Guía de Implementación de AuthPoint
Este tema de ayuda le muestra cómo configurar e implementar completamente AuthPoint, la solución de autenticación multifactor de WatchGuard. Para obtener una descripción general más breve de cómo comenzar y probar AuthPoint, consulte Inicio rápido — Configurar AuthPoint.
Usted administra AuthPoint desde WatchGuard Cloud. Para obtener más información acerca de WatchGuard Cloud, consulte Acerca de WatchGuard Cloud.
Cuando configure AuthPoint, le recomendamos que primero conecte AuthPoint a su firewall y base de datos LDAP. Para ello, debe descargar e instalar la AuthPoint Gateway que los conecta con AuthPoint, luego agregar un recurso del cliente RADIUS o Firebox para su firewall y una identidad externa para su base de datos LDAP.
A continuación, puede agregar recursos de SAML para las aplicaciones a las que se conectan sus usuarios y crear políticas de autenticación para esos recursos.
Finalmente, cuando todo esté configurado y listo, sincronice los usuarios de su base de datos LDAP con AuthPoint.
Usted administra AuthPoint desde WatchGuard Cloud. Existen dos tipos de cuenta WatchGuard Cloud — Service Provider y Subscriber — cada una con una vista diferente de WatchGuard Cloud.
Puede determinar si tiene una cuenta de Service Provider o una cuenta de Subscriber según el aspecto de la WatchGuard Cloud UI y el menú de navegación.
Si ve un menú de Administrador de Cuentas, y el menú de navegación incluye una opción de menú de Inventario, entonces tiene una cuenta de Service Provider.
Si ve un panel de control similar a este, y no hay un menú de Administrador de Cuentas, entonces tiene una cuenta de Subscriber.
Si tiene una cuenta de Service Provider, antes de poder configurar AuthPoint debe ir a la página Inventario y asignar licencias de usuarios de AuthPoint a su cuenta. Para obtener más información, consulte Asignar Usuarios a Su Cuenta.
Puede configurar y administrar AuthPoint desde la sección Configurar Servicios de WatchGuard Cloud.
Para navegar a la AuthPoint management UI en WatchGuard Cloud:
- Inicie sesión en WatchGuard Cloud en http://cloud.watchguard.com/.
Se muestra la página Paneles de Control de WatchGuard Cloud. - En el menú de navegación, seleccione Configurar > AuthPoint. Si tiene una cuenta de Service Provider, debe seleccionar una cuenta del Administrador de Cuentas.
Se abre la página Resumen de AuthPoint.
La AuthPoint Gateway es una aplicación de software liviana que instala en su red para sincronizar la información de la cuenta de usuario entre su servidor LDAP o Active Directory y AuthPoint.
La Gateway funciona como un servidor RADIUS y es necesaria para la autenticación RADIUS y para que los usuarios sincronizados con LDAP se autentiquen con recursos de SAML. Debe instalar la Gateway para que AuthPoint pueda comunicarse con sus clientes RADIUS y sus bases de datos LDAP.
Antes de instalar la Gateway, debe configurarla en la AuthPoint management UI.
Para configurar e instalar la AuthPoint Gateway:
- Desde el menú de navegación de AuthPoint, seleccione Gateway.
- Haga clic en Agregar Gateway.
- En el cuadro de texto Nombre, ingrese un nombre descriptivo para la Gateway.
- Haga clic en Guardar.
- En la página Gateway, en la parte inferior del mosaico de su Gateway, haga clic en Clave de Registro.
- En el cuadro de diálogo Clave de Registro de la Gateway, copie la clave de registro. Necesita este valor para instalar la Gateway.
La clave de registro de la Gateway es una clave de uso único. Si falla la instalación de la Gateway, debe generar una nueva clave para usar en la instalación.
- En el menú de navegación, seleccione Descargas.
- En la sección Instalador de Gateway, haga clic en Descargar.
- Ejecute el instalador de Gateway descargado en cualquier lugar de su red que tenga acceso a Internet y que pueda conectarse a sus clientes RADIUS y a los servidores de LDAP.
Se abre el cuadro de diálogo Configuración de la AuthPoint Gateway de WatchGuard. - En el cuadro de texto Clave de Registro de la Gateway, escriba o pegue la clave de registro de la Gateway que copió de AuthPoint.
- Haga clic en Instalar.
- Haga clic en Finalizar.
- En la AuthPoint management UI, en la página Gateway, marque el icono circular junto al nombre de su Gateway. Un icono verde indica que la Gateway se ha instalado correctamente y puede comunicarse con AuthPoint.
Si falla la instalación de la Gateway, debe generar una nueva clave de registro para usar en la instalación. Para obtener más información, consulte Clave de Registro de la Gateway.
Las identidades externas se conectan a las bases de datos de los usuarios para obtener información de las cuentas de los usuarios y validar las contraseñas. Para sincronizar usuarios de una base de datos de usuarios externa, debe agregar una identidad externa.
En este ejemplo, mostramos los pasos para sincronizar usuarios desde Active Directory o una base de datos de Lightweight Directory Access Protocol (LDAP). Para ver cómo crear una identidad externa para sincronizar usuarios desde Azure Active Directory, consulte Sincronizar Usuarios desde Azure Active Directory.
