Sincronizando usuarios usando Azure AD

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio > Definición de Seguridad > Seguridad del Portal de Trabajo > Sincronización de usuarios > Sincronizar usuarios con métodos REST de SCIM >

Sincronizando usuarios usando Azure AD

Introducción

La integración entre aplicaciones en la nube exige una administración robusta de identidades para su autenticación. Además de los protocolos de autenticación que puede utilizar, es importante centralizar la información de los usuarios para facilitar la gestión de identidad y reducir la redundancia de la información.

 

Los directorios activos han sido un enfoque común para centralizar la información de los usuarios dentro de las organizaciones. Sin embargo, una variedad de aplicaciones basadas en la nube ha expuesto un desafío en la gestión de identidades cuando las aplicaciones se ejecutan en diferentes dominios.

 

Bizagi ahora ofrece una integración con Azure AD utilizando el sistema para el protocolo de administración de identidad entre dominios (SCIM). Este protocolo proporciona una API REST que permite a los administradores de Azure AD administrar identidades de usuario en Bizagi y puede crear, leer o eliminar usuarios en la tabla WFUser a través de este servicio. Esta integración permite la centralización de la administración de usuarios sin aplicaciones de terceros, lo que reduce los puntos de falla y aumenta la gobernabilidad de múltiples aplicaciones basadas en la nube utilizadas en las organizaciones. El protocolo se basa en modelos comerciales de autenticación, autorización y privacidad, lo que hace que esta integración sea flexible para nuestros clientes de la oferta en la nube de Bizagi.

 

Prerequisitos

La sincronización de usuarios usando SCIM solo está disponible para proyectos de Bizagi usando Automation Service (nube) o usando Automation Server (on-premises) usando una base de datos SQL.

 

Configuración

SCIM se basa en el protocolo OAuth 2.0 para autenticar Bizagi como una aplicación confiable en Azure AD. Por lo tanto, debe crear un token de portador desde el portal de trabajo de Bizagi. Tenga en cuenta que necesita generar este token para cada entorno donde se necesita la sincronización de usuarios entre Azure AD y Bizagi.

 

Generación de token de portador

Abra el Portal de trabajo como usuario con permisos para administrar aplicaciones OAuth 2.0. Haga clic en el menú Admin, seleccione la opción de Seguridad, y luego haga clic en Aplicaciones OAuth 2.0:

 

SCIM1

 

Agregue una nueva aplicación haciendo clic en el botón Agregar, luego cree una aplicación con las siguientes propiedades:

Tipo de acceso: Bearer token

Alcance permitido: API y SINCRONIZACIÓN DE USUARIO (USER SYNC)

Tiempo de vida del token: Defina este parametro en 0 para que el token nunca se venza. De lo contrario, tendrá que reconfigurar su aplicación en Azure AD cada vez que el token expire.

 

SCIM2

 

Puede copiar el Client Secret como su token.

 

SCIM3

 

Azure AD Configuration

 

Prerrequisitos

Su cuenta de Azure AD debe ser una cuenta de edición Premium.

Necesita una cuenta de administrador global.

 

Aprovisionamiento

1. Abra Azure Portal como administrador global y acceda a su Azure Active Directory.

2. Agregar una Nueva aplicación.

 

SCIM4

 

Busque Bizagi y seleccione Bizagi Studio for Process Automation.

 

SCIM9

 

3. Dé un nombre a su aplicación y haga clic en crear.

 

SCIM10

 

4. Acceda al menú Administrar y haga clic en Aprovisionamiento.

5. Seleccione el modo de aprovisionamiento Automático.

6. Registre las siguientes credenciales de administrador:

 

URL del tenant: Ingrese el punto final SCIM de Bizagi con esta estructura:

        [Your_Bizagi_Project]/scim/v2/

        Ejemplo: https://my-company.bizagi.com/scim/v2/

Token secreto: El Client Secret como el token de portador, generado en Aplicaciones OAuth 2.0 dentro del Portal de Trabajo de Bizagi.

 

SCIM11

 

7. Haga clic en Probar conexión y espere un mensaje de confirmación.

8. Registre el email de notificación una persona o un grupo que reciba notificaciones en caso de errores. Revise que este marcada la casilla de Enviar email cuando ocurran fallos. Finalmente, haga clic en Guardar.

