Guía de Implementación de AuthPoint

Usted administra AuthPoint desde WatchGuard Cloud. Existen dos tipos de cuenta de WatchGuard Cloud — Service Provider y Subscriber — cada una con una vista diferente de WatchGuard Cloud.

Para averiguar qué tipo de cuenta de WatchGuard Cloud tiene:

Puede determinar si tiene una cuenta Service Provider o una cuenta Subscriber según el aspecto de la WatchGuard Cloud UI y el menú de navegación.

Si ve un menú de Administrador de Cuentas, y el menú de navegación incluye una opción de menú de Inventario, entonces tiene una cuenta Service Provider.

Si ve un panel de control similar a este, y no hay un menú de Administrador de Cuentas, entonces tiene una cuenta Subscriber.

Si tiene una cuenta Service Provider, antes de poder configurar AuthPoint debe ir a la página Inventario y asignar licencias de usuarios de AuthPoint a su cuenta. Para más información, consulte Asignar Usuarios a Su Cuenta.

Puede configurar y administrar AuthPoint desde la sección Configurar Servicios de WatchGuard Cloud.

Para navegar a la AuthPoint management UI en WatchGuard Cloud:

1. Inicie sesión en WatchGuard Cloud en http://cloud.watchguard.com/.
   Se muestra la página Paneles de Control de WatchGuard Cloud.
2. En el menú de navegación, seleccione Configurar > AuthPoint. Si tiene una cuenta Service Provider, debe seleccionar una cuenta del Administrador de Cuentas.
   Se abre la página Resumen de AuthPoint.

La AuthPoint Gateway es una aplicación que instala en su red para sincronizar la información de la cuenta de usuario entre su servidor LDAP o Active Directory y AuthPoint.

La Gateway funciona como un servidor RADIUS y es necesaria para la autenticación RADIUS y para que los usuarios sincronizados con LDAP se autentiquen con recursos SAML. Debe instalar la Gateway para que AuthPoint pueda comunicarse con sus clientes RADIUS y sus bases de datos LDAP.

Puede configurar más de una Gateway en una red. Para cada Gateway primaria que configure, puede configurar hasta cinco Gateways secundarias.

Gateway Primaria

La Gateway primaria sincroniza sus usuarios LDAP y habilita la autenticación RADIUS y la autenticación de usuario LDAP. Esta Gateway es el principal punto de comunicación entre AuthPoint y sus clientes RADIUS, el AuthPoint agent for ADFS y su base de datos Active Directory o LDAP.

Gateway Secundaria

Puede configurar Gateways secundarias como conmutación por error para la autenticación de usuarios LDAP. Cuando su Gateway primaria no está disponible, AuthPoint envía automáticamente las autenticaciones de usuario LDAP a través de la Gateway secundaria hasta que la Gateway primaria vuelva a estar disponible.

También puede usar Gateways secundarias como un servidor RADIUS de respaldo. La única limitación es que el software o dispositivo de terceros que envía solicitudes de autenticación a la Gateway debe admitir el uso de servidores RADIUS adicionales.

No puede usar Gateways secundarias para el balance de carga o la sincronización de usuarios LDAP.

Antes de instalar la Gateway, debe configurarla en la AuthPoint management UI.

Para configurar e instalar la AuthPoint Gateway:

1. Desde el menú de navegación de AuthPoint, seleccione Gateway.
2. Haga clic en Agregar Gateway.

3. En el cuadro de texto Nombre, ingrese un nombre descriptivo para la Gateway.

4. Haga clic en Guardar.
5. En la página Gateway, en la parte inferior del mosaico de su Gateway, haga clic en Clave de Registro.

6. En el cuadro de diálogo Clave de Registro de la Gateway, copie la clave de registro. Necesita este valor para instalar la Gateway.

   La clave de registro de la Gateway es una clave de uso único. Si falla la instalación de la Gateway, debe generar una nueva clave para usar en la instalación.

7. En el menú de navegación, seleccione Descargas.
8. En la sección Instalador de Gateway, haga clic en Descargar Instalador.

9. Ejecute el instalador de Gateway descargado en cualquier lugar de su red que tenga acceso a Internet y que pueda conectarse a sus clientes RADIUS y a los servidores de LDAP.
   Se abre el cuadro de diálogo Configuración de la AuthPoint Gateway de WatchGuard.
10. En el cuadro de texto Clave de Registro de la Gateway, escriba o pegue la clave de registro de la Gateway que copió de AuthPoint.
11. Haga clic en Instalar.

