Habilitar el SSO de Active Directory en el Firebox

Este procedimiento describe cómo habilitar el Inicio de Sesión Único de Active Directory. Para obtener información acerca de cómo habilitar el Inicio de Sesión Único de RADIUS, consulte Habilitar el Inicio de Sesión Único (SSO) de RADIUS.

Antes de poder habilitar el SSO de Active Directory, debe:

Si su dispositivo funciona en Fireware v11.0–v11.3.x, la Configuración de Autenticación para Terminal Services no está disponible.

Habilitar y Configurar el SSO

Cuando habilita y configura los ajustes para SSO en su Firebox, debe especificar la dirección IP del SSO Agent.

En Fireware v12.2 o superior, puede especificar hasta cuatro SSO Agents. Hay un solo SSO Agent activo a la vez. Si el SSO Agent activo no está disponible, el Firebox automáticamente conmuta por error al siguiente SSO Agent en su configuración. También puede conmutar por error manualmente a un SSO Agent. Para obtener más información sobre la conmutación por error del SSO Agent, consulte la sección Conmutación por Error en este tema.

También puede especificar las direcciones IP (o los rangos) para excluir de las consultas de SSO y habilitar SSO a través de los túneles VPN de sucursal en su Firebox.

Cuando habilita SSO a través de sus túneles BOVPN, las conexiones SSO que van desde el túnel hacia las estaciones de trabajo de su dominio pueden incrementar el consumo de ancho de banda del túnel.

Si su Firebox tiene Fireware v12.1.1 o inferior, los pasos para habilitar y configurar el SSO son diferentes. Para obtener instrucciones que se aplican a Fireware v12.1.1 o inferior, consulte Habilitar el Inicio de Sesión Único (SSO) de Active Directory (Fireware v12.1.1 o inferior) en la Base de Consulta de WatchGuard.

  1. Seleccione Autenticación > Inicio de Sesión Único.

    Aparece la página Inicio de Sesión Único.
  2. Seleccione la casilla de selección Habilitar Inicio de Sesión Único (SSO) con Active Directory.

Screen shot of the Authentication Single Sign-On page with SSO enabled

  1. Haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar SSO Agent.
  2. En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor en la que se encuentra instalado el SSO Agent.
  3. (Opcional) En el cuadro de texto Descripción, ingrese una descripción del SSO Agent.

Screen shot of the Add SSO Agent dialog box

  1. Haga clic en Aceptar.
  2. (Opcional) Para agregar SSO Agents adicionales, repita los pasos 3 a 6. Pueden aparecer un máximo de cuatro SSO Agents en la lista.

Screen shot of multiple SSO Agents configured on the Firebox

  1. (Opcional) Para agregar direcciones IP o rangos para excluir de las consultas de SSO, en la sección Excepciones de SSO, haga clic en Agregar. Para obtener más información sobre las excepciones de SSO, consulte la sección Definir Excepciones de SSO.
    Aparece el cuadro de diálogo Agregar Excepción de SSO.
  2. En la lista desplegable Elegir Tipo, seleccione IP de Host, IP de Red o Rango de Host.

    1. Ingrese la dirección IP, la dirección de red o el rango de host.
    2. En el cuadro de texto Descripción, ingrese una descripción del host para el que desea crear una excepción de SSO.

    Screen shot of an SSO Exception

    1. Haga clic en Aceptar.

  3. En el cuadro de texto Intervalo Keep-Alive, especifique un valor en segundos entre 1 y 120.
  4. En el cuadro de texto Tiempo de Espera Keep-Alive, especifique un valor en segundos entre 10 y 1200.
  5. (Opcional) Para habilitar a los usuarios que se conectan a su red a través de un túnel BOVPN para usar el SSO, marque la casilla de selección Habilitar Inicio de Sesión Único (SSO) a través de los túneles BOVPN.