Para agregar una identidad externa, desde la AuthPoint management UI:
- Seleccione Identidades Externas.
- En la lista desplegable Elegir un Tipo de Identidad Externa, seleccione LDAP. Haga clic en Agregar Identidad Externa.
- En el cuadro de texto Nombre, ingrese un nombre descriptivo para la identidad externa.
- En el cuadro de texto Base de Datos de Búsqueda LDAP, escriba su base de datos LDAP. En este ejemplo, el dominio es ejemplo.com por lo que escribimos dc=ejemplo,dc=com. ¡Consejo!
Para obtener más información acerca de la sintaxis LDAP y cómo utilizar una base de búsqueda para limitar los directorios del servidor de autenticación en los que la identidad externa puede buscar usuarios, consulte Encontrar Su Base de Búsqueda del Active Directory.
- En los cuadros de texto Cuenta del sistema y Contraseña, escriba las credenciales de un usuario que tenga permisos para realizar búsquedas y vinculaciones LDAP. Si este usuario no se encuentra en la carpeta predeterminada de Usuarios, seleccione el interruptor y ingrese el nombre completo del usuario. ¡Consejo!
En este ejemplo, tenemos un usuario llamado administrador que se encuentra en una OU llamada AuthPoint (no es la carpeta predeterminada de usuarios). Por lo tanto, debemos seleccionar el interruptor y escribir el nombre completo de nuestro usuario como CN=administrador,OU=AuthPoint,DC=ejemplo,DC=com.
Si el usuario está en la carpeta Usuarios y el nombre de usuario es diferente al nombre de la cuenta (sAMAccountName), debe ingresar el nombre de la cuenta en el cuadro de texto Cuenta de Sistema.
- En la lista desplegable Intervalo de Sincronización, especifique la frecuencia con la que desea sincronizar la base de datos LDAP. Si selecciona Cada 24 horas, también debe especificar a qué hora se inicia la sincronización cada día.
- En Tipo, seleccione si se trata de un servidor Active Directory o de un tipo diferente de base de datos LDAP. Para otras bases de datos, debe especificar cada valor de atributo. No tiene que hacer esto para Active Directory porque los valores de los atributos son conocidos.
- En el cuadro de texto Dominio, ingrese su nombre de dominio LDAP.
- Si no se trata de un servidor Active Directory, escriba un valor para cada atributo.
Si sus usuarios de Active Directory utilizan ADFS, debe mantener el valor predeterminado de sAMAccountName para el atributo relacionado con el inicio de sesión del usuario.
- En el cuadro de texto Dirección del Servidor, escriba la dirección IP de su servidor LDAP.
- En el cuadro de texto Puerto del Servidor, escriba el puerto de su servidor.
- (Opcional) Para agregar una dirección redundante para su identidad externa, haga clic en Agregar Dirección Redundante y escriba una dirección y un puerto diferentes para la misma base de datos LDAP.
- Haga clic en Guardar.
A continuación, debe agregar su identidad externa a la configuración de su AuthPoint Gateway. Después, puede probar la conexión a su base de datos LDAP.
- En el menú de navegación, seleccione Gateway.
- Haga clic en el Nombre de su Gateway.
- En la sección LDAP, en la lista Seleccionar una identidad externa LDAP, seleccione su servidor LDAP o Active Directory Server.
- Haga clic en Guardar.
- En el menú de navegación, seleccione Identidades Externas.
- Junto a la identidad externa que agregó para su base de datos LDAP, haga clic en y seleccione Comprobar Conexión.
AuthPoint ahora está conectado a su base de datos LDAP. Puede crear una consulta para sincronizar usuarios, pero antes de hacerlo, le recomendamos que agregue recursos para todas las aplicaciones y servicios para los que desea requerir autenticación.
En AuthPoint, los recursos son las aplicaciones que protege para usar con AuthPoint. Cuando agrega un recurso, proporciona la información necesaria para que AuthPoint se conecte a ese recurso.
Cuando agrega y configura un recurso en AuthPoint, se requiere autenticación para iniciar sesión en ese recurso. Para cada recurso, los usuarios deben ser miembros de un grupo que tenga una política de autenticación que incluya ese recurso a fin de poder autenticarse e iniciar sesión.
Los usuarios que no son miembros de grupos que tienen una política de autenticación para un recurso específico no pueden autenticarse para iniciar sesión en ese recurso.
Consulte las Guías de Integración de AuthPoint para obtener más información sobre cómo configurar la autenticación con servicios y aplicaciones de terceros específicos.
Para habilitar AuthPoint como servidor de autenticación en un Firebox que ejecuta Fireware 12.7 o superior, configure un recurso Firebox en AuthPoint. Esto facilita la configuración de la AuthPoint MFA para:
- Mobile VPN with SSL
- Mobile VPN with IKEv2
- Firebox Web UI
- Portal de Autenticación de Firebox
Cuando configura un recurso Firebox para agregar la MFA a un Firebox, AuthPoint recibe la dirección IP del usuario final, por lo que los objetos de política de ubicación de red se aplican cuando un usuario se autentica con un cliente VPN.
