Configurar la MFA para ADFS

Active Directory Federation Services (ADFS) es una solución de inicio de sesión único para Active Directory que permite a los usuarios iniciar sesión en sistemas y aplicaciones externos con sus credenciales de Active Directory. Proporciona a los usuarios una experiencia de inicio de sesión único cuando inician sesión en las aplicaciones web de su organización.

Con el agente ADFS de AuthPoint, puede agregar la autenticación multifactor (MFA) a ADFS para mayor seguridad. Para hacer esto, debe agregar un recurso ADFS en la AuthPoint management UI e instalar el agente ADFS en su servidor ADFS.

Para usar la MFA con ADFS, debe tener instalado la AuthPoint Gateway. Si aún no ha instalado la AuthPoint Gateway, consulte Acerca de las Gateway.

Para que los usuarios de Active Directory utilicen la AuthPoint MFA con ADFS, debe mantener el valor predeterminado de sAMAccountName para el atributo relacionado con el inicio de sesión del usuario cuando configure su identidad externa.

Configurar un Recurso ADFS

En la AuthPoint management UI:

  1. En el menú de navegación de AuthPoint, seleccione Recursos.
    Se abre la página Recursos en la AuthPoint management UI.
  2. En la lista desplegable Seleccionar un tipo de recurso, seleccione ADFS. Haga clic en Agregar.

  1. En el cuadro de texto Nombre, ingrese un nombre descriptivo para el recurso.

  1. Haga clic en Guardar.
  2. Agregue el recurso ADFS a sus políticas de autenticación existentes o agregue nuevas políticas de autenticación para el recurso ADFS. Las políticas de autenticación especifican en qué recursos se pueden autenticar los usuarios y qué métodos de autenticación pueden utilizar. Para obtener más información, consulte Acerca de las Políticas de Autenticación de AuthPoint.

Agregar el Recurso ADFS a su Configuración de Gateway

Para usar la MFA con ADFS, debe tener la AuthPoint Gateway instalada y debe asociar su recurso ADFS con la AuthPoint Gateway. La AuthPoint Gateway es el punto de comunicación entre AuthPoint y su servidor ADFS.

Si aún no ha instalado la AuthPoint Gateway, consulte Acerca de las Gateway.

Para agregar su recurso ADFS a la configuración de su AuthPoint Gateway:

  1. Desde el menú de navegación de AuthPoint, seleccione Gateway.
  2. Haga clic en el Nombre de su Gateway.

  1. En la sección ADFS, en la lista Seleccionar un recurso ADFS, seleccione su recurso ADFS.

  1. Haga clic en Guardar.

Asoció correctamente su recurso ADFS con su Gateway. El siguiente paso es descargar e instalar el agente ADFS.

Descargar e Instalar el Agente ADFS

Debe descargar el archivo de configuración de la Gateway a la que está asociado su recurso ADFS, luego debe descargar e instalar el agente ADFS.

Su Gateway debe estar instalada y disponible cuando instale el agente ADFS.

  1. Desde el menú de navegación de AuthPoint, seleccione Descargas.
  2. En la sección ADFS, haga clic en Descargar Instalador. Debe tener un recurso ADFS y su Gateway instalada debe ser la versión 4.0.0 o superior para descargar el archivo de configuración.
  3. Haga clic en Descargar Configuración para descargar el archivo de configuración. Si tiene varias Gateways, se le pedirá que seleccione a qué Gateway está asociada su recurso ADFS.
  4. Mueva el agente ADFS y el archivo de configuración al servidor ADFS.
  5. Ejecute el agente ADFS.

Configurar su Servidor

Después de instalar el agente ADFS, debe habilitar la MFA en ADFS para grupos específicos. La MFA solo funciona para los usuarios que son miembros de los grupos ADFS que seleccionó y miembros de los grupos AuthPoint con una política de autenticación para su recurso ADFS.

Los pasos para habilitar la MFA para grupos ADFS son diferentes en función de si tiene un servidor Windows 2012r2 o un servidor Windows 2016.

