Introducción
Bizagi soporta integración con sistemas de administración de identidad y accesos que cumplen con SAML 2.0, como Microsoft ADFS.
Esta sección es una guía paso a paso de la configuración necesaria, tanto en ADFS como en Bizagi, para tener una autenticación intregrada en Bizagi contra Microsoft ADFS.
Nótese que para usar SAML 2.0, se requiere que su IdP esté configurados para soportar HTTPS.
Prerrequisitos
Para configurar ADFS soportando SAML 2.0, necesita:
Una versión instalada, completamente configurada y soportada de ADFS
Bizagi soporta ADFS versión 3.0 o 4.0
Si desea usar una versión diferente, que soporte SAML 2.0, se recomienda revisarlo primero con nuestro equipo de soporte.
1. Generar certificados para firmar afirmaciones (obligatorio)
A continuación se explica cómo generar el certificado de seguridad desde el Customer Portal:
|
Deberá encargarse de la gestión de los certificados instalados (realizar un seguimiento de su fecha de caducidad y de otros aspectos de mantenimiento relevantes, como los cambios en los puntos finales de su Proveedor de Identidad). |
Crear un Certificado de Autenticación
En el Customer Portal puede generar certificados de seguridad implementados en los Protocolos de Autenticación. Esta función, le permite crear y configurar un nuevo certificado o cargar uno existente en el Customer Portal. Para configurar el Inicio de Sesión Único y acceder al Customer Portal, inicia sesión en tu cuenta con el rol de Administrador de la Empresa. Este rol de usuario permite crear usuarios en el grupo de usuarios de la empresa y administrar usuarios en todas las suscripciones de la empresa. Para obtener información adicional sobre la gestión del Portal del Cliente y los roles, consulta:
•Ingresando la primera vez a una suscripción Enterprise
•Configurar un IdP con SAML 2.0 en el Customer Portal
•Administrar usuarios de la compañia
Para crear un certificado de seguridad dentro del Customer Portal, siga estos pasos:
1.Seleccione el ícono de Configuracion ubicado en el menú del panel izquierdo.
2.Un panel se expande desde la izquierda con todos los temas relacionados con la seguridad. Seleccione la opción Certificados de autenticación.
3.Dentro de esta sección, hay una lista de certificados con detalles como Nombre, Descripción, Fecha de vencimiento, Propietario y Fecha de creación y su fuente de creación. En la esquina superior derecha, seleccione el botón Agregar certificado.
4.Se abre la ventana Adicionar un nuevo certificado de autenticación para crear el nuevo certificado de seguridad y debe completar los siguientes campos:
a.Nombre a Mostrar.
b.Descripción
c.Seleccione la opción Generate (para crear un nuevo certificado) o Upload (para cargar un certificado existente) para el botón de alternancia.
d.Fecha de vencimiento
e.Contraseña del certificado
Cuando seleccione la opción Generate, configure la Fecha de vencimiento y asigne una Contraseña del certificado. Si selecciona la opción Upload, debe subir los archivos de certificados digitales en formato PFX o P12 y luego seleccionar el tipo de algoritmo a implementar entre SHA256 y SHA1. Por último, ingrese la contraseña del certificado.
5.Una vez que se hayan ingresado todos los campos, haga clic en Guardar en la esquina superior derecha.
Después de crear el certificado, aparecerá un mensaje en la esquina inferior derecha que indica que se ha guardado exitosamente.
Para administrar el certificado de seguridad generado en el Customer Portal, consulte la documentación Gestión de Certificados de Autenticación.
2. Configure su IdP en el Customer Portal
Después de configurar la aplicación en Azure AD, ahora debe acceder al Portal del Cliente de Bizagi y registrar el Proveedor de Identidad. Siga los pasos en Configurar un IdP SAML 2.0 en el Portal del cliente.
3. Configurar Bizagi como Proveedor de Servicios en ADFS
Realice esto entrando a las opciones de administración de ADFS.
3.1. En su servidor ADFS, abra la consola para su administración.
3.2. Inicie la creación de un tercero de confianza.
Puede hacer esto desde las opciones de tercero de confianza (Relying party trust) que le permitirá usar su asistente de configuración con un clic derecho.
