Introducción
La integración entre aplicaciones en la nube exige una administración robusta de identidades para su autenticación. Además de los protocolos de autenticación que puede utilizar, es importante centralizar la información de los usuarios para facilitar la gestión de identidad y reducir la redundancia de la información.
Los directorios activos han sido un enfoque común para centralizar la información de los usuarios dentro de las organizaciones. Sin embargo, una variedad de aplicaciones basadas en la nube ha expuesto un desafío en la gestión de identidades cuando las aplicaciones se ejecutan en diferentes dominios.
Bizagi ahora ofrece una integración con Azure AD utilizando el sistema para el protocolo de administración de identidad entre dominios (SCIM). Este protocolo proporciona una API REST que permite a los administradores de Azure AD administrar identidades de usuario en Bizagi y puede crear, leer o eliminar usuarios en la tabla WFUser a través de este servicio. Esta integración permite la centralización de la administración de usuarios sin aplicaciones de terceros, lo que reduce los puntos de falla y aumenta la gobernabilidad de múltiples aplicaciones basadas en la nube utilizadas en las organizaciones. El protocolo se basa en modelos comerciales de autenticación, autorización y privacidad, lo que hace que esta integración sea flexible para nuestros clientes de la oferta en la nube de Bizagi.
Prerequisitos
La sincronización de usuarios usando SCIM solo está disponible para proyectos de Bizagi usando Automation Service (nube) o usando Automation Server (on-premises) usando una base de datos SQL.
Configuración
SCIM se basa en el protocolo OAuth 2.0 para autenticar Bizagi como una aplicación confiable en Azure AD. Por lo tanto, debe crear un token de portador desde el Portal de Trabajo de Bizagi. Tenga en cuenta que necesita generar este token para cada entorno donde se necesita la sincronización de usuarios entre Azure AD y Bizagi.
Generación de token de portador
Abra el Portal de Trabajo como usuario con permisos para administrar aplicaciones OAuth 2.0. Haga clic en el menú Admin, seleccione la opción de Seguridad, y luego haga clic en Aplicaciones OAuth 2.0:
Agregue una nueva aplicación haciendo clic en el botón Agregar, luego cree una aplicación con las siguientes propiedades:
•Tipo de acceso: Bearer token
•Alcance permitido: API y SINCRONIZACIÓN DE USUARIO (USER SYNC)
•Tiempo de vida del token: Defina este parametro en 0 para que el token nunca se venza. De lo contrario, tendrá que reconfigurar su aplicación en Azure AD cada vez que el token expire.
Puede copiar el Client Secret como su token.
Azure AD Configuration
Prerrequisitos
•Su cuenta de Azure AD debe ser una cuenta de edición Premium.
•Necesita una cuenta de administrador global.
Aprovisionamiento
1. Abra Azure Portal como administrador global y acceda a su Azure Active Directory.
2. Agregar una Nueva aplicación.
Busque Bizagi y seleccione Bizagi Studio for Process Automation.
3. Dé un nombre a su aplicación y haga clic en crear.
4. Acceda al menú Administrar y haga clic en Aprovisionamiento.
5. Seleccione el modo de aprovisionamiento Automático.
6. Registre las siguientes credenciales de administrador:
•URL del tenant: Ingrese el punto final SCIM de Bizagi con esta estructura:
[Your_Bizagi_Project]/scim/v2/
Ejemplo: https://my-company.bizagi.com/scim/v2/
•Token secreto: El Client Secret como el token de portador, generado en Aplicaciones OAuth 2.0 dentro del Portal de Trabajo de Bizagi.
7. Haga clic en Probar conexión y espere un mensaje de confirmación.
8. Registre el email de notificación una persona o un grupo que reciba notificaciones en caso de errores. Revise que este marcada la casilla de Enviar email cuando ocurran fallos. Finalmente, haga clic en Guardar.
Mapeo de atributos
Debe configurar la asignación de atributos de usuario entre Azure AD y la tabla WFUser. Para hacer eso Abra las opciones de Mapeo en el módulo Aprovisionamiento:
Haga clic en Sincronizar usuarios de Azure Active Directory.
Luego elimine todos los atributos predeterminados y deje los siguientes atributos:
Atributo Azure AD |
Atributo en Bizagi |
Observaciones |
|---|---|---|
originalUserPrincipalName |
userName |
El dominio y el usuario no puede superar los 25 caracteres; de lo contrario, el usuario no está sincronizado. |
Switch([IsSoftDeleted], , "False", "True", "True", "False") |
active |
Un usuario no activo se considera un usuario inexistente. Por lo tanto no está sincronizado. |
emails[type eq "work"].value |
Este es un campo obligatorio. |
|
displayName |
name.formatted |
Este es un campo obligatorio. |
mobile |
phoneNumbers[type eq "mobile"].value |
|
La configuración tiene el siguiente aspecto:
Usted también puede usar el correo electrónico como un Identificador único (userName en Bizagi) cuando se sincronicen usuarios:
|
Usar el user.mail como el Identificador único en el nombre de usuario puede ser útil cuando usa la configuración de SSO usando la Aplicación Bizagi Enterprise. Consulte Uso de la aplicación Bizagi Enterprise en Azure. |
Propiedades personalizadas de usuario
En Bizagi puede crear propiedades de usuario personalizadas. Consulte Cómo crear propiedades de usuario. Para obtener información sobre cómo asignar estas propiedades de usuario personalizadas al sincronizar usuarios desde Azure AD, consulte Cómo asignar propiedades de usuario personalizadas.
Scope de Sincronización
Seleccione el scope de sincronización, donde puedes escoger todo el directorio activo, o solamente los usuarios incluidos dentro de usuarios o grupos de la aplicación Enterprise.
Habilitando la sincronización
Para habilitar la sincronización de usuarios con Bizagi debe abrir las opciones de Aprovisionamiento, activar el estado de Aprovisionamiento y hacer clic en Guardar.
Después de guardar, Azure AD inicia la sincronización de usuario inicial según su scope. Esto dura más que los ciclos posteriores porque es la primera sincronización de usuarios.