  1. Abra las Herramientas Administrativas.
  2. Seleccione Administración de AD FS.

  1. Seleccione Políticas de Autenticación.
  2. En la sección Métodos de Autenticación Multifactor, haga clic en Editar para configurar la MFA globalmente. Para configurar la MFA por parte de confianza, haga clic en Administrar.

  1. En la ventana Editar Política de Autenticación Global, haga clic en Agregar.

  1. En la ventana Seleccionar Usuarios o Grupos, escriba el nombre de los grupos LDAP para habilitar la MFA.
  2. Haga clic en Aceptar.

  1. En la ventana Editar Política de Autenticación Global, en la sección de métodos de autenticación adicionales, seleccione Autenticación Multifactor de WatchGuard.
  2. Haga clic en Aplicar.

Después de la configuración, la Administración de AD FS mostrará los usuarios/grupos y el método de autenticación seleccionado.

  1. Abra Herramientas Administrativas;
  2. Seleccione Administración de AD FS.

  1. Seleccione Servicio > Métodos de Autenticación.
  2. En la sección Métodos de Autenticación Multifactor, haga clic en Editar.

  1. En la ventana Editar Métodos de Autenticación, seleccione Autenticación Multifactor de WatchGuard. Haga clic en Aplicar.

La MFA ahora es necesaria para que los usuarios accedan a los recursos ADFS. Para configurar la MFA solo para usuarios específicos, debe crear una política de control de acceso para un grupo de AD con esos usuarios.

  1. (Opcional) Cree un grupo de AD para los usuarios que deben utilizar la MFA. Si ya tiene un grupo, no es necesario que cree otro.
  2. Seleccione Políticas de Control de Acceso.
  3. Haga clic en Agregar Política de Control de Acceso.
  4. En el cuadro de texto Nombre, escriba Permitir a todos, pero requerir la MFA para grupos específicos.
  5. Escriba una Descripción.
  6. Haga clic en Agregar.
  7. En la ventana Editor de Reglas, configure estos permisos:
    • Permitir usuarios excepto del Dominio\<su grupo de AD>
    • Permitir usuarios de Dominio\<su grupo de AD> y requerir la autenticación multifactor
  8. Haga clic en Aceptar para guardar la configuración.
  9. Seleccione Relación de Confianza para Usuario Autenticado.
  10. Haga clic con el botón derecho en una relación de confianza y seleccione Editar Política de Control de Acceso.
  11. Seleccione la política que acaba de crear.
  12. Haga clic en Aceptar. Reinicie el servicio ADFS.

Autenticación con ADFS

Cuando la MFA está configurado para ADFS, los usuarios deben autenticarse cuando acceden a las aplicaciones web de su organización. Cuando un usuario navega a una aplicación web, es redirigido a la página SSO de ADFS donde debe proporcionar sus credenciales de AD y autenticarse con la MFA.

Para autenticarse a través de ADFS:

  1. Navegue a una aplicación web externa.
    Se lo redirige a la página SSO de ADFS.
  2. En el cuadro de texto Nombre de usuario, escriba su nombre de usuario o correo electrónico. Los nombres de usuario deben tener el formato usuario@dominio o dominio\\usuario.
  3. En el cuadro de texto Contraseña, escriba su contraseña.
  4. Haga clic en Iniciar sesión.
  5. En la sección Opciones de Inicio de Sesión, seleccione una opción de autenticación y autentíquese.
    • Push — Apruebe la notificación push que se envía a su teléfono
    • Código QR — Use la aplicación móvil AuthPoint para escanear el código QR, luego escriba el código de verificación que se muestra en la aplicación
    • Contraseña de Un Solo Uso — Escriba la contraseña de un solo uso para su token

Ver También

Configurar una Página de Inicio de Sesión Personalizada para ADFS

Actualizar el Agente ADFS de AuthPoint

Desinstalar el Agente ADFS

Acerca de las Gateway

Acerca de las Políticas de Autenticación de AuthPoint