Consideraciones sobre certificados para autenticación SAML 2.0

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Administrar usuarios de la plataforma y su autenticación > Administrar proveedores de identidad para suscripciones Enterprise > Configuración de Inicio de sesión único > Autenticación de portales Cloud con SAML 2.0 > Requisitos de Autenticación >

Consideraciones sobre certificados para autenticación SAML 2.0

Introducción

El protocolo de autenticación SAML requiere que administre certificados. Hay dos usos para los certificados: para firmar las aserciones de SAML y para cifrar las aserciones. Esta sección ofrece algunas consideraciones relacionadas con la gestión de estos certificados.

 

Consideraciones acerca de los certificados

Usted puede usar certificados generados desde Bizagi en el Customer Portal, certificados firmados por una autoridad de certificación (CA publica o local) o certificados autofirmados. Si utiliza certificados autofirmados, es importante que el certificado se cree con los siguientes requisitos:

 

El certificado debe estar en formato de archivo .P12 o .PFX. Este formato contiene tanto la llave privada como la pública y necesita una frase de contraseña para abrir.

La contraseña para el archivo de certificado, tal como la definió cuando exportó las llaves pública y privada.

Asigne al certificado la fecha de caducidad máxima permitida en su organización.

Los siguientes parámetros son recomendados, sin embargo no son obligatorios:

oParámetros del sujeto (subject)

Nombre común o nombre de dominio completo (CN), por ejemplo, www.example.com.

Nombre de la organización (O)

Código de país (C)

Código de ciudad (L)

oNombre alternativo del sujeto (SAN). Por ejemplo, nombre DNS = * miempresa.com

 

note_pin

Debido a que los certificados tienen fechas de vencimiento, es muy importante que realice un seguimiento de la fecha de vencimiento. De lo contrario, si el certificado caduca sin renovarlo, los usuarios NO podrán acceder al portal web usando el proveedor de identidad SAML usando ese certificado.

 

Sobre el formato P12

El formato .P12 o .PFX es un archivo cifrado que abarca tanto las llaves públicas como privadas. Al generar estos certificados debe incluir una contraseña para que esta se utilice para descifrar su contenido.

 

CustomerPortal_153

 

Este certificado se utiliza para firmar afirmaciones SAML2, por lo tanto, las llaves públicas y privadas se utilizarán para cifrar los mensajes salientes y descifrar los mensajes entrantes.

 

Debe utilizar archivos .P12 para dos propósitos:

Firma de aserciones SAML2 (uso obligatorio)

Cifrar mensajes (uso opcional)

 

Cómo crear certificados auto-firmados

Usted puede generar certificados desde el Portal del Cliente o consultar la Emisión de certificados autofirmados para obtener información sobre cómo crear certificados.

 

Preguntas más frecuentes

¿El certificado es para fines de HTTPS / TLS?

No, este certificado es solo para firmar y cifrar afirmaciones SAML2. En nuestros servicios en la nube, HTTPS / TLS ya está implementado.

 

¿Tener un certificado representa un costo extra?

No, puede confiar en una CA local o en certificados autofirmados.

 

¿Usar un certificado autofirmado es menos seguro?

No para efectos de firma porque este certificado no está expuesto al público, por lo que no representa una vulnerabilidad. Solo se usa para firmar mensajes en el nivel de la aplicación según la lógica SAML2.

 

¿El uso de un certificado depende del proveedor de identidad?

No, siempre necesitará un certificado y cargarlo en el Customer Portal de Bizagi al configurar CUALQUIER proveedor de identidad.

 

Generar certificados de autenticación en el Customer Portal

En el Customer Portal puede generar certificados de seguridad implementados en los Protocolos de Autenticación. Esta función, le permite crear y configurar un nuevo certificado o cargar uno existente en el Customer Portal. Una vez se haya creado el certificado, puede visualizar todos sus detalles en la sección Certificados de Autenticación, donde puede eliminarlo o descargarlo.

 

En el artículo Certificados de Autenticación, aprenderá a crear los certificados de seguridad junto con algunas restricciones y configuraciones de protocolo.

 

Restricciones y Consideraciones para certificados de autenticación generados en el Customer Portal

1.Esta función solo está disponible para el ambiente de subscripción Enterprise.

2.Una vez se haya generado el certificado no puede ser editado dada su naturaleza inmutable.

3.Cuando un certificado caduca, es necesario crear uno nuevo y configurarlo con el mismo protocolo que se estaba utilizando previamente.

4.Internamente, se utiliza el algoritmo SHA256 en los certificados autogenerados dado que es el más seguro y recomendable.

 


Last Updated 7/7/2023 2:50:56 PM