Screen shot of the SSO Agents configuration

  1. Haga clic en Guardar.
  1. Seleccione Configuración > Autenticación > Inicio de Sesión Único.
    Aparece el Cuadro de diálogo Inicio de Sesión Único.
  2. Seleccione la casilla de selección Habilitar Inicio de Sesión Único (SSO) con Active Directory.
  3. Haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar IP de SSO Agent.

Screen shot of the Add SSO Agent dialog box

  1. En la lista desplegable Elegir Tipo, seleccione IPv4 del Host.
  2. En el cuadro de texto Valor, ingrese la dirección IP del servidor en la que se encuentra instalado el SSO Agent.
  3. (Opcional) En el cuadro de texto Descripción, ingrese una descripción del SSO Agent.
  4. Haga clic en Aceptar.
  5. (Opcional) Para agregar más SSO Agents, repita los pasos 3 a 7. Pueden aparecer un máximo de cuatro SSO Agents en la lista.
  6. (Opcional) Para agregar direcciones IP o rangos para excluir de las consultas de SSO, en la sección Excepciones de SSO, haga clic en Agregar. Para obtener más información sobre excepciones de SSO, consulte la sección Definir Excepciones de SSO.
    Aparece el cuadro de diálogo Agregar Excepción de SSO.
    1. En la lista desplegable Elegir Tipo, seleccione IPv4 del Host, IPv4 de Red, Rango de Host o Nombre de Host (Búsqueda DNS).
    2. Ingrese la dirección IP, la dirección de red, el rango de host o el nombre de host.
    3. En el cuadro de texto Descripción, ingrese una descripción del host para el que desea crear una excepción de SSO.

    Screen shot of the Add SSO Exception dialog box

    1. Haga clic en Aceptar.
  7. En el cuadro de texto Intervalo Keep-Alive, especifique un valor en segundos entre 1 y 120.
  8. En el cuadro de texto Tiempo de Espera Keep-Alive, especifique un valor en segundos entre 10 y 1200.
  9. Para habilitar a los usuarios que se conectan a su red a través de un túnel BOVPN para usar el SSO, seleccione la casilla de selección Habilitar Inicio de Sesión Único (SSO) a través de los túneles BOVPN.

Screen shot of the Add SSO Exception dialog box

  1. Haga clic en Guardar.

Definir Excepciones de SSO

Si su red incluye dispositivos con direcciones IP que no requieren autenticación, como servidores de red, conmutadores y enrutadores, servidores de impresión o equipos que no forman parte del dominio, o si tiene usuarios en su red interna que se autentican manualmente en el portal de autenticación para inicio de sesión o si tiene servidores de terminal para el Agente de Terminal Services, le recomendamos que agregue las direcciones IP a la lista de Excepciones de SSO.

Cada vez que ocurre un intento de conexión desde una dirección IP que no está en la lista de Excepciones de SSO, Firebox se comunica con el SSO Agent para intentar asociar la dirección IP con un nombre de usuario. Eso lleva cerca de 10 segundos. Puede utilizar la lista de Excepciones de SSO para evitar esta demora para cada conexión, para reducir el tráfico de red innecesario y para permitir que los usuarios hagan la autenticación y se conecten a su red sin ninguna demora.

Cuando agrega una entrada a la lista de Excepciones de SSO, puede elegir agregar una dirección IP del host, una dirección IP de red, una subred, un nombre de DNS del host (solo desde el Policy Manager), o un rango de host.

  1. Haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar Direcciones IP.
  2. Desde la lista desplegable Seleccionar tipo, seleccione el tipo de entrada que desea agregar a la lista de Excepciones de SSO:
    • IP del Host
    • IP de Red
    • Rango de Host
      Los cuadros de texto que aparecen cambian según el tipo que usted seleccione.
  3. Ingrese la dirección IP para el tipo que seleccionó.
    Si seleccionó el tipo Rango de host en los cuadros de texto Desde y Hacia, ingrese el inicio y el final de las direcciones IP para ese rango.
  4. (Opcional) En el cuadro de texto Descripción, escriba una descripción de esta excepción en la Lista de Excepciones de SSO.
  5. Haga clic en Aceptar.
    La dirección o rango IP aparece en la lista de Excepciones de SSO.
  6. Haga clic en Guardar.
  1. Debajo de la lista de Excepciones de SSO, haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar Excepción de SSO.