 

Mapeo de atributos

Debe configurar la asignación de atributos de usuario entre Azure AD y la tabla WFUser. Para hacer eso Abra las opciones de Mapeo en el módulo Aprovisionamiento:

 

SCIM13

 

Haga clic en Sincronizar usuarios de Azure Active Directory.

 

SCIM15

 

Luego elimine todos los atributos predeterminados y deje los siguientes atributos:

 

Atributo Azure AD

Atributo en Bizagi

Observaciones

originalUserPrincipalName

userName

El dominio y el usuario no puede superar los 25 caracteres; de lo contrario, el usuario no está sincronizado.

Switch([IsSoftDeleted], , "False", "True", "True", "False")

active

Un usuario no activo se considera un usuario inexistente. Por lo tanto no está sincronizado.

mail

emails[type eq "work"].value

Este es un campo obligatorio.

displayName

name.formatted

Este es un campo obligatorio.

mobile

phoneNumbers[type eq "mobile"].value

 

 

La configuración tiene el siguiente aspecto:

 

SCIM16

 

Usted también puede usar el correo electrónico como un Identificador único (userName en Bizagi) cuando se sincronicen usuarios:

 

EnterpriseApp_15

 

note_pin

Usar el user.mail como el Identificador único en el nombre de usuario puede ser útil cuando usa la configuración de SSO usando la Aplicación Bizagi Enterprise. Consulte Uso de la aplicación Bizagi Enterprise en Azure.

 

Propiedades personalizadas de usuario

En Bizagi puede crear propiedades de usuario personalizadas. Consulte Cómo crear propiedades de usuario. Para obtener información sobre cómo asignar estas propiedades de usuario personalizadas al sincronizar usuarios desde Azure AD, consulte Cómo asignar propiedades de usuario personalizadas.

 

Scope de Sincronización

Seleccione el scope de sincronización, donde puedes escoger todo el directorio activo, o solamente los usuarios incluidos dentro de usuarios o grupos de la aplicación Enterprise.

 

SCIM20

 

Habilitando la sincronización

Para habilitar la sincronización de usuarios con Bizagi debe abrir las opciones de Aprovisionamiento, activar el estado de Aprovisionamiento y hacer clic en Guardar.

 

SCIM19

 

Después de guardar, Azure AD inicia la sincronización de usuario inicial según su scope. Esto dura más que los ciclos posteriores porque es la primera sincronización de usuarios.

 

Supervisión de la sincronización de usuarios

Azure proporciona registros y herramientas para monitorear la sincronización de usuarios con Bizagi, ofreciendo las siguientes opciones:

 

Barra de progreso

Puede revisar la barra de progreso de aprovisionamiento:

 

SCIM23

 

Logs de Auditoría

Vea los logs de auditoría en las opciones de aprovisionamiento.

 

SCIM24

 

Logs de aprovisionamiento

Puede revisar los logs de aprovisionamiento de Azure AD. Para más información haga clic aquí.

 

SCIM22

 

Solución de problemas

Azure AD maneja su propia memoria caché. Si tiene problemas y algunos usuarios no se sincronizan, especialmente después de cambios en su ambiente de Desarrollo o Pruebas, le recomendamos que elimine la aplicación en Azure AD y vuelva a crearla.

 

Consideraciones

La sincronización de grupos y roles no es compatible.

Para desactivar usuarios, debe ACTUALIZAR la información del usuario y establecer el atributo Activo como falso.

Azure usa una memoria caché que almacena los usuarios creados usando Azure AD con SCIM. Estos usuarios se consideran como usuarios "existentes" y, por lo tanto, solo se actualizan después de la actualización de la información de cualquier usuario. Si se crea un usuario manualmente en Bizagi (por ejemplo, desde el Portal de Trabajo), este usuario no existirá en la memoria caché de Azure. Por lo tanto, si luego incluye al usuario en Azure Active Directory, se creará como uno nuevo porque no existe en el caché de Azure. Sin embargo, esto generará un error de sincronización debido a que ya existe en Bizagi.