Configurar MFA para ADFS

Active Directory Federation Services (ADFS) es una solución de inicio de sesión único para Active Directory que permite a los usuarios iniciar sesión en sistemas y aplicaciones externos con sus credenciales de Active Directory. Proporciona a los usuarios una experiencia de inicio de sesión único cuando inician sesión en las aplicaciones web de su organización.

Con el agente ADFS de AuthPoint, puedes añadir la autenticación multifactor (MFA) a ADFS para mayor seguridad. Para hacer esto, debes añadir un recurso ADFS en la AuthPoint management UI e instalar el agente ADFS en tu servidor ADFS.

Para usar MFA con ADFS, debes tener instalada la AuthPoint Gateway. Si aún no has instalado la AuthPoint Gateway, consulta Acerca de las Gateways.

Para que los usuarios de Active Directory usen la MFA AuthPoint con ADFS, debes mantener el valor sAMAccountName predeterminado para el atributo relacionado con el inicio de sesión del usuario cuando configures tu identidad externa.

Configurar un Recurso ADFS

En la AuthPoint management UI:

  1. En el menú de navegación de AuthPoint, selecciona Recursos.
    Se abre la página Recursos en la AuthPoint management UI.
  2. En la lista desplegable Elegir un tipo de recurso, selecciona ADFS. Haz clic en Añadir.

  1. En el cuadro de texto Nombre, escribe un nombre descriptivo para el recurso.

  1. Haz clic en Guardar.
  2. Añade el recurso ADFS a tus políticas de autenticación existentes o añade nuevas políticas de autenticación para el recurso ADFS. Las políticas de autenticación especifican en qué recursos se pueden autenticar los usuarios y qué métodos de autenticación pueden usar. Para obtener más información, consulta Acerca de las Políticas de Autenticación de AuthPoint.

Añadir el Recurso ADFS a Tu Configuración de Gateway

Para usar MFA con ADFS, debes tener la AuthPoint Gateway instalada y debes asociar tu recurso ADFS con la AuthPoint Gateway. La AuthPoint Gateway es el punto de comunicación entre AuthPoint y tu servidor ADFS.

Si aún no has instalado la AuthPoint Gateway, consulta Acerca de las Gateways.

Para añadir tu recurso ADFS a la configuración de tu AuthPoint Gateway:

  1. Desde el menú de navegación de AuthPoint, selecciona Gateway.
  2. Haz clic en el Nombre de tu Gateway.

  1. En la sección ADFS, en la lista Seleccionar un recurso ADFS, selecciona tu recurso ADFS.

  1. Haz clic en Guardar.

Has asociado correctamente tu recurso ADFS con tu Gateway. El siguiente paso es descargar e instalar el agente ADFS.

Descargar e Instalar el Agent ADFS

Debes descargar el archivo de configuración de la Gateway a la que está asociado tu recurso ADFS y, a continuación, debes descargar e instalar el agente ADFS.

Tu Gateway debe estar instalada y disponible cuando instales el agente ADFS.

  1. Desde el menú de navegación de AuthPoint, selecciona Descargas.
  2. En la sección ADFS, haz clic en Descargar Instalador. Debes tener un recurso ADFS y tu Gateway instalada debe ser la versión 4.0.0 o superior para descargar el archivo de configuración.
  3. Haz clic en Descargar Configuración para descargar el archivo de configuración. Si tienes varias Gateways, se te pedirá que selecciones a qué Gateway está asociado tu recurso ADFS.
  4. Mueve el agente ADFS y el archivo de configuración al servidor ADFS.
  5. Ejecuta el agente ADFS.

Configurar Tu Servidor

Después de instalar el agente ADFS, debes habilitar MFA en ADFS para grupos específicos. La MFA solo funciona para los usuarios que son miembros de los grupos ADFS que has seleccionado y miembros de los grupos de AuthPoint con una política de autenticación para tu recurso ADFS.

Los pasos para habilitar MFA para grupos ADFS son diferentes en función de si tienes un servidor Windows 2012r2 o un servidor Windows 2016.

