Autenticacion
De
<keywords content="keywords"> autenticacion de windows, autenticacion, autenticacion de Bizagi, opciones de contraseña, contraseña </keywords>
Contenido
|
Autenticación
El módulo de seguridad incluye el componente de Autenticación el cual tiene gran versatilidad en el manejo y validación de usuarios. Tan pronto como un usuario es creado desde el portal de trabajo la autenticación de Bizagi se activa automáticamente.
Para configurar la autenticación, identifique el módulo de Seguridad en Bizagi Studio y de clic en el elemento de Autenticación. Una nueva ventana se desplegará en el área de trabajo con los tipos de autenticación disponibles. Seleccione el que desee y haga clic en el botón de Actualizar.
Las siguientes son los tipos de autenticación que pueden usarse en el Portal de Trabajo o Aplicación web. Para saber más de cómo configurarlos vaya a Cómo Configurar la autenticación
|
Nota: La configuración de Autenticación se lleva a producción en el primer deployment. A partir de eso cada ambiente tendrá configuración independiente. |
Autenticación Windows
Este tipo de autenticación permite a Bizagi automáticamente validar los usuarios contra dominios y máquinas Windows, siempre y cuando el usuario este registrado en Bizagi.
Este módulo no tiene ninguna opción de configuración, lo cual lo hace muy sencillo de usar. Lo único que se debe tener en cuenta es que el usuario este creado en el modulo de administración de usuarios de Bizagi y que este creado como un usuario del dominio de Windows.
De acuerdo con los métodos de autenticación de la aplicación web, la página de login de Bizagi se pueden presentar o no.
En el sitio web Bizagi configurado en el IIS, por defecto se tiene el acceso Anónimo habilitado, y por eso para los usuarios es necesario introducir el nombre, contraseña y dominio en la página de inicio de sesión. Si por el contrario, no se desea presentar la página de login de Bizagi sino que se quiere que Bizagi tome las credenciales de la sesión de Windows, se debe deshabilitar el acceso Anónimo y habilitar la autenticación Integrada de Windows.
Para mayor información y detalle diríjase a Vea mayor información y guía sobre cómo configurar esta opción de autenticación en Bizagi.
Autenticación Bizagi
Mediante esta opción se le indica a Bizagi que éste mismo tiene que manejar la autenticación.
Para esto se deben crear los usuarios, por el modulo de administración, de manera normal y en el campo Contraseña (Password) se les debe colocar la contraseña asignada.
Además se deben configuran ciertas opciones que aparecen como subelementos del elemento de Autenticación, una vez se haya seleccionado este tipo de autenticación.
De click AQUÍ para información de la autenticación de los usuarios Finales en el Portal de usuarios
De click AQUÍ para información de la configuración de la autenticación Bizagi
La autenticación Bizagi tiene las siguientes opciones de configuración:
Opciones
Asunto del correo cuando se envía la clave (Send password notification subject): Define el asunto del correo a enviar cuando se crea una cuenta de correo y se le envía la contraseña al usuario.
Asunto del correo de recordatorio de clave (Password reminder notification subject): Define el asunto del correo a enviar cuando el usuario solicita recordar su clave.
Asunto del correo en caso de una nueva solicitud pendiente (Unlock Request Notification Subject): Define el asunto del correo a enviar al administrador cuando un usuario solicita desbloquear una cuenta.
Cuenta de correo del administrador (User Admin Mail Account): Define el correo del administrador de usuarios de donde se enviaran las notificaciones automáticas. Este también será el correo en donde el Administrador será notificado de las solicitudes para desbloquear una cuenta.
Enviar correo cuando se cree una solicitud pendiente (Send Mail on user Request): Determina si se envía o no una notificación cuando un usuario solicita desbloquear una cuenta.
Forzar cambio contraseña (Enforce password change): Si se activa, la contraseña debe ser cambiada en el primer inicio de sesión.
Habilitar bloqueo de cuentas (Enable lock account): Activar o desactivar si se deben bloquear cuentas cuando el usuario alcance un determinado número de reintentos.
Habilitar Login Rápido (Enable Quick Login): Cuando se habilita, muestra los usuario creados en una lista desplegable. Para iniciar sesión el password no será necesario.