No es necesario que agregue un recurso Firebox a la configuración de su Gateway, incluso si el recurso Firebox tiene MS-CHAPv2 habilitado. En esta situación, el Firebox valida la contraseña del usuario con NPS, y AuthPoint autentica al usuario con la MFA.
Antes de configurar un recurso Firebox, asegúrese de haber registrado y conectado el dispositivo a WatchGuard Cloud como un Firebox administrado localmente. Para Fireboxes administrados en la nube y Fireboxes que ejecutan Fireware v12.6.x o inferior, recomendamos que configure un recurso del cliente RADIUS para el Firebox.
Para obtener instrucciones detalladas sobre cómo registrar y conectar su Firebox a WatchGuard Cloud, consulte Agregar un Firebox Administrado Localmente a WatchGuard Cloud.
Para agregar un recurso Firebox:
- En el menú de navegación, seleccione Recursos.
Se abre la página Recursos.
- En la lista desplegable Seleccionar un Tipo de Recurso, seleccione Firebox. Haga clic en Agregar Recurso.
Se abre la página del recurso Firebox.
- En el cuadro de texto Nombre, ingrese un nombre descriptivo para el recurso.
- En la lista desplegable del Firebox, seleccione el Firebox o FireCluster que desea conectar a AuthPoint. Esta lista solo muestra los Fireboxes y FireClusters administrados localmente que agregó a WatchGuard Cloud.
- Para configurar el recurso Firebox para que acepte solicitudes de autenticación MS-CHAPv2, haga clic en el interruptor Habilitar MS-CHAPv2.
Aparecen cuadros de texto adicionales.No es necesario habilitar MS-CHAPv2 si solo los usuarios de AuthPoint locales utilizan el cliente VPN IKEv2.
- En el cuadro de texto IP o FQDN De Confianza del Servidor RADIUS NPS, escriba la dirección IP o el nombre de dominio completamente calificado (FQDN) del servidor RADIUS NPS.
- En el cuadro de texto Puerto, escriba el puerto que NPS utiliza para la comunicación. El puerto predeterminado es el 1812.
- En el cuadro de texto Tiempo de Espera En Segundos, ingrese un valor en segundos. El valor de tiempo de espera es la cantidad de tiempo antes de que expire una autenticación push.
- En el cuadro de texto Secreto Compartido, ingrese la clave secreta compartida que NPS y el Firebox usan para comunicarse.
- Haga clic en Guardar.
Después de agregar el recurso Firebox en AuthPoint, se habilita el servidor de autenticación AuthPoint en su Firebox. Para agregar la MFA, debe configurar el Firebox de modo que use el servidor de autenticación AuthPoint para las funciones que desea:
- Mobile VPN with SSL — En Fireware, configure AuthPoint como servidor de autenticación principal para su configuración de Mobile VPN with SSL. Para obtener información detallada, consulte Firebox Mobile VPN with SSL Integration with AuthPoint.
Si agrega el servidor de autenticación AuthPoint a su configuración de Mobile VPN with SSL, los usuarios deben descargar y usar el cliente Mobile VPN with SSL v12.7 o superior o el cliente OpenVPN SSL de WatchGuard.
- Mobile VPN with IKEv2— En Fireware, configure AuthPoint como el servidor de autenticación principal para su configuración Mobile VPN with IKEv2. Para ver los pasos detallados, consulte Integración de Firebox Mobile VPN with IKEv2 con AuthPoint para Usuarios de Active Directory, o bien Integración de Firebox Mobile VPN with IKEv2 con AuthPoint para Usuarios de Azure Active Directory.
- Portal de Autenticación de Firebox — En Fireware, especifique AuthPoint como servidor de autenticación para usuarios y grupos. Para ver los pasos detallados, consulte Autenticación de Firebox con AuthPoint.
- Fireware Web UI — En Fireware, seleccione Sistema > Usuarios y Roles y agregue usuarios de Administración de Dispositivos con AuthPoint como servidor de autenticación. Para obtener más información, consulte Administrar Usuarios y Roles en Su Firebox
Los recursos del cliente RADIUS representan un dispositivo o aplicación que envía paquetes de RADIUS a la AuthPoint Gateway. Se utilizan comúnmente para autenticar a los usuarios para firewalls y VPN.
A fin de configurar la MFA para un Firebox que ejecuta Fireware v12.7 o superior y que se agregó a WatchGuard Cloud como un Firebox administrado localmente, recomendamos que agregue un recurso Firebox.
Los recursos del cliente RADIUS deben estar enlazados con la AuthPoint Gateway y debe elegir una clave secreta compartida para que el servidor RADIUS (AuthPoint Gateway) y el cliente RADIUS puedan comunicarse.
Para agregar recursos del cliente RADIUS:
- En el menú de navegación, seleccione Recursos.
- En la lista desplegable Seleccione un tipo de recurso, seleccione Cliente RADIUS. Haga clic en Agregar Recurso.
- En el cuadro de texto Nombre, ingrese un nombre descriptivo para el recurso.
- En el cuadro de texto IP de confianza o FQDN del cliente RADIUS, escriba la dirección IP que utiliza su cliente RADIUS para enviar paquetes RADIUS a la AuthPoint Gateway. Esta debe ser una dirección IP privada. En el caso de los Fireboxes, ésta suele ser la dirección IP de confianza de su Firebox.
