Sincronizando usuarios usando Azure AD

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio > Definición de Seguridad > Seguridad del Portal de Trabajo > Sincronización de usuarios > Sincronizar usuarios con métodos REST de SCIM >

Sincronizando usuarios usando Azure AD

Introducción

La integración entre aplicaciones en la nube exige una administración robusta de identidades para su autenticación. Además de los protocolos de autenticación que puede utilizar, es importante centralizar la información de los usuarios para facilitar la gestión de identidad y reducir la redundancia de la información.

 

Los directorios activos han sido un enfoque común para centralizar la información de los usuarios dentro de las organizaciones. Sin embargo, una variedad de aplicaciones basadas en la nube ha expuesto un desafío en la gestión de identidades cuando las aplicaciones se ejecutan en diferentes dominios.

 

Bizagi ahora ofrece una integración con Azure AD utilizando el sistema para el protocolo de administración de identidad entre dominios (SCIM). Este protocolo proporciona una API REST que permite a los administradores de Azure AD administrar identidades de usuario en Bizagi y puede crear, leer o eliminar usuarios en la tabla WFUser a través de este servicio. Esta integración permite la centralización de la administración de usuarios sin aplicaciones de terceros, lo que reduce los puntos de falla y aumenta la gobernabilidad de múltiples aplicaciones basadas en la nube utilizadas en las organizaciones. El protocolo se basa en modelos comerciales de autenticación, autorización y privacidad, lo que hace que esta integración sea flexible para nuestros clientes de la oferta en la nube de Bizagi.

 

Prerequisitos

La sincronización de usuarios usando SCIM solo está disponible para proyectos de Bizagi usando Automation Service (nube) o usando Automation Server (on-premises) usando una base de datos SQL.

 

Configuración

SCIM se basa en el protocolo OAuth 2.0 para autenticar Bizagi como una aplicación confiable en Azure AD. Por lo tanto, debe crear un token de portador desde el portal de trabajo de Bizagi. Tenga en cuenta que necesita generar este token para cada entorno donde se necesita la sincronización de usuarios entre Azure AD y Bizagi.

 

Generación de token de portador

Abra el Portal de trabajo como usuario con permisos para administrar aplicaciones OAuth 2.0. Haga clic en el menú Admin y luego abra Aplicaciones OAuth 2.0:

 

SCIM1

 

Agregue una nueva aplicación haciendo clic en el botón Agregar, luego cree una aplicación con las siguientes propiedades

Tipo de acceso: Bearer token

Alcance permitido: API y SINCRONIZACIÓN DE USUARIO

 

SCIM2

 

Puede copiar el secreto del cliente como su token.

 

SCIM3

 

Azure AD Configuration

 

Prerrequisitos

Su cuenta de Azure AD debe ser una cuenta de edición Premium.

Necesita una cuenta de administrador global.

 

Aprovisionamiento

1. Abra Azure Portal como administrador global y acceda a su Azure Active Directory.

2. Agregar una nueva aplicación.

 

SCIM4

 

Busque Bizagi y seleccione Bizagi Studio for Process Automation.

 

SCIM9

 

3. Dé un nombre a su aplicación. y haga clic en crear

 

SCIM10

 

4. Acceda al menú Administrar y haga clic en Aprovisionamiento.

5. Seleccione el modo de aprovisionamiento automático.

6. Registre las siguientes credenciales de administrador

 

URL del tenant: Ingrese el punto final SCIM de Bizagi con esta estructura:

        [Your_Bizagi_Project]/scim/v2/

        Ejemplo: https://my-company.bizagi.com/scim/v2/

Token secreto: El Client Secret como el token de portador, generado en las aplicaciones OAuth 2.0 en el portal de trabajo de Bizagi.

 

SCIM11

 

7. Haga clic en Probar conexión y espere un mensaje de confirmación.

8. Registre el email de notificación una persona o un grupo que reciba notificaciones en caso de errores. Revise que este marcada la casilla de Enviar email cuando ocurran fallos. luego de clic en Guardar.

