Objetos de Política de Ubicación de Red

Los objetos de política de ubicación de red te permiten especificar una lista de direcciones IP. A continuación, puedes configurar políticas de autenticación que solo se aplican cuando los usuarios se autentican desde las direcciones IP en la ubicación de red especificada. Puedes hacer esto si deseas permitir que los usuarios inicien sesión sin MFA cuando están en la oficina.

Cuando añades una ubicación de red a una política de autenticación, la política solo se aplica a las autenticaciones de usuarios que proceden de esa ubicación de red. Los usuarios que solo tienen una política que incluya una ubicación de red no pueden obtener acceso al recurso cuando se autentican fuera de esa ubicación de red (porque no tienen una política aplicable, no porque se deniegue la autenticación).

Cuando configures una política que incluya una ubicación de red, recomendamos que crees una segunda política sin la ubicación de red para los mismos grupos y recursos. La segunda política se aplica a los usuarios cuando no están en la ubicación de red. Asegúrate de que la política con la ubicación de red tenga una prioridad más alta que la política sin la ubicación de red. Para obtener más información, consulta Acerca de la Prioridad de las Políticas.

Las ubicaciones de red requieren que el usuario final tenga conexión a Internet.

Para la autenticación RADIUS y la autenticación básica (ECP), las políticas que incluyan una ubicación de red no se aplicarán porque AuthPoint no puede determinar la dirección IP del usuario final ni la dirección IP de origen.

Ubicaciones de Red para RDP

Para las conexiones de Protocolo de Escritorio Remoto (RDP), AuthPoint usa la dirección IP que se conecta al puerto 3389 o al puerto 443 a fin de determinar si la autenticación se origina desde una ubicación de red.

Si configuras RDP para que use un puerto distinto del 3389 o el 443, AuthPoint no puede identificar la dirección IP del usuario final. En esta situación, las políticas con una ubicación de red no se aplican a la autenticación.

Si tienes un firewall, la ubicación de red recibe la dirección IP de confianza del firewall, no la dirección IP del usuario final.

Para permitir que los usuarios de tu red usen RDP para conectarse a un servidor en la red sin MFA, puedes crear una ubicación de red que incluya las direcciones IP privadas de los usuarios internos, pero no la dirección IP interna del firewall. Añade esta ubicación de red a una política que solo requiera autenticación de contraseña. Con esta configuración:

  • Los usuarios internos pueden conectarse al servidor sin MFA.
  • Las conexiones externas que proceden del firewall requieren MFA.

Crear Ubicaciones de Red para Omitir MFA

Para configurar una ubicación "segura" que no requiera MFA cuando los usuarios se autentican, debes configurar una ubicación de red y añadirla a una política de autenticación que solo requiera autenticación de contraseña. Esto permite a los usuarios iniciar sesión solo con sus contraseñas (sin MFA) cuando se autentican desde la ubicación de red especificada en los recursos de la política de autenticación.

Esta sección proporciona ejemplos que te ayudarán a configurar ubicaciones de red para diferentes casos de uso de redes locales o externas. En estos ejemplos, usamos estas definiciones:

  • Red Local — Los equipos que están dentro de la red de la empresa se consideran locales.
  • Redes Externas — Los equipos que están fuera de la red de la empresa se consideran externos.
  • Conexiones de VPN — Los equipos conectados a una VPN de la empresa se consideran parte de la red local.
  • Dirección IP Pública — Dirección IP pública usada para conectarse a Internet.
  • Dirección IP Local — Dirección IP usada dentro de la red local.
  • Dirección IP de Usuario — Dirección IP del equipo del usuario, en una red externa.
  • Conexiones Terminales — Conexión en la que un usuario inicia sesión en el equipo directamente.
  • Conexiones Remotas — Conexión en la que un usuario inicia sesión en un equipo con una conexión RDP.

En este ejemplo, queremos crear una ubicación de red para permitir que los usuarios de la red local inicien sesión solo con sus contraseñas en equipos con el agent for Windows o macOS (Logon app) instalado. Para este ejemplo, el usuario inicia sesión en el equipo directamente (sin conexión RDP).

La ubicación de la red debe incluir la dirección IP pública del Firewall o del dispositivo NAT. En el ejemplo que se muestra, crearías una ubicación de red con las direcciones IP públicas 203.0.113.25 y 192.0.2.30.

