Configuración de usuarios predeterminada

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Automatización de Procesos con poco código > Automation - ambientes de pruebas y producción > Iniciando con Bizagi Automation > Primeros pasos en los portales Cloud > Primera configuración de los ambientes de Prueba y Producción >

Configuración de usuarios predeterminada

Introducción

Por defecto, se entregan dos usuarios por cada uno de sus ambientes en la nube. El primer usuario se conoce como el usuario domain\admon, el cual es empleado por los proyectos de Bizagi como sistema interno. El segundo usuario es entregado específicamente a usted como cliente para que tenga un usuario administrador predeterminado para poder iniciar sesión en el Portal de Trabajo para comenzar a usar su ambiente en la nube. Este segundo usuario lo denominaremos usuario "ambiente vacío" y su propósito es permitirle iniciar sesión inicialmente, si es necesario, en el Portal de Trabajo. Este usuario "ambiente vacío" no debe ser necesario una vez haya implementado sus procesos en producción y tenga su conjunto completo de usuarios reales registrados.

 

Hay recomendaciones importantes de configuración para estos dos usuarios que se describen a continuación, para que las considere en un ambiente de Producción y siga las mejores prácticas de seguridad.

 

Recomendaciones generales de autenticación

Como recomendación general, Bizagi sugiere enfáticamente que los clientes usen autenticación integrada (con su Proveedor de Identidad corporativo). Además de ser una buena práctica para la gestión de usuarios, esta también cubre una primera recomendación básica la cual es deshabilitar el acceso al Portal de Trabajo para estos dos usuarios. Esto se cumple al configurar su proyecto para usar autenticación integrada, con esto, ambos usuarios (domain\admon y "ambiente vacío") pierden acceso al Portal de Trabajo (dado que estos no están definidos en su Proveedor de Identidad).

 

Si usted no va a usar autenticación integrada y desea usar estos usuarios (no recomendado), entonces debe definir una clave segura junto con todas las políticas de seguridad habituales aplicables a las cuentas (tal como no compartir la cuenta, que la contraseña sólo la conozca un usuario y que sea cambiada periódicamente, etc).

 

Recomendaciones de configuración de usuarios

Independientemente de si usa autenticación integrada o no, hay igual recomendaciones para trabajar mejor con estos usuarios:

 

Acerca del usuario domain\admon:

1.Se deben restringir los derechos de acceso o el acceso general de este usuario al Portal de Trabajo. Por ejemplo, el inicio de sesión de este usuario debe estar deshabilitado (cuenta bloqueada) y las entradas de autorización deben también impedir que este usuario trabaje en los procesos.

2.El usuario domain\admon debe estar siempre habilitado en Bizagi (configurado como activo).

 

Acerca del usuario del "ambiente vacío":

1.Se deben restringir los derechos de acceso o el acceso general de este usuario al Portal de Trabajo. Por ejemplo, el inicio de sesión de este usuario debe estar deshabilitado (cuenta bloqueada) y las entradas de autorización deben también impedir que este usuario trabaje en los procesos.

2.El usuario "ambiente vacío" debe estar deshabilitado en Bizagi (configurado como inactivo) una vez tenga otros usuarios registrados en el Portal de Trabajo.

 

¿Cómo lograr estas recomendaciones?

Realice los siguientes pasos para asegurarse de haber aplicado las recomendaciones mencionadas.

 

note_pin

Las siguientes configuraciones pueden cambiar o ser ignoradas cuando la autenticación se realiza con un Proveedor de Identidad externo (autenticación integrada).

 

1. Otorgue derechos de acceso a opciones y procesos a los perfiles de usuario adecuados

Puede hacer esto en Bizagi Studio en el ambiente de Desarrollo. Sin embargo, lo importante es que pueda administrar y revisar estas configuraciones para su ambiente de Producción (a través de la Management Console).