- En la lista desplegable Valor enviado para el atributo 11 de RADIUS, especifique lo que se envía para el valor del atributo 11 (Filter-ID) en las respuestas RADIUS. Puede elegir entre enviar el grupo de AuthPoint del usuario o los grupos de Active Directory del usuario.
Para especificar un valor de Filter-ID, debe instalar la versión 5 o superior de la AuthPoint Gateway.
- En el cuadro de texto Secreto Compartido, escriba una contraseña que el servidor RADIUS (AuthPoint Gateway) y el cliente RADIUS utilizarán para comunicarse.
- Para configurar el recurso del cliente RADIUS a fin de aceptar solicitudes de autenticación MS-CHAPv2, habilite el interruptor Habilitar MS-CHAPv2. Puede usar esta opción si desea configurar la AuthPoint MFA para IKEv2.
Aparecen campos adicionales.Para habilitar MS-CHAPv2, debe instalar la versión 5.3.1 o superior de la AuthPoint Gateway.
- En el cuadro de texto IP o FQDN de confianza del Servidor RADIUS NPS, escriba la dirección IP o FQDN del servidor RADIUS NPS.
- En el cuadro de texto Puerto, escriba el número de puerto para el Gateway (servidor RADIUS) que se utilizará para comunicarse con NPS. El puerto predeterminado es el 1812.
Si NPS y la Gateway están instalados en el mismo servidor, el puerto que la Gateway usa para comunicarse con NPS debe ser diferente del puerto que la Gateway usa para comunicarse con el cliente RADIUS.
- En el cuadro de texto Tiempo de Espera en Segundos, ingrese un valor en segundos. El valor de tiempo de espera es la cantidad de tiempo antes de que expire una autenticación push.
- Haga clic en Guardar.
A continuación, debe agregar su recurso del cliente RADIUS a la configuración de su AuthPoint Gateway. Esto es necesario para que el cliente RADIUS se comunique con el servidor RADIUS (Gateway) y con AuthPoint.
Para conectar su recurso del cliente RADIUS a la Gateway:
- En el menú de navegación, seleccione Gateway.
- Haga clic en el Nombre de su Gateway.
- En la sección RADIUS, en el cuadro de texto Puerto, escriba el número de puerto que debe utilizar el cliente RADIUS para comunicarse con la Gateway (servidor RADIUS). Los puertos predeterminados de la Gateway son el 1812 y el 1645.
Si ya tiene instalado un servidor RADIUS que usa el puerto 1812 o 1645, debe usar un puerto diferente para la AuthPoint Gateway.
- En la lista Seleccionar un recurso de RADIUS, seleccione su(s) recurso(s) del cliente RADIUS.
- Haga clic en Guardar.
Ha agregado correctamente un recurso del cliente RADIUS y lo ha conectado con su Gateway. El último paso es configurar su cliente RADIUS para la autenticación. Consulte las Guías de Integración de AuthPoint para obtener los pasos para configurar recursos del cliente RADIUS específicos.
Los recursos de SAML conectan AuthPoint con el proveedor de un servicio de terceros al que los usuarios se conectan (proveedor de servicios de terceros), como Microsoft o Salesforce. Agregue recursos de SAML y defina políticas de acceso para que requieran que los usuarios se autentiquen a fin de que puedan conectarse a esos servicios o aplicaciones.
Antes de agregar un recurso de SAML en AuthPoint, debe configurar la autenticación SAML para su proveedor de servicios de terceros. Para hacer esto, descargue los metadatos de AuthPoint de la página Recursos en la AuthPoint management UI e importe el archivo de metadatos al proveedor de servicios de terceros.
Los metadatos de AuthPoint proporcionan información necesaria para identificar AuthPoint y establecer una relación de confianza entre el proveedor de servicios de terceros y el proveedor de identidad (AuthPoint).
Para configurar la autenticación SAML para su proveedor de servicios de terceros:
- Seleccione Recursos.
- Haga clic en Descargar Metadatos.
- Importe el archivo de metadatos de AuthPoint al proveedor de servicios de terceros y obtenga la Identificación de Entidad del Service Provider y los valores de Assertion Consumer Service del proveedor de servicios. Estos valores son necesarios para configurar el recurso de SAML en AuthPoint.
Consulte las Guías de Integración de AuthPoint a fin de obtener los pasos para configurar recursos de SAML específicos.
Para agregar un recurso de SAML en la AuthPoint management UI:
- Seleccione Recursos.
- En la lista desplegable Seleccionar un tipo de recurso, seleccione SAML. Haga clic en Agregar Recurso.
- En la lista desplegable Tipo de Aplicación, seleccione la aplicación correspondiente, o seleccione Otros si la aplicación no aparece en la lista.
- En el cuadro de texto Nombre, ingrese un nombre para el recurso. Le recomendamos que use el nombre de la aplicación.
- En los cuadros de texto Identificación de Entidad del Service Provider y Assertion Consumer Service, escriba los valores del proveedor de la aplicación de terceros.
- En la lista desplegable Identificación de Usuario, seleccione si los usuarios inician sesión con su correo electrónico o nombre de usuario AuthPoint.
