Introducción
Cuando se usa autenticación Windows en Bizagi, el Portal de Trabajo delega la autenticación a la máquina de Windows en el lado del cliente (basado en la sesión Windows que ya debe haber sudo validada contra un dominio).
Con autenticación Windows, un inicio de sesión exitoso ocurre si la sesión Windows es válida y si el usuario ya ha sido creado en el Portal de Trabajo de Bizagi (Bizagi no almacena contraseñas).
Como la autenticación Windows es un tipo de autenticación integrada, se provee una experiencia Single Sign-On a sus usuarios, siempre y cuando el acceso se de desde un sistema operativo Windows que pertenezca al dominio corporativo (habiéndose autenticado en una sesión válida contra ese mismo dominio).
Esto significa que la página de login no se presentará de manera automática.
Cuando no suceda lo anterior (se acceda desde otro dominio o desde un sistema operativo diferente a Windows, o desde móviles), entonces los usuarios deberán explícitamente ingresar sus credenciales.
|
Esta funcionalidad no es aplicable a Automation Service. Las potenciales ventajas de utilizar autenticación tipo Windows no aplican a Automation Service debido a que la infraestructura por detrás de Automation Service no está incluida en su dominio empresarial. Para una autenticación integrada, con sus sistemas corporativos, y siguiendo mejores prácticas de seguridad y de experiencia de usuario (Single Sign-On), se recomienda utilizar un ADFS o Azure AD con Automation Service. |
|
Si planea utilizar un método de autenticación diferente a Bizagi y está realizando un deployment a un ambiente que no tiene información de usuarios (normalmente es el caso en el primer deployment de un proyecto), siga estos pasos para que pueda configurar adecuadamente sus usuarios y autenticación sin tener problemas para acceder al Portal de Trabajo: 1.Haga el deployment con el método de autenticación establecido como Bizagi. Esto le permite acceder al Portal de Trabajo con el usuario Admon sin proveer credenciales. 2.Una vez haya ingresado al Portal de Trabajo, ingrese manualmente sus usuarios o alternativamente puede utilizar en el método de su elección para sincronizar la información de sus usuarios a la tabla WFUser (SOAP, Sincronización LDAP, Archivo de Excel, o haciendo un procedimiento de sincronización de datos. 3.Haga un IISRESET para que el usuario Admon no pueda acceder al Portal de Trabajo. 4.Después de tener sus usuarios registrados en el Portal de Trabajo, use el Management Console para establecer el método de autenticación al que prefiera y se adecue a sus necesidades.
Si planea usar autenticación LDAP con sincronización periódica de usuarios, puede ignorar los pasos anteriores dado que solo necesitará esperar a que ocurra la siguiente sincronización para que sus usuarios puedan acceder el Portal de Trabajo. |
Prerrequisitos
Al utilizar autenticación tipo Windows asegúrese de:
1. Que su Portal de Trabajo de Bizagi cuente con la configuración en el IIS donde se soporte la autenticación anónima y autenticación Windows. Ver nota al final del artículo.
2. Que los navegadores a emplear para el acceso al Portal de Trabajo soporten la autenticación Windows tal como lo especifica Microsoft.
Esto significa que los navegadores deben a su vez soportar los estándares que permiten una experiencia Single Sing-On para Windows (dado que este tipo de autenticación no usa cookies).
Estos estándares incluyen:
•IWA (Integrated Windows Authentication).
Su soporte le permite evitar la página de login de Bizagi.
•HTTP Negotiate authentication.
•NT Authentication.
•NTLM Authentication.
•Domain authentication.
•Windows NT Challenge/Response Authentication.
|
Cuando no se han registrado todos los usuarios en el dominio local o corporativo, se recomienda tener un tipo adicional de autenticación. Tenga en cuenta que para este escenario, usted puede usar autenticación Windows junto con una autenticación Bizagi local a través de la opción Autenticación Mixta. |
Configuración de la autenticación de Windows
Para configurar la Autenticación Windows, seleccione Windows de la lista desplegable:
Haga clic en el botón Actualizar.
Diligencie o configure estas propiedades:
•Tipo de cookie: define si Bizagi usa cookies persistentes o de sesión. El tiempo de espera para sesiones inactivas es el tiempo de vida para las cookies.