12. Haga clic en Finalizar.

13. En la AuthPoint management UI, en la página Gateway, marque el icono circular junto al nombre de su Gateway. Un icono verde indica que la Gateway se ha instalado correctamente y puede comunicarse con AuthPoint.

    Si falla la instalación de la Gateway, debe generar una nueva clave de registro para usar en la instalación. Para más información, consulte Clave de Registro de la Gateway.

Para conocer los pasos detallados para configurar una o varias Gateways secundarias, consulte Configurar e Instalar Gateways Secundarias.

Las identidades externas se conectan a las bases de datos de los usuarios para obtener información de las cuentas de los usuarios y validar las contraseñas. Para sincronizar usuarios de una base de datos de usuarios externa, debe agregar una identidad externa.

En este ejemplo, mostramos los pasos para sincronizar usuarios desde Active Directory o una base de datos de Lightweight Directory Access Protocol (LDAP). Para ver cómo crear una identidad externa para sincronizar usuarios desde Azure Active Directory, consulte Sincronizar Usuarios desde Azure Active Directory.

Para agregar una identidad externa, desde la AuthPoint management UI:

1. Seleccione Identidades Externas.

2. Haga clic en Agregar Identidad Externa.
   Se abre la página Agregar Identidad Externa.

3. En la lista desplegable Tipo, seleccione Configuración LDAP.
   Se muestran campos adicionales.
4. En el cuadro de texto Nombre, ingrese un nombre descriptivo para la identidad externa.
5. En el cuadro de texto Base de Búsqueda LDAP, escriba su base de datos LDAP. En este ejemplo, el dominio es ejemplo.com por lo que escribimos dc=ejemplo,dc=com. ¡Consejo! El formato estándar para los ajustes de la base de búsqueda es: ou=<name of organizational unit>,dc=<first part of the distinguished server name>,dc=<any part of the distinguished server name that appears after the dot>.

   Para obtener más información acerca de la sintaxis LDAP y cómo utilizar una base de búsqueda para limitar los directorios del servidor de autenticación en los que la identidad externa puede buscar usuarios, consulte Encontrar Su Base de Búsqueda del Active Directory.

6. En los cuadros de texto Cuenta del Sistema y Contraseña, escriba las credenciales de un usuario que tenga permisos para realizar búsquedas y vinculaciones LDAP. Si este usuario no se encuentra en la carpeta predeterminada de Usuarios, seleccione el interruptor y ingrese el nombre completo del usuario. Puede especificar una contraseña de hasta 255 caracteres.¡Consejo! El formato estándar para el nombre completo de un usuario es: cn=<name of user>,ou=<name of organizational unit>,dc=<first part of the distinguished server name>,dc=<any part of the distinguished server name that appears after the dot>.

   En este ejemplo, tenemos un usuario llamado administrador que se encuentra en una OU llamada AuthPoint (no es la carpeta predeterminada de usuarios). Por lo tanto, debemos seleccionar el interruptor y escribir el nombre completo de nuestro usuario como CN=administrador,OU=AuthPoint,DC=ejemplo,DC=com. Si este usuario estuviera en la carpeta Usuarios predeterminada, solo tendríamos que escribir el nombre de usuario administrador.

   Si el usuario está en la carpeta Usuarios y el nombre de usuario es diferente del nombre de la cuenta (sAMAccountName), debe ingresar el nombre de la cuenta en el cuadro de texto Cuenta del Sistema.

7. En la lista desplegable Intervalo de Sincronización, especifique la frecuencia con la que desea sincronizar la base de datos LDAP. Si selecciona Cada 24 horas, también debe especificar a qué hora se inicia la sincronización cada día.

   En cuanto a las identidades externas de LDAP que configura para sincronizar una vez cada 24 horas, la hora del Intervalo de Sincronización utiliza la zona horaria del servidor de LDAP.

8. En Tipo, seleccione si se trata de un servidor Active Directory o de un tipo diferente de base de datos LDAP. Para otras bases de datos, debe especificar cada valor de atributo. No tiene que hacer esto para Active Directory porque los valores de los atributos son conocidos.
9. En el cuadro de texto Dominio, ingrese su nombre de dominio LDAP.
10. Si no se trata de un servidor Active Directory, escriba un valor para cada atributo.