- Algunos tipos de aplicaciones requieren información adicional. Si corresponde, complete todo campo adicional requerido para la aplicación.
- Haga clic en Guardar.
No instale la Logon app en computadoras que ejecutan Windows 7 o inferior o en servidores que ejecutan Windows 2008 R2 o inferior.
La Logon app le permite requerir autenticación cuando los usuarios inician sesión en una computadora o servidor. Esto incluye protección para RDP y RD Gateway.
La Logon app tiene dos partes:
- El recurso que configura en AuthPoint
- La aplicación que instala en una computadora o servidor
Cuando instala la Logon app, la autenticación es un requisito para iniciar sesión. En la pantalla de inicio de sesión, los usuarios deben escribir su contraseña y luego seleccionar uno de los métodos de autenticación permitidos (notificación push, contraseña de un solo uso o código QR).
Si su licencia de AuthPoint expira, o si elimina el recurso de la Logon app, los usuarios pueden iniciar sesión en sus computadoras solo con su contraseña.
Para comenzar, debe agregar un recurso para la Logon app:
- Seleccione Recursos.
- En la lista desplegable Seleccionar un tipo de recurso, seleccione Logon App. Haga clic en Agregar Recurso.
- En la página Logon App, en el cuadro de texto Nombre, escriba un nombre para este recurso.
- En el cuadro de texto Mensaje de Soporte, escriba un mensaje para mostrar en la pantalla de inicio de sesión.
- Para permitir que usuarios específicos que no tienen una cuenta de usuario de AuthPoint inicien sesión sin la MFA:
- Habilite el interruptor Permitir que usuarios específicos inicien sesión sin la MFA.
- En el cuadro de texto Agregar Nombres de Usuario, escriba el nombre de usuario de cada usuario sin AuthPoint y que puede iniciar sesión sin la MFA.
Puede especificar hasta 50 usuarios sin AuthPoint y que pueden iniciar sesión sin la MFA.
- Haga clic en Guardar.
No tiene que agregar recursos de la Logon app adicionales para cada computadora en la que está instalada la Logon app, independientemente del sistema operativo. Solo necesita múltiples recursos de la Logon app si tiene varios dominios.
Ahora que agregó un recurso de la Logon app, debe instalarla en cualquier computadora y servidor para el que desee requerir autenticación.
Para instalar la Logon app:
- Seleccione Descargas.
- En la sección Logon App, junto a su sistema operativo, haga clic en Descargar Instalador.
- Haga clic en Descargar Configuración para descargar el archivo de configuración para la Logon app.
Puede usar el mismo archivo de configuración para cada instalación de la Logon app en el mismo dominio, independientemente del sistema operativo.
- En su computadora, mueva el archivo de configuración descargado al mismo directorio que el instalador de la Logon app (archivo .msi).
- Ejecute el instalador de la Logon app e instálela. También puede instalar la Logon app desde un símbolo del sistema de Windows, o bien usar un GPO de Active Directory para instalar la Logon app de forma remota en varias computadoras. Para obtener información detallada, consulte Instalar la Logon App desde un Símbolo del Sistema de Windows y Utilizar un GPO de Active Directory para Instalar la Logon App.
El recurso del portal del Identity Provider (IdP) es una página que muestra a los usuarios una lista de recursos de SAML disponibles para ellos. Facilita a los usuarios el acceso a los recursos. Los usuarios se conectan al portal del IdP y ven cada recurso al que tienen acceso.
Cuando agrega el recurso del portal del IdP a una política de autenticación, la página de inicio de sesión SSO redirige los usuarios de los grupos agregados a esa política de autenticación a la página del portal.
Para configurar AuthPoint con un portal del IdP:
- Seleccione Recursos.
- En la lista desplegable Seleccionar un Tipo de Recurso, seleccione Portal del IdP. Haga clic en Agregar Recurso.
- En el cuadro de texto Nombre, ingrese un nombre descriptivo para el recurso.
- En la lista desplegable Identificación de Usuario, seleccione si los usuarios escriben su correo electrónico o nombre de usuario para iniciar sesión en la página SSO.
- En el cuadro de texto Alias de la Cuenta, ingrese un valor único para agregarlo a la URL de su portal del IdP.
- Haga clic en Guardar.
Puede agregar un recurso del portal del IdP a varias políticas de autenticación. No es necesario agregar recursos del IdP adicionales en AuthPoint.
Después de agregar y configurar recursos en AuthPoint, debe crear grupos para sus usuarios. En AuthPoint, los grupos son cómo define a qué recursos tienen acceso sus usuarios. Se agregan usuarios a los grupos en AuthPoint y luego se agregan los grupos a las políticas de autenticación que especifican los recursos en los que los usuarios pueden autenticarse.
Debe agregar al menos un grupo para poder agregar políticas de autenticación o agregar usuarios a AuthPoint.
Para sincronizar grupos externos desde Active Directory o Azure Active Directory, debe agregar una identidad externa y crear una sincronización de grupo con la opción Crear nuevos grupos sincronizados habilitada. Este tema se cubre en Paso 9 — Sincronizar usuarios de su base de datos LDAP.
Para agregar un grupo a AuthPoint, en la AuthPoint management UI:
- En el menú de navegación, seleccione Grupos.