Diagram of the configuration for a terminal safe location

En este ejemplo, cuando un usuario se conecta a una VPN, queremos que su equipo se considere un equipo local en la red interna. Mientras está conectado a la VPN, el usuario puede autenticarse e iniciar sesión solo con su contraseña en los recursos asociados con la política de autenticación.

Para las solicitudes de VPN, AuthPoint usa la dirección IP del paquete interno a fin de validar la ubicación de red en la política de autenticación. En el ejemplo que se muestra, crearías una ubicación de red con la dirección IP 10.0.0.50.

Este ejemplo se aplica a organizaciones que solo usan máquinas virtuales desplegadas en servidores locales. En este ejemplo, queremos permitir que los usuarios que están en una red local se conecten a máquinas virtuales que tengan el agent for Windows (Logon app) instalado e inicien sesión solo con sus contraseñas.

Dado que AuthPoint usa la dirección IP interna para validar la ubicación de red en las solicitudes de RDP, debemos configurar la ubicación de red para usar el intervalo de IP o la dirección IP de red local. En el ejemplo que se muestra, crearías una ubicación de red con la dirección IP del equipo: 172.16.0.33.

En este ejemplo, queremos permitir que todos los usuarios locales (terminales y remotos) inicien sesión solo con sus contraseñas. Para ello, configuramos una ubicación de red con las direcciones IP públicas de nuestra organización y el intervalo de IP de la red local.

En la ubicación de red:

  • Las direcciones IP públicas 203.0.113.25 y 192.0.2.30 se aplican a las autenticaciones de las conexiones terminales.
  • El intervalo de IP 172.16.0.0/24 se aplica a las autenticaciones de equipos locales y equipos externos conectados a la VPN.

Para RD Gateway, hay dos formas en las que los usuarios pueden conectarse a los equipos internos:

  • Una RemoteApp RDP configurada en una Sesión de RD o una colección de Hosts de Virtualización en el Servicio de Escritorio Remoto (RDS)
  • Redireccionamiento de dispositivos para conectarse con RDP

La forma en la que los usuarios usan RD Gateway determina si debes añadir las direcciones IP públicas de la red o la dirección IP privada del servidor de RD Gateway cuando configuras una ubicación de red.

Para RemoteApps, el servidor de RD Gateway inicia la conexión RDP, y esto se gestiona como una conexión RDP desde la red local (como en el ejemplo 3). Debes añadir la dirección IP privada de RD Gateway a tu ubicación de red.

El redireccionamiento de dispositivos crea un túnel HTTPS a RD Gateway y la conexión RDP pasa por el túnel. Esto hace que la Logon app coincida con el intervalo de direcciones IP públicas asignadas a dispositivos en la red, como un inicio de sesión local (terminal). Para este caso de uso, debes añadir la dirección IP pública de la red a tu ubicación de red.

Configurar una Ubicación de Red

Para configurar un objeto de política de ubicación de red, en la AuthPoint management UI:

  1. En el menú de navegación de AuthPoint, selecciona Objetos de Política.
  2. En la lista desplegable Elegir un Tipo de Objeto de Política, selecciona Ubicación de Red. Haz clic en Añadir Objeto de Política.
    Aparece la página Ubicación de Red.

  1. En el cuadro de texto Nombre, escribe un nombre para identificar este objeto de política de ubicación de red. Esto te ayuda a identificar la ubicación de red cuando la añades a las políticas de autenticación.
  2. En el cuadro de texto Máscara de IP, escribe una dirección IP pública o una máscara de red que definan el intervalo de direcciones IP públicas para esta ubicación de red y pulsa la tecla Enter o de Retorno. Puedes especificar varias direcciones IP y varios intervalos para una ubicación de red.

    AuthPoint solo admite direcciones IPv4 para ubicaciones de red.

    No puedes añadir las direcciones IP 0.0.0.0 o 255.255.255.255 a una ubicación de red.

  1. Haz clic en Guardar.
  2. Añade esta ubicación de red a las políticas de autenticación a las que deseas que se aplique. Para obtener más información, consulta Añadir Políticas de Autenticación

    Recomendamos que crees una segunda política para los mismos grupos y recursos sin la ubicación de red a fin de que se aplique a los usuarios cuando no están en la ubicación de red. Asegúrate de que la política con la ubicación de red tenga una prioridad más alta que la política sin la ubicación de red. Para obtener más información, consulta Acerca de la Prioridad de las Políticas.

Ver También

Acerca de las Políticas de Autenticación de AuthPoint

Acerca de los Objetos de Política

Objetos de Política de Horario Programado