Screen shot of the Add SSO Exception dialog box

  1. Desde la lista desplegable Seleccionar tipo, seleccione el tipo de entrada que desea agregar a la lista de Excepciones de SSO:
    • IPv4 de Host
    • IPv4 de Red
    • IPv4 de Rango de Host
    • Nombre de host (búsqueda de DNS)

Screen shot of the Add SSO Exception dialog box with the Choose Type options

  1. Ingrese la dirección IP para el tipo que seleccionó en el cuadro de texto Valor.

Si seleccionó el tipo Rango de host, en el cuadro de texto Valor, escriba la dirección IP con que comienza el rango.

En el cuadro de texto Hasta, escriba la dirección IP con la que finaliza el rango.

  1. (Opcional) En el cuadro de texto Descripción, escriba una descripción para incluir con esta excepción en la lista de Excepciones de SSO.
    El cuadro de texto Comentarios no aparece para el tipo de nombre de host.
  2. Haga clic en Aceptar.

    La dirección o rango IP aparece en la lista de Excepciones de SSO.

Screen shot of the Single Sign-On section of the Authentication Settings dialog box, with example SSO Exceptions

También puede editar o eliminar entradas de la lista Excepciones de SSO.

  1. En la lista de Excepciones de SSO, seleccione una entrada.
  2. Haga clic en Editar.
    Aparecerá el cuadro de diálogo de Editar un IP de excepción de SSO.
  3. Cambie las configuraciones para la excepción SSO.
  4. Haga clic en Aceptar.
    La entrada actualizada aparece en la lista de Excepciones de SSO.

Screen shot of the Edit SSO Exception IP Address dialog box

  1. Haga clic en Aceptar.
  1. En la lista de Excepciones de SSO, seleccione una entrada.
  2. Haga clic en Eliminar.
    La entrada seleccionada se elimina de la lista de Excepciones de SSO.
  3. Haga clic en Guardar.
  1. En la lista de Excepciones de SSO, seleccione una entrada.
  2. Haga clic en Eliminar.

    La entrada seleccionada se elimina de la lista de Excepciones de SSO.
  3. Haga clic en Aceptar.

Conmutación por Error

Si especifica más de un SSO Agent, se produce una conmutación por error automática si el SSO Agent activo deja de estar disponible. La conmutación por error se produce secuencialmente. Por ejemplo, si el primer SSO Agent en la lista deja de estar disponible, se produce una conmutación por error al segundo SSO Agent en la lista. Si el último SSO Agent en la lista está activo y deja de estar disponible, se produce una conmutación por error al primer SSO Agent en la lista.

No se produce la conmutación por recuperación. Por ejemplo, si el primer SSO Agent en la lista deja de estar disponible, se produce una conmutación por error al segundo agente en la lista. Si el primer SSO Agent vuelve a estar disponible, el segundo SSO Agent seguirá siendo el agente activo. No se produce la conmutación por recuperación de regreso al primer SSO Agent.

También puede seleccionar la conmutación por error manualmente a un SSO Agent diferente. El SSO Agent debe ser v12.2 o superior para admitir la conmutación por error.

Para conmutar por error manualmente a otro SSO Agent, en Fireware Web UI:

  1. Seleccione Estado del Sistema > SSO Agents.
  2. Seleccione un agente.
  3. Haga clic en Conmutación por Error al SSO Agent.

Para conmutar por error manualmente a otro SSO Agent, en Firebox System Manager:

  1. Seleccione Herramientas > SSO Agents.
  2. Seleccione un agente.
  3. Haga clic en Conmutación por Error al SSO Agent.

Ver También

Acerca de Inicio de Sesión Único (SSO) con Active Directory

Cómo Funciona el SSO de Active Directory

Inicio Rápido — Configurar el Inicio de Sesión Único (SSO) con Active Directory

Resolver Problemas del SSO de Active Directory