- Haga clic en Agregar Grupo.
- En la sección Nuevo Grupo, en el cuadro de texto Nombre, escriba un nombre descriptivo para el grupo.
- (Opcional) En el cuadro de texto Descripción, escriba una descripción del grupo.
- Haga clic en Guardar.
Su grupo aparece en la página Grupos.
Los objetos de política son los componentes configurables individualmente de una política, como las ubicaciones de red. Los objetos de política se configuran y luego se agregan a las políticas de autenticación.
Puede configurar estos tipos de objetos de política:
Ubicaciones de Red (anteriormente llamadas ubicaciones seguras)
Los objetos de política de ubicación de red le permiten especificar una lista de direcciones IP. A continuación, puede configurar políticas de autenticación que solo se aplican cuando los usuarios se autentican desde las direcciones IP en la ubicación de red especificada. Puede hacer esto si desea permitir que los usuarios inicien sesión sin la MFA cuando están en la oficina.
Horario
Los objetos de política de horario le permiten especificar las fechas y horas en las que las políticas de autenticación se aplican a las autenticaciones de usuarios. Cuando agrega un horario a una política de autenticación, ésta solo se aplica cuando un usuario se autentica durante el horario especificado.
Cuando se agrega un objeto de política a una política de autenticación, la política solo se aplica a las autenticaciones de usuarios que coinciden con las condiciones de la autenticación y los objetos de política. Por ejemplo, si agrega una ubicación de red específica a una política, esta solo se aplica a las autenticaciones de usuarios que proceden de esa ubicación de red.
Recomendamos que cree una segunda política para los mismos grupos y recursos sin el objeto de política. Los usuarios que solo tienen una política que incluya un objeto de política no obtienen acceso al recurso cuando las condiciones del objeto de política no se aplican a la autenticación (porque no tienen una política aplicable, no porque se deniegue la autenticación).
- Los usuarios que solo tienen una política que incluye una ubicación de red no obtienen acceso al recurso cuando se autentican fuera de esa ubicación de red.
- Los usuarios que solo tienen una política que incluye un horario no obtienen acceso cuando se autentican fuera de ese horario.
Si tiene dos políticas (una con un objeto de política y otra sin), asigne una prioridad más alta a la política con el objeto de política. Para obtener más información, consulte Acerca de la Precedencia de las Políticas.
Las ubicaciones de red requieren una conexión a Internet.
Para la autenticación RADIUS y la autenticación básica (ECP), las políticas que incluyen una ubicación de red no se aplicarán porque AuthPoint no puede determinar la dirección IP del usuario final o la dirección IP de origen.
- En el menú de navegación de AuthPoint, seleccione Objetos de Política.
- En la lista desplegable Elegir un Tipo de Objeto de Política, seleccione Ubicación de Red. Haga clic en Agregar Objeto de Política.
Aparece la página Ubicación de Red.
- En el cuadro de texto Nombre, escriba un nombre para identificar este objeto de política de ubicación de red. Esto le ayuda a identificar la ubicación de red cuando la agrega a las políticas de autenticación.
- En el cuadro de texto Máscara de IP, escriba una dirección IP pública o máscara de red que defina el rango de direcciones IP públicas que desea identificar para esta ubicación de red y presione Enter o Return. Puede especificar varias direcciones IP y rangos en una ubicación de red.
No puede configurar la dirección IP para una ubicación de red en 0.0.0.0 o 255.255.255.255.
- Haga clic en Guardar.
- En el menú de navegación de AuthPoint, seleccione Objetos de Política.
- En la lista desplegable Elegir un Tipo de Objeto de Política, seleccione Horario. Haga clic en Agregar Objeto de Política.
Aparece la página Horario. - En el cuadro de texto Nombre, escriba un nombre para este objeto de política de horario. Esto le ayuda a identificar el horario cuando lo agrega a las políticas de autenticación.
- En la lista desplegable Zona Horaria, seleccione la zona horaria que desea utilizar para este horario.
- Si desea configurar la zona horaria seleccionada para que cambie con el horario de verano, marque la casilla de selección Ajustar para el horario de verano. Cuando selecciona esta opción, la política de tiempo ajusta inmediatamente la zona horaria seleccionada a más una hora. Por ejemplo, un horario con la zona horaria establecida en la hora estándar del Pacífico, que es UTC -8 horas, se ajusta inmediatamente a UTC -7 horas (-8 horas + 1 hora).
AuthPoint no se ajusta dinámicamente al horario de verano. Debe marcar la casilla de selección Ajustar para el horario de verano si en su ubicación se emplea el horario de verano, de lo contrario, desmarque esta casilla de selección.
- Seleccione una opción para especificar si desea agregar días específicos de la semana o una fecha específica a este horario.
- Días de la semana — Para agregar días específicos de la semana al horario, seleccione esta opción y los días que desea incluir.
- Fechas — Para agregar una fecha específica al horario, seleccione esta opción y use el campo Fecha para seleccionar la fecha. Puede agregar solo una fecha a la vez.
Puede agregar solo una opción a la vez. Para agregar varios conjuntos de días de la semana y una o más fechas al mismo horario, debe agregarlos por separado.