 

Mapeo de atributos

Debe configurar la asignación de atributos de usuario entre Azure AD y la tabla WFUser. Para hacer eso Abra las opciones de Mapeo en el módulo Aprovisionamiento:

 

SCIM13

 

Haga clic en Sincronizar usuarios de Azure Active Directory.

 

SCIM15

 

Luego elimine todos los atributos predeterminados y deje los siguientes atributos:

 

Atributo Azure AD

Atributo CustomAppsSO

Observaciones

userPrincipalName

userName

El dominio y el usuario no puede superar los 25 caracteres; de lo contrario, el usuario no está sincronizado.

Switch([IsSoftDeleted], , "False", "True", "True", "False")

active

Un usuario no activo se considera un usuario inexistente. Por lo tanto no está sincronizado.

userPrincipalName

emails[type eq "work"].value

Este es un campo obligatorio.

givenName

name.givenName

Este es un campo obligatorio.

surname

name.familyName

 

Join(" ", [givenName], [surname])

name.formatted

 

mobile

phoneNumbers[type eq "work"].value

 

 

La configuración tiene el siguiente aspecto:

 

SCIM16

 

Usted también puede usar el correo electróni?? como un Identificador único (userName en Bizagi) cuando se sincronicen usuarios:

 

EnterpriseApp_15

 

note_pin

Usar el user.mail como el Identificador único en el nombre de usuario puede ser útil cuando usa la configuración de SSO usando la Aplicación Bizagi Enterprise. Consulte Uso de la aplicación Bizagi Enterprise en Azure.

 

Propiedades personalizadas de usuario

También puede mapear las propiedades de usuario personalizadas configuradas en Bizagi. Para hacer eso, seleccione la casilla de verificación Mostrar opciones avanzadas y haga clic en Editar lista de atributos para Bizagi.

 

SCIM17

 

Cada propiedad personalizada debe ser precedida por el siguiente prefijo:

 

urn:ietf:params:scim:schemas:extension:bizagi:2.0:UserProperties:

 

Por ejemplo, si una propiedad se llama IdentificationNumber el atributo debe ser agregado así:

 

urn:ietf:params:scim:schemas:extension:bizagi:2.0:UserProperties:IdentificationNumber

 

SCIM18

 

Para más información acerca de mapeos personalizados haga clic acá.

 

note_pin

En el mapeo de propiedades de usuario personalizado, solo se pueden mapear propiedades de tipo básico, por ejemplo, strings, int, boolean o date. No se admiten las propiedades vinculadas a tablas paramétricas o múltiples.

 

Seleccione el scope de sincronización, donde puedes escoger todo el directorio activo, o solamente los usuarios incluidos dentro de usuarios o grupos de la aplicación Enterprise.

 

SCIM20

 

Habilitando la sincronización

Para habilitar la sincronización de usuarios con Bizagi debe abrir las opciones de Aprovisionamiento y activar el estado de Aprovisionamiento y hacer clic en Guardar.

 

SCIM19

 

Después de guardar Azure AD, se inicia la sincronización de usuario inicial según su scope. Esto dura más que los ciclos posteriores porque es la primera sincronización de usuarios.

 

Supervisión de la sincronización de usuarios

Azure proporciona registros y herramientas para monitorear la sincronización de usuarios con Bizagi. Tienes las siguientes opciones

 

Barra de progreso

Puede revisar la barra de progreso de aprovisionamiento:

 

SCIM23

 

Logs de Auditoría

Vea los logs de auditoría en las opciones de aprovisionamiento.

 

SCIM24

 

Logs de aprovisionamiento

Usted puede revisar los logs de aprovisionamiento de Azure AD. Para más información haga clic acá.

 

SCIM22

 

Consideraciones

La sincronización de grupos y roles no es compatible

Para desactivar usuarios, debe ACTUALIZAR la información del usuario y establecer el atributo Activo como falso.

La primera vez que sincronice usuarios utilizando el protocolo SCIM, debe reiniciar su servidor Bizagi BPM.