    Si sus usuarios de Active Directory utilizan ADFS, debe mantener el valor predeterminado de sAMAccountName para el atributo relacionado con el inicio de sesión del usuario.

11. En el cuadro de texto Dirección del Servidor, escriba la dirección IP de su servidor LDAP.

    Si su instancia de Active Directory no utiliza LDAPS Secure Lightweight Directory Access Protocol, debe deshabilitar el interruptor LDAPS para la identidad externa. Al hacer esto, el puerto predeterminado cambia de 636 a 389.

12. En el cuadro de texto Puerto del Servidor, escriba el puerto de su servidor.

13. (Opcional) Para agregar una dirección redundante para su identidad externa, haga clic en Agregar Dirección Redundante y escriba una dirección y un puerto diferentes para la misma base de datos LDAP.
14. Haga clic en Guardar.

A continuación, debe agregar su identidad externa a la configuración de su AuthPoint Gateway. Después, puede probar la conexión a su base de datos LDAP.

1. En el menú de navegación, seleccione Gateway.
2. Haga clic en el Nombre de su Gateway.
3. En la sección LDAP, en la lista Seleccionar una identidad externa LDAP, seleccione su servidor LDAP o Active Directory Server.

4. Haga clic en Guardar.
5. En el menú de navegación, seleccione Identidades Externas.
6. Junto a la identidad externa que agregó para su base de datos LDAP, haga clic en y seleccione Comprobar Conexión.

AuthPoint ahora está conectado a su base de datos LDAP. Puede crear una consulta para sincronizar usuarios, pero antes de hacerlo, le recomendamos que agregue recursos para todas las aplicaciones y servicios para los que desea requerir autenticación.

En AuthPoint, los recursos son las aplicaciones que protege para usar con AuthPoint. Cuando agrega un recurso, proporciona la información necesaria para que AuthPoint se conecte a ese recurso.

Cuando agrega y configura un recurso en AuthPoint, se requiere autenticación para iniciar sesión en ese recurso. Para cada recurso, los usuarios deben ser miembros de un grupo que tenga una política de autenticación que incluya ese recurso para autenticarse e iniciar sesión.

Los usuarios que no son miembros de grupos que tienen una política de autenticación para un recurso específico no pueden autenticarse para iniciar sesión en ese recurso.

Consulte las Guías de Integración de AuthPoint para obtener más información sobre cómo configurar la autenticación con servicios y aplicaciones de terceros específicos.

Para agregar recursos Firebox

Para habilitar AuthPoint como servidor de autenticación en un Firebox que ejecuta Fireware 12.7 o superior, configure un recurso Firebox en AuthPoint. Esto facilita la configuración de la MFA de AuthPoint para:

• Mobile VPN with SSL
• Mobile VPN with IKEv2
• Firebox Web UI
• Portal de Autenticación del Firebox

Cuando configura un recurso Firebox para agregar la MFA a un Firebox, AuthPoint recibe la dirección IP del usuario final, por lo que los objetos de política de ubicación de red se aplican cuando un usuario se autentica con un cliente VPN.

No es necesario que agregue un recurso Firebox a la configuración de su Gateway, incluso si el recurso Firebox tiene MS-CHAPv2 habilitado. En esta situación, el Firebox valida la contraseña del usuario con NPS, y AuthPoint autentica al usuario con la MFA.

Antes de configurar un recurso Firebox, asegúrese de haber registrado y conectado el dispositivo a WatchGuard Cloud como un Firebox administrado localmente. Para Fireboxes administrados en la nube y Fireboxes que ejecutan Fireware v12.6.x o inferior, recomendamos que configure un recurso del cliente RADIUS para el Firebox.

Para obtener instrucciones detalladas a fin de registrar y conectar su Firebox a WatchGuard Cloud, consulte Agregar un Firebox Administrado Localmente a WatchGuard Cloud.

Para agregar un recurso Firebox:

1. En el menú de navegación, seleccione Recursos.
   
   Se abre la página Recursos.

2. Haga clic en Agregar Recurso.
   
   Se abre la página Agregar Recurso.

3. En la lista desplegable Tipo, seleccione Firebox.

4. En el cuadro de texto Nombre, ingrese un nombre descriptivo para el recurso.
5. En la lista desplegable del Firebox, seleccione el Firebox o FireCluster que desea conectar a AuthPoint. Esta lista solo muestra los Fireboxes y FireClusters administrados localmente que agregó a WatchGuard Cloud.