- Ingrese la Hora de Inicio y Hora de Finalización en la que desea aplicar el horario, en los días o la fecha seleccionados. Estos valores deben ser entre 00:00 y 23:59, y la Hora de Finalización debe ser posterior a la Hora de Inicio.
La zona horaria que selecciona en el Paso 4 se aplica a las horas de inicio y finalización de todos los horarios que agregue al objeto de política.
- Para agregar los días y las horas a su horario, haga clic en Agregar. Para agregar días o fechas adicionales, o para especificar períodos de tiempo adicionales para los mismos días o fechas, repita los pasos 5 a 7.
- Haga clic en Guardar.
Después de agregar todos sus recursos y grupos en AuthPoint, debe configurar las políticas de autenticación. Las políticas de autenticación especifican en qué recursos pueden autenticarse los usuarios de AuthPoint y qué métodos de autenticación pueden utilizar (Push, código QR y OTP).
Cuando configura una política de autenticación, usted especifica lo siguiente:
- Si la política permite o deniega autenticaciones.
- Qué métodos de autenticación se requieren.
- A qué recursos se aplica la política.
- A qué grupos de usuarios se aplica la política.
- Qué objetos de política se aplican a las autenticaciones.
Un usuario que no es miembro de un grupo que tiene una política de autenticación para un recurso específico no puede autenticarse para iniciar sesión en ese recurso.
Cuando configure políticas, asegúrese de seguir estos requisitos y recomendaciones:
- Debe configurar al menos un grupo para poder configurar las políticas de autenticación.
- Para la autenticación RADIUS y la autenticación básica (Cliente o Proxy Mejorado, ECP), las políticas que tienen una ubicación de red no se aplican porque AuthPoint no tiene la dirección IP del usuario final o la dirección IP de origen.
- Políticas con solo se aplican a las autenticaciones de usuarios que provienen de esa ubicación de red. Los usuarios que solo tienen una política que incluye una ubicación de red, no pueden acceder al recurso cuando se autentican fuera de esa ubicación de red. Esto se debe a que no tienen una política correspondiente, no a que se deniegue la autenticación.
- Si configura objetos de política, recomendamos que cree una segunda política para los mismos grupos y recursos sin los objetos de política. Asigne una prioridad más alta a la política con los objetos de política.
- Si habilita los métodos de autenticación push y OTP para una política, los recursos de RADIUS asociados a esa política utilizan notificaciones push para autenticar a los usuarios.
- Debe habilitar el método de autenticación push para las políticas con recursos de RADIUS MS-CHAPv2.
- Los recursos de RADIUS no admiten la autenticación mediante un código QR.
Para configurar una política de autenticación:
- Seleccione Políticas de Autenticación.
- Haga clic en Agregar Política.
- Ingrese un nombre para la política.
- En la lista desplegable Seleccionar las opciones de autenticación, seleccione una opción para especificar si la MFA será un requisito o si se denegarán las autenticaciones para esta política.
- Opciones de autenticación — Exija la MFA cuando los usuarios de los grupos asociados con esta política se autentiquen en los recursos asociados con esta política.
- Autenticación no permitida — Deniegue las autenticaciones cuando los usuarios de los grupos asociados con esta política intenten autenticarse en los recursos asociados con esta política
-
Si requiere la MFA para esta política, marque la casilla de selección para cada opción de autenticación que los usuarios pueden seleccionar al autenticarse. Para obtener más información sobre los métodos de autenticación, consulte Acerca de la Autenticación.
Si habilita los métodos de autenticación push y OTP para una política, los recursos de RADIUS asociados a la política utilizan notificaciones push para autenticar a los usuarios.
La autenticación de código QR no es compatible con los recursos de RADIUS.
- Para las políticas que incluyen un recurso Office 365, si necesita autenticación para un dispositivo o recurso que forma parte de su dominio de Office 365, pero no puede usar la MFA, como una impresora, marque la casilla de selección Autenticación Básica. La autenticación básica también se denomina Cliente o Proxy Mejorado (ECP).
- En la lista desplegable Grupos, seleccione a qué grupos se aplica esta política. Puede seleccionar más de un grupo. Para configurar esta política y que se aplique a todos los grupos, seleccione Todos los Grupos.
- En la lista desplegable Recursos, seleccione a qué recursos se aplica esta política. Para configurar esta política y que se aplique a todos los recursos, seleccione Todos los Recursos.
- En la lista desplegable Objetos de Política, seleccione qué objetos de política se aplican a esta política. Para obtener más información sobre objetos de política, consulte Acerca de los Objetos de Política.
- Haga clic en Guardar.
Su política se crea y se agrega al final de la lista de políticas.Después de crear una nueva política, recomendamos que revise el orden de sus políticas. AuthPoint siempre agrega las políticas nuevas al final de la lista de políticas.
Para sincronizar usuarios de una base de datos LDAP, debe crear una consulta para la identidad externa que agregó. Las consultas que agrega a una identidad externa especifican qué usuarios sincronizar desde su Active Directory o la base de datos LDAP. Estas consultas extraen información del usuario de la base de datos y crean usuarios de AuthPoint para los usuarios que coinciden con la consulta.
Hay dos formas de consultar los usuarios:
- Sincronización de Grupo — Seleccione los grupos LDAP desde los que desea sincronizar usuarios y AuthPoint crea la consulta por usted.
