Agregar un Dominio de Autenticación a un Firebox

Aplica A: Fireboxes administrados en la nube

Puede agregar un dominio de autenticación al Firebox para especificar usuarios y grupos desde su servidor de autenticación en políticas de firewall, alias y ajustes de mobile VPN.

Antes de que pueda agregar un Dominio de autenticación Active Directory o RADIUS al Firebox, debe agregarlo a los ajustes de Configuraciones Compartidas de su cuenta de WatchGuard Cloud. Para más información, vaya a Dominios de Autenticación de WatchGuard Cloud.

Agregar un Dominio de Autenticación de WatchGuard Cloud

Para agregar un dominio de autenticación a la configuración del Firebox:

  1. Seleccione Configurar > Dispositivos.
  2. Seleccione un Firebox.
    Aparecen el estado y los ajustes del Firebox seleccionado.
  3. Seleccione Configuración del Dispositivo.
  4. Haga clic en el mosaico Dominios de Autenticación.
    Se abre la página Dominios de Autenticación.

Screen shot of the Authentication Domains page

  1. Haga clic en Agregar Dominio de Autenticación.
    Se abre la página Agregar Dominio de Autenticación.
  2. Seleccione WatchGuard Cloud Directory.
    Se abre la página Agregar Dominio de Autenticación.

Screen shot of the Add Authentication Domain page

  1. En la lista desplegable Seleccionar un Dominio de Autenticación Existente, seleccione el dominio de autenticación.

Para agregar un nuevo Dominio de Autenticación a su cuenta de WatchGuard Cloud, o para editar los ajustes del servidor de dominio, vaya a la página Configurar > Dominios de Autenticación. Para más información, vaya a Dominios de Autenticación de WatchGuard Cloud.

  1. En la lista desplegable Tipo, seleccione el tipo de servidor de autenticación.
  2. En la lista desplegable Servidor Principal, seleccione la dirección del servidor principal que se utilizará para la autenticación.
  3. En la lista desplegable Servidor de Respaldo, seleccione el servidor de respaldo.
  4. Haga clic en Guardar.

Agregar un Dominio de Autenticación SAML

Puede utilizar un dominio de autenticación SAML (Security Assertion Markup Language) para autenticar a los usuarios con su Firebox administrado en la nube Con SAML, puede intercambiar datos entre un proveedor de identidad (IdP) y un Service Provider (SP).

Cuando puede agregar un dominio de autenticación SAML al Firebox para autenticar usuarios, no lo agrega a las Configuraciones Compartidas de su cuenta de WatchGuard Cloud. En la configuración de SAML en el Firebox, se configura el Firebox como SP y un servicio de terceros como el IdP.

Su IdP debe cumplir con los requisitos de WatchGuard para la comunicación SAML 2.0. Para obtener más información sobre los requisitos de SAML, vaya a Requisitos de SAML para Proveedores de Identidad.

La autenticación SAML requiere Fireware v12.11 o superior y está deshabilitado de forma predeterminada.

Puede usar SAML para autenticarse con lo siguiente:

  • Portal de Autenticación
  • Mobile VPN with SSL

Fireware v12.11 amplía el soporte para la autenticación SAML e incluye la autenticación del Firebox. El cliente Mobile VPN with SSL v12.11 para Windows y el cliente Mobile VPN with SSL v12.11.2 para macOS son compatibles con la autenticación SAML. Debido a que la autenticación SAML para Mobile VPN with SSL requiere una actualización del cliente que sea compatible con la integración de un navegador web integrado capaz de interactuar con un proveedor de identidad (IdP), no se admiten versiones anteriores del cliente Mobile VPN with SSL ni clientes OpenVPN de terceros.

Cuando configura un usuario o grupo de autenticación SAML en una política de firewall pero luego habilita la autenticación SAML para Mobile VPN with SSL o el Portal de Autenticación, o cuando configura un usuario o grupo de autenticación SAML en una política de firewall y en Mobile VPN with SSL o el Portal de Autenticación, pero posteriormente desactiva la autenticación SAML para Mobile VPN with SSL o el Portal de Autenticación, los metadatos del SP cambian y la autenticación SAML deja de funcionar. Debe proporcionar los metadatos del SP actualizados a su administrador de IdP.

Para agregar un dominio de autenticación SAML a la configuración de un Firebox administrado en la nube, en WatchGuard Cloud:

  1. Seleccione Configurar > Dispositivos.
  2. Seleccione un Firebox administrado en la nube.
    Aparecen el estado y los ajustes del Firebox seleccionado.
  3. Seleccione Configuración del Dispositivo.
  4. Haga clic en el mosaico Autenticación > Dominios.
    Se abre la página Dominios de Autenticación.

Screen shot of the Authentication Domains page

  1. Haga clic en Agregar Dominio de Autenticación.
  2. Seleccione Proveedor de Identidad SAML.
    Se abre la página Ajustes del Service Provider (SP) de SAML.