 

Configure los elementos en el módulo de Autorización (sección de Seguridad) asegurándose de autorizar explícitamente sólo los perfiles de usuario adecuados (ya sea por rol o por de grupo de usuarios):

 

defaultUserConfig

 

Dé clic en OK para guardar los cambios hechos.

 

Tenga en cuenta que, aunque debería configurar y revisar todos estos, los elementos más importantes para configurar son: Aplicaciones, Páginas, Nuevos casos y Consultas. Idealmente, ni el usuario domain\admon ni el "ambiente vacío" deben tener autorización para realizar tareas de administrador o para trabajar en procesos en general.

 

note_pin

Asegúrese de que haya al menos un usuario activo y autorizado a administrar usuarios dentro del Portal de Trabajo.

 

2. Forzar contraseñas seguras y políticas de cuentas seguras

Sólo en caso de que use la autenticación de Bizagi en lugar de autenticación integrada, y sólo si desea usar estos dos usuarios predeterminados para iniciar sesión en el Portal de Trabajo (no recomendado), configure los parámetros que hacen cumplir las políticas de seguridad de cuentas y contraseñas (como lo dictan las mejores prácticas de seguridad).

 

defaultUserConfig01

 

La configuración inicial de autenticación es la siguiente:

Máximo número de intentos de inicio de sesión (Antes de bloquear la cuenta): 4.

Duración del bloqueo de la cuenta: 30 minutos.

Fecha de caducidad de la contraseña: 14 días,

Tiempo de espera para el bloqueo de cuentas inactivas: 30 días.

Tiempo de espera para sesiones inactivas: 20 minutos.

 

Políticas de contraseña:

Debe tener al menos una letra.

Debe tener al menos un número.

No debe tener secuencias.

No debe tener de menos de 8 caracteres.

No debe tener más de 12 caracteres.

 

Recomendamos revisar los valores predeterminados y definir explícitamente las siguientes configuraciones:

Forzar el cambio de contraseña por primera vez (Activo).

Autenticación de múltiple factor (Activo).

Forzar el uso de mayúsculas en la contraseña (Activo).

Forzar el uso de minúsculas en la contraseña (Activo).

La clave necesita contener números (Activo).

Forzar el uso de caracteres especiales en la contraseña (Activo).

Tiempo de espera para sesiones inactivas (5-10 minutos).

Mínimo tamaño de contraseña (8 caracteres)

Número máximo de intentos de ingreso (3-4 intentos fallidos).

 

Asegúrese de guardar cada valor modificado.

 

3. Deshabilitar el acceso al Portal de Trabajo y otros

Haga esto directamente en el Portal de Trabajo (esto debe hacerse al menos en el ambiente de Producción). Desde la sección de Usuarios en el menú de Administración de usuarios, considere las siguientes configuraciones para los dos usuarios predeterminados:

 

Primero asegúrese de asignar una contraseña segura para estos usuarios y marque la casilla de Cuenta bloqueada.

 

defaultUserConfig02

 

Luego, en la pestaña de Organización, asegúrese que estos usuarios no tengan asignada la posición de Administrador.

 

defaultUserConfig03

 

Finalmente, en la pestaña de Configuración de usuario, asegúrese que estos usuarios tengan designados los roles y habilidades adecuados de acuerdo con su configuración de autorización (esto generalmente implica que no tengan ningún rol ni habilidad).

 

Para el usuario domain\admon, es muy importante que esté marcado como Activo (el usuario "ambiente vacío" puede ser marcado como inactivo tan pronto como tenga otros usuarios).

 

defaultUserConfig04

 

Recuerde guardar sus cambios antes de cerrar la ventana.

Después de esto, puede comprobar que el usuario domain\admon no puede iniciar sesión en su Portal de Trabajo, pero los temporizadores y otras tareas automáticas son realizadas por Bizagi.

 

note_pin

Asegúrese de que haya al menos un usuario activo y autorizado para administrar usuarios dentro del Portal de Trabajo.

Last Updated 7/18/2023 9:43:02 AM