•Mostrar mensajes de error de autenticación detallados: Define si se muestran los errores de autenticación cuando ocurren.
•Habilitar la autenticación de múltiples factores: establezca si habrá autenticación de múltiples factores.
•Habilitar el log de autenticación en la base de datos: Puede seleccionar esta opción para definir que la aplicación web debe registrar todos los eventos de autenticación (visto desde el Portal de Trabajo), de acuerdo a sus requerimientos de auditoría y expectativas.
•Tiempo de espera para sesiones inactivas: defina los minutos para los que una sesión expire. De acuerdo a sus requerimientos y expectativas de autenticación (por ejemplo, 5 minutos).
Si usted desea saltar el paso de inicio de sesión el página, y que Bizagi automáticamente tome las credenciales de sesión de Windows, deberá seguir algunos pasos adicionales en el Servidor Web (IIS) y en los navegadores, tal como se describe en la siguiente sección.
Página de login -inicio de sesión
Cuando se utiliza la autenticación tipo Windows o tipo Mixta (teniendo habilitada la Windows), por defecto Bizagi no mostrará la página de login.
Esto se realiza de manera automática si el usuario es un usuario registrado de Bizagi y se encuentra logueado en la intranet (con las credenciales de Windows apropiadas).
Cuando esta condición anterior no se cumple, entonces la página de login se presenta.
Lo anterior también implica que la autenticación Windows tendrá prioridad sobre la autenticación Bizagi en caso de usar Mixta (lo cuál significa que las credenciales de Windows se identifican primero y se intentan automáticamente en el login).
|
En algunos navegadores como por ejemplo IE, y de acuerdo a la configuración y políticas corporativas de su navegador, usted podrá necesitar configuración adicional para asegurarse de que las credenciales se tomen automáticamente o deberá ingresarlas una primera vez. |
Consideraciones del logout
Tenga en cuenta que al usar Windows Authentication, el cierre de sesión (logout) no se realiza del lado Portal de Trabajo de Bizagi, ya que el navegador web envía automáticamente al IIS las credenciales del usuario de la sesión activa en Windows.
Esto depende únicamente de la configuración del navegador y no se puede configurar del lado del servidor. Este flujo de autenticación es conocido como Integrated Windows Authentication IWA.
Las credenciales de usuario no son enviadas al IIS en los siguientes casos:
1.El navegador está en navegación de incognito y no se ha iniciado sesión por primera vez en el Portal de Trabajo.
2.La configuración del navegador o el sistema operativo exige que las credenciales no sean enviadas automaticamente.
Encuentre más información sobre cómo deshabilitar el envío automático de las credenciales de usuario aquí: https://sso.cisco.com/autho/msgs/disable_IWA.htm.
Importación de usuarios
Para cualquier tipo de autenticación, necesitará asegurar que los usuario están creados en el Portal de Trabajo de Bizagi.
Sin importar el tipo de autenticación seleccionado para el inicio de sesión del Portal de Trabajo, usted puede escoger configurar una programación en Bizagi para importar y sincronizar los usuarios de su proveedor de identidades.
Para obtener más información sobre esta opción, consulte sincronización de usuarios.
Acerca de la autenticación anónima
El motor de Bizagi, como cualquier otra aplicación web moderna, basa su arquitectura en clientes ligeros que consumen servicios web (REST) desde la capa de lógica empresarial.
Bizagi está totalmente comprometido con la seguridad y decide tomar el control de la forma en que se aseguran estos servicios. A través de filtros en las solicitudes y con validaciones en cada servicio, los módulos de autenticación y autorización del Producto garantizan que las diferentes operaciones solo puedan ser ejecutadas por usuarios autorizados.
Los recursos estáticos (html, js, css, imágenes) que conforman la página de inicio de sesión deben exponerse públicamente y sin restricciones, solo en aquellos entornos y configuraciones donde sea necesario mostrarlos: en la aplicación móvil y en la aplicación web cuando está expuesto a internet.
Para lograr esto, es necesario habilitar la autenticación anónima en los Servicios de Internet Information Server, siempre teniendo en cuenta que esta configuración no altera la seguridad de la aplicación, ya que Bizagi no delega la administración de la autorización de sus servicios al IIS. .