6. Para configurar el recurso Firebox para que acepte solicitudes de autenticación MS-CHAPv2, haga clic en el interruptor Habilitar MS-CHAPv2.
   
   Aparecen cuadros de texto adicionales.

   No es necesario habilitar MS-CHAPv2 si solo los usuarios de AuthPoint locales utilizan el cliente VPN IKEv2.

7. En el cuadro de texto IP o FQDN De Confianza del Servidor RADIUS NPS, escriba la dirección IP o el nombre de dominio completamente calificado (FQDN) del servidor RADIUS NPS.
8. En el cuadro de texto Puerto, escriba el puerto que NPS utiliza para la comunicación. El puerto predeterminado es el 1812.
9. En el cuadro de texto Tiempo de Espera En Segundos, ingrese un valor en segundos. El valor de tiempo de espera es la cantidad de tiempo antes de que expire una autenticación push.
10. En el cuadro de texto Secreto Compartido, ingrese la clave secreta compartida que NPS y el Firebox usan para comunicarse.

11. Haga clic en Guardar.

Después de agregar el recurso Firebox en AuthPoint, se habilita el servidor de autenticación de AuthPoint en su Firebox. Para agregar la MFA, debe configurar el Firebox de modo que use el servidor de autenticación AuthPoint para las funciones que desea:

• Mobile VPN with SSL — En Fireware, configure AuthPoint como servidor de autenticación principal para su configuración de Mobile VPN with SSL. Para ver los pasos detallados, consulte Integración de Mobile VPN with SSL del Firebox con AuthPoint.

  Si agrega el servidor de autenticación AuthPoint a su configuración de Mobile VPN with SSL, los usuarios deben descargar y usar el cliente WatchGuard Mobile VPN with SSL v12.7 o superior o el cliente OpenVPN SSL.

• Mobile VPN with IKEv2 — En Fireware, configure AuthPoint como el servidor de autenticación principal para su configuración Mobile VPN with IKEv2. Para ver los pasos detallados, consulte Integración de Mobile VPN with IKEv2 del Firebox con AuthPoint para Usuarios de Active Directory, o bien Integración de Mobile VPN with IKEv2 del Firebox con AuthPoint para Usuarios de Azure Active Directory.
• Portal de Autenticación del Firebox — En Fireware, especifique AuthPoint como servidor de autenticación para usuarios y grupos. Para ver los pasos detallados, consulte Autenticación del Firebox con AuthPoint.
• Fireware Web UI — En Fireware, seleccione Sistema > Usuarios y Roles y agregue usuarios de Administración del Dispositivo con AuthPoint como servidor de autenticación. Para más información, consulte Administrar Usuarios y Roles en Su Firebox

Para agregar recursos del cliente RADIUS

Los recursos del cliente RADIUS representan un dispositivo o aplicación que envía paquetes de RADIUS a la AuthPoint Gateway. Se utilizan comúnmente para autenticar a los usuarios para firewalls y VPN.

A fin de configurar la MFA para un Firebox que ejecuta Fireware v12.7 o superior y que se agregó a WatchGuard Cloud como un Firebox administrado localmente, recomendamos que agregue un recurso Firebox.

Los recursos del cliente RADIUS deben estar enlazados con la AuthPoint Gateway y debe elegir una clave secreta compartida para que el servidor RADIUS (AuthPoint Gateway) y el cliente RADIUS puedan comunicarse.

Para agregar recursos del cliente RADIUS:

1. En el menú de navegación, seleccione Recursos.
2. Haga clic en Agregar Recurso.
   Se abre la página Agregar Recurso.
3. En la lista desplegable Tipo, seleccione Cliente RADIUS.
4. En el cuadro de texto Nombre, ingrese un nombre descriptivo para el recurso.
5. En el cuadro de texto IP de confianza o FQDN del cliente RADIUS, escriba la dirección IP que utiliza su cliente RADIUS para enviar paquetes RADIUS a la AuthPoint Gateway. Esta debe ser una dirección IP privada. En el caso de los Fireboxes, ésta suele ser la dirección IP de confianza de su Firebox.
6. En la lista desplegable Valor enviado para el atributo 11 de RADIUS, especifique lo que se envía para el valor del atributo 11 (Filter-ID) en las respuestas RADIUS. Puede elegir entre enviar el grupo de AuthPoint del usuario o los grupos de Active Directory del usuario.