Este menú soporta hasta 100 usuarios. Desde el usuario 101 aparecerá un campo de texto para digitar el nombre del usuario.
La clave necesita contener letras (Password must have letters): Define si se debe o no validar que la clave tenga por lo menos una letra para ser válida.
La clave necesita contener números (Password must have numbers): Define si se debe o no validar que la clave tenga por lo menos un número para ser válida.
Máximo tamaño de la clave (Password maximum length): Define el máximo número de caracteres de la clave para que sea válido (cero si no se necesita tamaño máximo).
Mensaje del correo cuando se envía la clave (Send password notification body): Define el mensaje del correo a enviar cuando se crea una cuenta de usuario y se le envía la contraseña.
Mensaje del correo de recordatorio de clave (Password reminder notification body): Define el mensaje del correo a enviar cuando el usuario solicita recordar su clave.
Mensaje del correo en caso de una nueva solicitud pendiente (Unlock Request Notification Body): Define el mensaje de correo a enviar al administrador cuando un usuario solicita desbloquear una cuenta.
Mínimo tamaño de clave (Password minimum length): Define el numero mínimo de caracteres para que la clave sea válida.
Número máximo de intentos de ingreso (Max logon attempts): Establece un número máximo de reintentos antes de que la cuenta se bloquee.
Registrar todos los eventos de autenticación (Log authentication events): Indica si la aplicación Web debe crear un registro de auditoría de todos los eventos de autenticación.
Sesiones concurrentes (Concurrent Sessions): Si esta activado, restringe el número de sesiones abiertas para una cuenta.
Tiempo de bloqueo de contraseñas (Password block time): Número de días antes que una cuenta que no ha iniciado sesión se bloquee.
Tiempo de expiración de la clave de la cuenta (Password expiration time): Establece un número máximo de días antes de que la clave de una cuenta expire.
Tiempo de servicio para solicitudes pendientes (Pending request service time): Define el tiempo de servicio para procesar una solicitud pendiente de desbloqueo de cuenta.
Tiempo de Sesión (Session time): Número de minutos para que una sesión expire.
Usar pregunta secreta (Use secret question): Si esta activada esta opción visualiza los campos de pregunta y respuesta secreta.
Validar historial de contraseñas (Enforce password history): El número de contraseñas únicas que una cuenta debe tener antes de poder reutilizar alguna.
Validar secuencias en contraseña (Verify password Sequences) : Si se habilita, se validan las secuencias de caracteres en la contraseña.
Autenticación LDAP
Para este tipo de autenticación la información ingresada dentro de la página de login (usuario, contraseña y dominio) es enviada a un servidor LDAP para la verificación.
Las siguientes opciones deben ser configuradas:
AUTHOPTIONS_LDAP_Path: Corresponde a la ruta de acceso al servidor LDAP usando el formato URL LDAP.
AUTHOPTIONS_LDAP_UseIntegration: Cuando Bizagi ha sido configurado previamente para incluir usuarios del Directorio Activo, seleccione esta opción para usar la misma ruta LDAP. Si esta es seleccionada, el valor de la opción inicial será ignorada.
Es necesario que la aplicación web tenga unicamente acceso Anónimo seleccionado como método de autenticación en el IIS para que funcione correctamente.
Autenticación Mixta
Con este tipo de autenticación, es posible configurar dos tipos distintos de autenticación para usuario de disferentes dominios. Uno de los tipos debe ser Autenticación Bizagi y el otro puede ser Autenticación Windows o Personalizada (la autenticación personalizada aplica para la EDICIÓN ENTERPRISE .NET).
Por ejemplo, si una aplicación de Bizagi esta siendo accedida tanto desde Internet como desde la intranet, configure la Autenticación de Bizagi para los usuarios que tienen acceso desde Internet, y Autenticación de Windows para usuarios que acceden a través de la intranet.
Cuando este tipo de autenticación es elegida, configure las siguientes opciones:
Autenticación Bizagi (Bizagi Authentication): como se explicó arriba.
Autenticación Windows/Personalizada (Windows Authentication/Custom Authentication): de acuerdo al valor seleccionado en Otro tipo de autenticación (Other Authentication Type), aqui incluiría las mismas opciones de la Autenticación Personalizada o estaría vacio si se selecciona la Autenticación Windows.
