Introducción
Bizagi proporciona una aplicación Azure Enterprise que le ayuda a configurar su Okta con SSO fácilmente. Esta sección explica cómo puede configurar la aplicación Enterprise.
Una vez hayan realizado estos pasos, los usuarios pueden iniciar sesión a cualquier servicio basado en la nube directamente con su IdP, como se describe en Iniciar sesión en portales y aplicaciones en la nube.
Para configurar el proveedor de identidad, siga estos pasos:
1. Generar certificados para firmar afirmaciones (obligatorio)
A continuación se explica cómo generar el certificado de seguridad desde el Customer Portal:
|
Deberá encargarse de la gestión de los certificados instalados (realizar un seguimiento de su fecha de caducidad y de otros aspectos de mantenimiento relevantes, como los cambios en los puntos finales de su Proveedor de Identidad). |
Crear un Certificado de Autenticación
En el Customer Portal puede generar certificados de seguridad implementados en los Protocolos de Autenticación. Esta función, le permite crear y configurar un nuevo certificado o cargar uno existente en el Customer Portal. Para configurar el Inicio de Sesión Único y acceder al Customer Portal, inicia sesión en tu cuenta con el rol de Administrador de la Empresa. Este rol de usuario permite crear usuarios en el grupo de usuarios de la empresa y administrar usuarios en todas las suscripciones de la empresa. Para obtener información adicional sobre la gestión del Portal del Cliente y los roles, consulta:
•Ingresando la primera vez a una suscripción Enterprise
•Configurar un IdP con SAML 2.0 en el Customer Portal
•Administrar usuarios de la compañia
Para crear un certificado de seguridad dentro del Customer Portal, siga estos pasos:
1.Seleccione el ícono de Configuracion ubicado en el menú del panel izquierdo.
2.Un panel se expande desde la izquierda con todos los temas relacionados con la seguridad. Seleccione la opción Certificados de autenticación.
3.Dentro de esta sección, hay una lista de certificados con detalles como Nombre, Descripción, Fecha de vencimiento, Propietario y Fecha de creación y su fuente de creación. En la esquina superior derecha, seleccione el botón Agregar certificado.
4.Se abre la ventana Adicionar un nuevo certificado de autenticación para crear el nuevo certificado de seguridad y debe completar los siguientes campos:
a.Nombre a Mostrar.
b.Descripción
c.Seleccione la opción Generate (para crear un nuevo certificado) o Upload (para cargar un certificado existente) para el botón de alternancia.
d.Fecha de vencimiento
e.Contraseña del certificado
Cuando seleccione la opción Generate, configure la Fecha de vencimiento y asigne una Contraseña del certificado. Si selecciona la opción Upload, debe subir los archivos de certificados digitales en formato PFX o P12 y luego seleccionar el tipo de algoritmo a implementar entre SHA256 y SHA1. Por último, ingrese la contraseña del certificado.
5.Una vez que se hayan ingresado todos los campos, haga clic en Guardar en la esquina superior derecha.
Después de crear el certificado, aparecerá un mensaje en la esquina inferior derecha que indica que se ha guardado exitosamente.
Para administrar el certificado de seguridad generado en el Customer Portal, consulte la documentación Gestión de Certificados de Autenticación.
Gestión de Certificado de Autenticación
Usted puede gestionar el certificado de Autenticación mediante la descarga o eliminación de este.
2. Registrar una aplicación autorizada en Okta
Abra el portal Okta como administrador, seleccione la sección Aplicaciones y cree una nueva Integración de aplicaciones.
Seleccione SAML 2.0.
De un nombre a la aplicación.
Configure los siguientes parámetros.
Endpoints
•Single sign on URL: Esta es la destinación de la respuesta SAML. https://accounts-<companyname>.bizagi.com/saml2/assertionConsumer
•Use this for Recipient URL and Destination URL: active esta opción.
•Audience URI (SP Entity ID): Es la URL de Bizagi usada para autenticación. https://accounts-<companyname>.bizagi.com
•Default RealyState: Déjelo vació.
•Name ID format: EmailAddress
•Application username: Email
Habra las opciones avanzadas y configure los siguientes parámetros:
•Response: Seleccione Signed.
•Assertion Signature: Seleccione Signed.
•Signature Algorithm: Recomendamos usar RSA-SHA256. El mismo valor debe configurarse en el Customer Portal.
•Digest Algorithm: Recomendamos usar RSA-SHA256.
•Assertion Encryption: Opcional, si seleccione Encrypted necesita un certificado.
•Encryption Algorithm: Seleccione AES256-CBC si usted activa Assertion Encryption.
•Key Transport Algorithm: Seleccione RSA-1.5 si usted activa Assertion Encryption..
•Encryption Certificate: suba el certificado de encripción en formato in cer o crt.
•Enable Single Logout: Seleccione Allow application to initiate Single Logout.
•Single Logout URL: Es la URL de logout de Bizagi https://accounts-<companyname>.bizagi.com/saml2/logout
•SP Issuer: Es la URL usada para autenticación con el siguiente formato. https://accounts-<companyname>.bizagi.com
•Signature Certificate: suba el certificado de en formato in cer o crt. El mismo certificado debe subirse en el Customer Portal.
•Authentication context class: Seleccione PasswordProtectedTransport.
•Honor force authentication: Seleccione Yes.
•SAML Issuer ID: Deje el valor por defecto.
Haga clic en Siguiente, y luego Finalizar.
Abra la pestaña de asignaciones (Assignments) y seleccione usuarios o grupos de usuarios que van a ser autenticados usando esta aplicación.
Finalmente, obtenga la metadata de URL. Abra la pestaña de Sing On, y haga clic en Identity Provider Metadata.
Copie la URL en la pestaña del navegador que se abre, debe tener el siguiente formato:
https://[company].okta.com/app/[id]/sso/saml/metadata
3. Configure su IdP en el Customer Portal
Después de configurar la aplicación en Okta, ahora debe acceder al Portal del Cliente de Bizagi y registrar el Proveedor de Identidad. Siga los pasos en Configurar un IdP SAML 2.0 en el Portal del cliente.
Para probar su configuración, recomendamos cerrar las sesiones activas de los usuarios y abrir una nueva pestaña en modo incógnito, o usar un navegador diferente. Si falla la configuración con un nuevo IdP, puede restaurar el protocolo de autenticación.
Solución de problemas
En caso de que el autenticador falle puede revisar
•Solución de problemas en intercambio de mensajes SAML
Last Updated 7/14/2023 2:13:29 PM