Seleccione atento a solicitdues, y Haga clic en Iniciar.
3.3. Seleccione la fuente de datos.
Para configurar el tercero como se describe, seleccione Importar datos del tercero desde un archivo para navegar al archivo de metadata generado por Bizagi. Después de configurar el proveedor de identidad en el portal de clientes de Bizagi, debe generar el archivo de metadatos. Consulte Descargar el archivo de metadatos.
Dé clic en Siguiente al terminar.
3.4. Ingrese un nombre único.
Dé un nombre para desplegar esta configuración y para su conveniencia.
3.5. Seleccione la autorización de emisión.
Seleccione la opción Permitir el acceso a todos los usuarios del tercero y dé clic en Siguiente cuando haya terminado.
Se le presentará un resumen de la información a establecer para el tercero de confianza, incluyendo la que viene del archivo de metadata de Bizagi.
Dé clic en Siguiente cuando haya terminado.
También puede revisar el algoritmo establecido (use SHA1 o SHA256), asegúrese de que coincida con el que haya seleccionado en Bizagi (lo puede revisar en la vista Avanzada).
3.6. Abra el editor de reglas de recogida.
Antes de cerrar la configuración actual, asegúrese de seleccionar la opción Abrir el editor de reglas de notificación para el tercero de confianza cuando se cierre el asistente.
Luego puede dar clic en Cerrar.
3.7. Haga clic derecho en el Party Trust creado y luego seleccione Editar una Política de definición de reclamo.
Defina una nueva regla de recogida dando clic en Añadir regla.
Asegúrese de que puede enviar el UPN, la dirección de correo electrónico y el nombre como información dentro de la reclamación que se pasa al Customer Portal.
Por ejemplo, puede crear una nueva regla de notificación seleccionando la plantilla Enviar atributos LDAP como notificaciones:
Haga clic en Siguiente.
Configure la regla dándole un nombre, e incluyendo explícitamente:
•Almacén de atributos: Attribute Directory.
•Mapeo de los atributos del LDAP a los tipos de reclamación salientes, incluyendo:
oUser-Principal-Name mapeado a UPN
oEmail-Addresses mapeado a E-mail Address.
|
Bizagi considera las siguientes prioridades en las aserciones: 1. UPN 2. Email
Tanto la UPN como la dirección de email deben estar en el siguiente formato: [name]@[provider].[domain]. Por ejemplo: john.smith@mycompany.com. |
Para el tipo de notificación UPN asegúrese de que el email se defina como el nombre del usuario.
Haga clic en Terminar.
Debería tener una regla de notificación registrada para su configuración específica de la relación de confianza para usuario autenticado.
Una vez que haya verificado que esto es correcto, haga clic en Aceptar.
Establecer el algoritmo de hash seguro en ADFS 3
Si está utilizando ADFS 3, asegúrese de que el algoritmo de hash seguro sea SHA-256. Para cambiar eso, haga clic con el botón derecho en el cliente creado anteriormente y seleccione propiedades. Haga clic en la pestaña Avanzado y seleccione SHA-256 como Algoritmo hash seguro.
Pasos adicionales para certificados auto-firmados
Si emitió e instaló certificados auto-firmados para su ADFS (para firmar y encriptar mensajes), entonces deberá realizar lo siguiente:
1.Acceda a su servidor ADFS y abra la consola PowerShell.
2.Entre el siguiente comando:
Get-AdfsRelyingPartyTrust -Identifier [relying_party_trust] | Set-AdfsRelyingPartyTrust
-SigningCertificateRevocationCheck None -EncryptionCertificateRevocationCheck None
Considere que debe cambiar [relying_party_trust] de acuerdo al nombre único dado en la configuración anterior (cuando registro Bizagi como tercero de confianza).
Para probar su configuración, recomendamos cerrar las sesiones activas de los usuarios y abrir una nueva pestaña en modo incógnito, o usar un navegador diferente. Si falla la configuración con un nuevo IdP, puede restaurar el protocolo de autenticación.
Solución de problemas
En caso de que el autenticador falle puede revisar
•Solución de problemas en intercambio de mensajes SAML
Last Updated 7/14/2023 2:01:14 PM