Dominio Bizagi (Bizagi Domain): Nombre del dominio de los usuarios que serán autenticados usando la Autenticación Bizagi.
Otro tipo de Autenticación (Other Authentication Type): Seleccione el otro tipo de autenticación (Windows o Personalizada) que será usada.
Recuerde que la autenticación personalizada aplica para la edición Enterprise .Net.
Autenticación Personalizada (Aplica para la EDICIÓN ENTERPRISE .NET y para la EDICIÓN ENTERPRISE JEE)
|
Nota: La autenticación personalizada para la edición JEE se configura a nivel del servidor de Aplicaciones JEE, por medio de la inclusión de configuraciones adicionales en el módulo JAAS. |
Cuando esta opción esta seleccionada, Bizagi esta informado que la autenticación será manejada por una aplicación externa, desarrollada por otros. Si los datos ingresados por el usuario son enviados a la aplicación y esta devuelve Verdadero (True), Bizagi concederá el acceso. Si retorna Falso (False), el acceso será denegado.
La Autenticación Personalizada tiene las siguientes opciones de configuración:
Clase de autenticación peersonalizada (Custom Authentication Class): Define el nombre de la clase que ejecutará la autenticación personalizada dentro del componente especificado.
Componente de autenticación personalizada (Custom Authentication Component): Define el nombre de la librería (DLL) que ejecutará la autenticación. Esta librería debe estar presente en la carpeta bin de la aplicación o en el GAC.
Componente Personalizado de Autenticación
Cuando la Autenticación Personaliazada se activa, es necesario crear un componente que contiene una clase que debe cumplir con un contrato virtual (esta clase tiene que tener ciertos métodos con parámetros específicos, pero no es una interfaz para reducir el mapeo)
La clase de la autenticación debe tener los siguientes prototipos de funciones:
public bool authenticate(string sDomain, string sUsername, string sPassword, ref string sErrorMessage)
Este método es usado para autenticar al usuario dentro del sistema. El dominio, usuario y contraseña son enviados y un valor Booleano es retornado indicando si la autenticación fue exitosa o no. En el segundo caso el parámetro sErrorMessage debe ser llenado con el error correspondiente.
public void logOff(string sDomain, string sUsername)
Este método es usado para enviar al sistema remoto una notificación que el usuario ha abandonado el sistema, o su sesión ha estado inactiva.
public bool changePassword(string sDomain, string sUsername, string sOldPassword, string sNewPassword, ref string sErrorMessage)
public bool changePassword(string sDomain, string sUsername, string sOldPassword, string sNewPassword, string sSecretQuestion, string sSecretAnswer, ref string sErrorMessage)
Estos dos métodos son usados para enviar al sistema remoto una solicitud para un cambio de contraseña. El segundo método contiene una sobrecarga en donde los datos de una pregunta secreta y la respuesta son adjuntados.
Integrado con Oracle Single-Sign-On (Aplica para la EDICIÓN ENTERPRISE .NET)
Para ser usado cuando existe una integración con Oracle Portal. Bizagi utilizará las mismas credenciales ingresadas por el usuario dentro del Oracle Portal.
Configure las siguientes opciones:
Cadena de Conexión LDAP (LDAP Connection String): Corresponde a la ruta de acceso del servidor LDAP usando el formato de URL LDAP.
Dominio (Domain): Dominio a ser usado para la autenticación.
Propiedad GUID del usuario LDAP (LDAP User GUID Property): Ingrese el nombre de la propiedad GUID, si existe.
Propiedad nombre de usuario LDAP (LDAP username Property): Define qué propiedad en LDAP coincide con el nombre de usario Bizagi.
Usar propiedad GUID (Use GUID property): Habilite esta opción si la propiedad GUID es usada para autenticar.
Usar Opciones de Integración LDAP (Use LDAP Integration Options): Cuando Bizagi ha sido configurado previamente para incluir Directorio Activo de usuarios, encienda esta opción de tal modo que la misma ruta LDAP sea usada. Si esta seleccionada, el valor de la opción de la Cadena de Conexión LDAP será ignorada.
