autenticación. Una vez que el usuario ha accedido a la página, se deben seguir los pasos descritos en la sección URL de recuperación de autenticación para completar el proceso de recuperación de autenticación.
Cambiar los tiempos de expiración de la sesión
Puede definir el tiempo de caducidad de la sesión de cada portal de forma independiente. Cuando el usuario está autenticado, ya sea usando el proveedor de identidad predeterminado o el de su empresa, Bizagi genera un token que se almacena en el navegador del usuario. El token contiene características de la sesión, incluido el tiempo de vencimiento. Bizagi ofrece dos opciones que se pueden configurar en un token:
Tokens de acceso por portal
Duración del token de acceso: el token de acceso contiene los permisos que tiene un usuario sobre un portal después de su autenticación. La duración del token de acceso define cuánto tiempo un usuario puede tener una sesión activa válida. Este tiempo debe configurarse lo más breve posible, para evitar que se haya comprometido el acceso a una aplicación en particular.
Duración del token de refresh: el token de actualización, por otro lado, se emite junto con el token de acceso, y es responsable de solicitar un token de acceso nuevo cuando el token de acceso existente expira. La duración del Token de actualización es de larga duración y, al menos, debe ser mayor que la duración del Token de acceso.
Acceda al Portal del cliente como administrador de la empresa, haga clic en el icono Configuración y abra la sección Hora de vencimiento de las sesiones.
Haga clic en el icono de Editar en el lado derecho de cada portal. Puede editar la vida útil del Token de acceso y del Token de actualización.
|
El Token de actualización debe ser mayor que el Token de acceso y, por lo general, es significativamente mayor. |
Token de inicio de sesión único
El inicio de sesión único (SSO) permite a los usuarios acceder a varios portales con una instancia de autenticación. Por ejemplo, puede iniciar sesión en el Portal del cliente y, si usa el mismo navegador, puede acceder a otros portales basados en la nube, como Modeler o una Consola de administración Web. Puede configurar la duración de SSO para definir durante cuánto tiempo un usuario puede acceder a otros portales sin volver a proporcionar las credenciales de autenticación.
Configurar Single Sign On con el proveedor de identidad corporativo
Puede configurar la autenticación de todos los usuarios en los servicios de su plataforma en la nube utilizando solo su proveedor de identidad corporativa.
|
Los siguientes pasos aplican para la versión 2.0.5 del Customer Portal o superior. |
Requisitos
Necesita un usuario con permisos como Administrador de la Compañia o como Dueño de la Suscripción, para realizar todas las configuraciones. Este usuario debe estar registrado en el proveedor de identidad que vaya a configurar.
Para hacerlo, siga estos pasos:
1. Inicie sesión en el portal del cliente como propietario de la suscripción. Este usuario puede utilizar posteriormente la opción de recuperación en caso de cualquier problema en la configuración. Si no es propietario de una suscripción, debe pedirle al administrador de la empresa que lo agregue. Consulte Administrar usuarios de suscripción.
2. Agregue un nuevo autenticador.
Para obtener más información, consulte Agregar un autenticador.
3. En la sección de dominios, incluya su dominio corporativo, por ejemplo, @miempresa.com. El dominio debe ser el mismo que se usa en su proveedor de identidad.
4. Active el autenticador que acaba de agregar.
5. Desactive el autenticador de Bizagi. Abra la sección de autenticadores en el Customer Portal y desactive el autenticador de Bizagi que viene por defecto. Por lo tanto, solo su proveedor de identidad corporativa funciona como autenticador único.
6. Cierre sesión en el Portal del cliente.
7. Asegúrese de que no haya sesiones activas y elimine todas las cookies.
8. Vuelva a iniciar sesión en el Customer Portal como propietario de la suscripción, utilizando el dominio configurado en el paso anterior (@miempresa.com).
|
Si hay problemas, puede utilizar el procedimiento de recuperación. Asegúrese de que el propietario de la suscripción active el procedimiento de recuperación. |
9. Ahora tu configuración está lista. La próxima vez, cualquier usuario que acceda a cualquier portal basado en la nube de Bizagi será redirigido a la página de inicio de sesión del proveedor de su identidad corporativa.