Screen shot of the Add Authentication Domain page

  1. En el cuadro de texto Nombre de IdP, ingrese el nombre de su IdP.
    Este nombre aparece en las páginas de inicio de sesión del Firebox como un nombre del servidor de autenticación.
  2. En el cuadro de texto Nombre de Host, ingrese un FQDN que se resuelva en la interfaz externa del Firebox.
  3. Por ahora, mantenga el cuadro de texto URL de Metadatos IdP en blanco. Debe completar los pasos en la siguiente sección antes de poder obtener el URL de Metadatos de IdP de su administrador de IdP.

El Firebox no puede admitir múltiples aplicaciones del IdP al mismo tiempo. Cada aplicación del IdP tiene una URL de Metadatos del IdP única.

El cuadro de texto Nombre de Atributo de Grupo es memberOf de forma predeterminada. Si su administrador de IdP usa un nombre diferente, puede escribir ese nombre.

  1. Haga clic en Guardar.
    WatchGuard Cloud genera URL de dominios de autenticación e información del certificado.

Screenshot of SAML configuration dialog box.

Después de guardar la configuración de SAML, WatchGuard Cloud genera automáticamente una página que incluye información adicional de configuración y del certificado de SAML. Debe darle esta información a su administrador de IdP. Luego, el administrador puede configurar los ajustes de la cuenta para su empresa en el sitio web del IdP.

El certificado del Cliente SAML de Fireware que crea WatchGuard Cloud aparece en Certificados del Dispositivo para su dispositivo administrado en la nube. Para más información, vaya a Acerca de los Certificados del Dispositivo.

Siga las instrucciones ya sea para la Opción 1 o 2.

Debe implementar la configuración de SAML en el Firebox administrado en la nube antes de que su IdP pueda utilizar la URL de metadatos.

Opción 1 — Configuración Automática

Si su IdP acepta metadatos SAML de los SP, proporcione a su Administrador de IdP el URL de Metadatos en la sección Opción 1.

Opción 2 — Configuración Manual

Si su IdP no acepta metadatos SAML de los SP, proporcione a su Administrador de IdP los URL y el certificado en la sección Opción 2.

Configurar los Ajustes del Proveedor de Identidad SAML

Ahora debe regresar a la configuración SAML y completarla con la información que le proporciona su IdP.

Para completar la configuración de SAML, en WatchGuard Cloud:

  1. Seleccione Configurar > Dispositivos.
  2. Seleccione un Firebox.
    Aparecen el estado y los ajustes del Firebox seleccionado.
  3. Seleccione Configuración del Dispositivo.
  4. Haga clic en el mosaico Dominios de Autenticación.
    Se abre la página Dominios de Autenticación.
  5. Seleccione un dominio de SAML.
    Se abre la información de configuración de SAML.
  6. En el cuadro de texto URL de Metadatos del IdP, ingrese la URL de metadatos que su IdP proporciona.
  7. (Opcional) Para cambiar el Nombre de Atributo de Grupo, ingrese el nuevo Nombre de Atributo de Grupo. ¡Consejo!

  1. Haga clic en Guardar.
  2. Implemente los cambios.

Editar el Dominio de Autenticación de un Service Provider de SAML

Cuando edite una configuración de SAML, debe regenerar la información de configuración SAML que proporcionará al administrador de su IdP.

Para actualizar la configuración de SAML, en WatchGuard Cloud:

  1. Seleccione Configurar > Dispositivos.
  2. Seleccione un Firebox.
    Aparecen el estado y los ajustes del Firebox seleccionado.
  3. Seleccione Configuración del Dispositivo.
  4. Haga clic en el mosaico Dominios de Autenticación.
    Se abre la página Dominios de Autenticación.

Screen shot of the Authentication Domains page

  1. Seleccione un dominio de SAML.
    Se abre la página Ajustes de SAML.

Screenshot of SAML configuration dialog box.

  1. Realice todos los cambios necesarios.

Cuando guarda ediciones en el Nombre de Host en los ajustes de SAML, la información en las Opciones 1 y 2 se actualiza para reflejar los cambios.

  1. Haga clic en Regenerar Certificado.
  2. Haga clic en Guardar.
  3. Siga las instrucciones ya sea para la Opción 1 o 2.

Usuarios y Grupos del Dominio de Autenticación

Para autenticarse, los usuarios pueden conectarse a la página de autenticación del Firebox, seleccionar el dominio y especificar su nombre de usuario y contraseña. Para información, vaya a Conectarse al Portal de Autenticación del Firebox.

Después de agregar el dominio de autenticación, puede especificar usuarios y grupos del dominio en políticas y alias. Para más información, vaya a:

Temas Relacionados

Configurar la Autenticación RADIUS para un Firebox