- Consultas Avanzadas — Cree sus propias consultas LDAP para especificar qué grupos o usuarios sincronizar.
En este ejemplo, mostramos los pasos para usar la función de sincronización de grupo.
Antes de continuar, asegúrese de que cada cuenta de usuario tenga una dirección de correo electrónico válida. Si la dirección de correo electrónico de una cuenta de usuario no es correcta, el usuario no puede recibir el mensaje de correo electrónico para establecer una contraseña y activar un token.
Si los grupos LDAP seleccionados tienen más usuarios que las licencias que usted tiene disponibles, la sincronización solo crea tantos usuarios como su licencia admita.
Los usuarios LDAP que no tienen un nombre de usuario o una dirección de correo electrónico no se incluyen en la sincronización.
Para sincronizar grupos LDAP:
- Seleccione Identidades Externas.
- Junto a su identidad externa, haga clic en y seleccione Sincronización de grupo.
- En la página Sincronización de Grupo, haga clic en Agregar Nuevo Grupo a Sincronización.
- En la ventana Agregar Sincronización de Grupo, en la lista desplegable Seleccionar Grupos LDAP desde los cuales Sincronizar Usuarios, seleccione los grupos LDAP desde los que desea sincronizar usuarios. Puede seleccionar múltiples grupos.
- En la lista desplegable Seleccionar un Grupo de AuthPoint al cual Agregar Usuarios, seleccione el grupo AuthPoint al que agregará los usuarios.
Para cada sincronización de grupo, todos los usuarios se agregan al mismo grupo AuthPoint. Para agregar usuarios a grupos AuthPoint separados, debe crear una sincronización de grupo separada para cada grupo LDAP que contenga los usuarios que desea en un grupo AuthPoint diferente.
- Para crear grupos nuevos en AuthPoint basados en los grupos de Active Directory desde los que sincroniza usuarios, habilite el interruptor Crear nuevos grupos sincronizados. Si habilita esta opción, los usuarios se sincronizan con los nuevos grupos en función de la pertenencia al grupo en la base de datos LDAP, además del grupo de AuthPoint seleccionado.
La opción Crear nuevos grupos sincronizados solo está disponible para Active Directory y Azure Active Directory.
Para ver y utilizar esta opción, debe instalar la versión 6.1 o superior de la AuthPoint Gateway.
- Haga clic en Guardar.
Se cierra la ventana Agregar Sincronización de Grupo.
Después de agregar una consulta para encontrar a sus usuarios (manualmente o con sincronización de grupo), AuthPoint se sincroniza con su Active Directory o la base de datos LDAP en el siguiente intervalo de sincronización y crea una cuenta de usuario AuthPoint para cada usuario identificado por la consulta.
Para iniciar una sincronización inmediatamente, en la página Identidades Externas, junto a su identidad externa, haga clic en y seleccione Iniciar Sincronización.
Las cuentas de usuario creadas aparecen en la página Usuarios con un ícono de estado Activado verde al lado del nombre de usuario. El icono de estado Activado indica que el usuario se creó y está actualmente activo (no bloqueado). Puede identificar a los usuarios sincronizados desde una identidad externa mediante la etiqueta LDAP en la columna Tipo de la lista de usuarios.
Cada usuario recibe un correo electrónico que utiliza para activar su token en la aplicación móvil AuthPoint. Cuando un usuario activa su token, su información de token se muestra en la columna Token con un icono de estado Activado verde al lado del token.
Los usuarios sincronizados desde una identidad externa usan su contraseña existente para la autenticación. No reciben el correo electrónico para establecer una contraseña AuthPoint.
Si habilitó el interruptor Crear nuevos grupos sincronizados, los grupos sincronizados se crean en AuthPoint. Los grupos recién creados aparecen en la página Grupos. Puede identificar los grupos sincronizados de Active Directory mediante la etiqueta LDAP en la columna Tipo de la lista de grupos.
Si cambia el nombre de un grupo sincronizado en Active Directory, el nombre del grupo sincronizado en AuthPoint se actualiza automáticamente al mismo nombre. No puede editar los grupos sincronizados en AuthPoint.
Si elimina el grupo en Active Directory, o si elimina la sincronización del grupo, el grupo sincronizado no se elimina en AuthPoint. Debe eliminar manualmente el grupo sincronizado en AuthPoint.
Ahora ya agregó sus recursos a AuthPoint, definió políticas de autenticación para esos recursos y sincronizó sus usuarios. Antes de que sus usuarios puedan autenticarse con AuthPoint, deben instalar la aplicación AuthPoint en sus dispositivos móviles y activar su token AuthPoint.
Un token es un objeto que se utiliza para identificarlo y asociarlo a usted con un dispositivo, como una firma digital o una huella digital. Se usa en combinación con una contraseña, o en lugar de esta, cuando los usuarios inician sesión en un recurso protegido. Los usuarios activan un token en un dispositivo que utilizan para la autenticación, como un teléfono móvil. Este dispositivo se utiliza para obtener acceso a recursos protegidos que requieren una autenticación multifactor.
Para obtener más información, consulte Activar un Token.
Ver También
Inicio rápido — Configurar AuthPoint