  1. Abre las Herramientas Administrativas.
  2. Selecciona Gestión de ADFS.

  1. Selecciona Políticas de Autenticación.
  2. En la sección Métodos de Autenticación Multifactor, haz clic en Editar para configurar MFA globalmente. Para configurar MFA por usuario de confianza, haz clic en Gestionar.

  1. En la ventana Editar Política de Autenticación Global, haz clic en Añadir.

  1. En la ventana Seleccionar Usuarios o Grupos, escribe el nombre de los grupos LDAP para los que desees habilitar MFA.
  2. Haz clic en Aceptar.

  1. En la ventana Editar Política de Autenticación Global, en la sección de métodos de autenticación adicionales, selecciona Autenticación Multifactor de WatchGuard.
  2. Haz clic en Aplicar.

Después de la configuración, la Gestión de AD FS mostrará los usuarios/grupos y el método de autenticación seleccionados.

  1. Abre Herramientas Administrativas;
  2. Selecciona Gestión de ADFS.

  1. Selecciona Servicio > Métodos de Autenticación.
  2. En la sección Métodos de Autenticación Multifactor, haz clic en Editar.

  1. En la ventana Editar Métodos de Autenticación, selecciona Autenticación Multifactor de WatchGuard. Haz clic en Aplicar.

Ahora es necesaria la MFA para que los usuarios accedan a los recursos ADFS. Para configurar MFA solo para usuarios específicos, debes crear una política de control de acceso para un grupo de AD con esos usuarios.

  1. (Opcional) Crea un grupo de AD para los usuarios que deben usar MFA. Si ya tienes un grupo, no tienes que crear otro.
  2. Selecciona Políticas de Control de Acceso.
  3. Haz clic en Añadir Política de Control de Acceso.
  4. En el cuadro de texto Nombre, escribe Permitir a todos, pero requerir MFA para grupos específicos.
  5. Escribe una Descripción.
  6. Haz clic en Añadir.
  7. En la ventana Editor de Reglas, configura estos permisos:
    • Permitir usuarios excepto del Dominio\<tu grupo de AD>
    • Permitir usuarios del Dominio\<tu grupo de AD> y requerir la autenticación multifactor
  8. Haz clic en Aceptar para guardar.
  9. Selecciona Veracidades de Usuarios de Confianza.
  10. Haz clic con el botón derecho en una veracidad y selecciona Editar Política de Control de Acceso.
  11. Selecciona la política que acabas de crear.
  12. Haz clic en Aceptar. Reinicia el servicio ADFS.

Autenticación con ADFS

Cuando MFA está configurada para ADFS, los usuarios deben autenticarse cuando acceden a las aplicaciones web de tu organización. Cuando un usuario navega hasta una aplicación web, se le redirige a la página de SSO de ADFS, donde debe proporcionar sus credenciales de AD y autenticarse con MFA.

Para autenticarte con ADFS:

  1. Navega hasta una aplicación web externa.
    Se te redirigirá a la página de SSO de ADFS.
  2. En el cuadro de texto Nombre de usuario, escribe tu nombre de usuario o tu correo electrónico. Los nombres de usuario deben tener el formato usuario@dominio o dominio\usuario.
  3. En el cuadro de texto Contraseña, escribe tu contraseña.
  4. Haz clic en Iniciar sesión.
  5. En la sección Opciones de Inicio de Sesión, selecciona una opción de autenticación y autentícate.
    • Push — Aprueba la notificación push que se envía a tu teléfono
    • Código QR — Usa la aplicación móvil AuthPoint para escanear el código QR y, a continuación, escribe el código de verificación que se muestra en la aplicación
    • Contraseña de Un Solo Uso — Escribe la contraseña de un solo uso para tu token

Ver También

Establecer una Página de Inicio de Sesión Personalizada para ADFS

Actualizar el Agent ADFS de AuthPoint

Desinstalar el Agente ADFS

Acerca de las Gateways

Acerca de las Políticas de Autenticación de AuthPoint