   Para especificar un valor de Filter-ID, debe instalar la versión 5 o superior de la AuthPoint Gateway.

7. En el cuadro de texto Secreto Compartido, escriba una contraseña que el servidor RADIUS (AuthPoint Gateway) y el cliente RADIUS utilizarán para comunicarse.
8. Para configurar el recurso del cliente RADIUS a fin de aceptar solicitudes de autenticación MS-CHAPv2, habilite el interruptor Habilitar MS-CHAPv2. Puede usar esta opción si desea configurar la MFA de AuthPoint para IKEv2.
   Aparecen campos adicionales.

   Para habilitar MS-CHAPv2, debe instalar la versión 5.3.1 o superior de la AuthPoint Gateway.

9. En el cuadro de texto IP o FQDN de confianza del Servidor RADIUS NPS, escriba la dirección IP o FQDN del servidor RADIUS NPS.
10. En el cuadro de texto Puerto, escriba el número de puerto para la Gateway (servidor RADIUS) que se utilizará para comunicarse con NPS. El puerto predeterminado es el 1812.

    Si NPS y la Gateway están instalados en el mismo servidor, el puerto que la Gateway usa para comunicarse con NPS debe ser diferente del puerto que la Gateway usa para comunicarse con el cliente RADIUS.

11. En el cuadro de texto Tiempo de Espera en Segundos, ingrese un valor en segundos. El valor de tiempo de espera es la cantidad de tiempo antes de que expire una autenticación push.
12. Haga clic en Guardar.

A continuación, debe agregar su recurso del cliente RADIUS a la configuración de su AuthPoint Gateway. Esto es necesario para que el cliente RADIUS se comunique con el servidor RADIUS (Gateway) y con AuthPoint.

Para conectar su recurso del cliente RADIUS a la Gateway:

1. En el menú de navegación, seleccione Gateway.
2. Haga clic en el Nombre de su Gateway.
3. En la sección RADIUS, en el cuadro de texto Puerto, escriba el número de puerto que debe utilizar el cliente RADIUS para comunicarse con la Gateway (servidor RADIUS). Los puertos predeterminados de la Gateway son el 1812 y el 1645.

   Si ya tiene instalado un servidor RADIUS que usa el puerto 1812 o 1645, debe usar un puerto diferente para la AuthPoint Gateway.

4. En la lista Seleccionar un recurso RADIUS, seleccione su recurso o recursos del cliente RADIUS.

5. Haga clic en Guardar.

Ha agregado correctamente un recurso del cliente RADIUS y lo ha conectado con su Gateway. El último paso es configurar su cliente RADIUS para la autenticación. Consulte las Guías de Integración de AuthPoint para obtener los pasos para configurar recursos del cliente RADIUS específicos.

Para agregar recursos SAML

Los recursos SAML conectan AuthPoint con el proveedor de un servicio de terceros al que los usuarios se conectan (proveedor de servicios de terceros), como Microsoft o Salesforce. Agregue recursos SAML y defina políticas de acceso para que requieran que los usuarios se autentiquen a fin de que puedan conectarse a esos servicios o aplicaciones.

Antes de agregar un recurso SAML en AuthPoint, debe configurar la autenticación SAML para su proveedor de servicios de terceros. Para hacer esto, descargue los metadatos de AuthPoint de la página Recursos en la AuthPoint management UI e importe el archivo de metadatos al proveedor de servicios de terceros.

Los metadatos de AuthPoint proporcionan información necesaria para identificar AuthPoint y establecer una relación de confianza entre el proveedor de servicios de terceros y el proveedor de identidad (AuthPoint).

Para configurar la autenticación SAML para su proveedor de servicios de terceros:

1. Seleccione Recursos.

2. Haga clic en Certificado.
3. En la página Administración de Certificados, junto al certificado de AuthPoint que asociará a su recurso, haga clic en y seleccione una opción para descargar los metadatos, copiar la URL de metadatos, descargar el certificado o copiar la huella dactilar en función de lo que requiera el proveedor de servicios para sus recursos.

   Los metadatos de AuthPoint proporcionan a su recurso la información necesaria para identificar a AuthPoint como un proveedor de identidad de confianza. Esto es necesario para la autenticación SAML.

4. Importe el archivo de metadatos de AuthPoint al proveedor de servicios de terceros y obtenga la Identificación de Entidad del Service Provider y los valores de Assertion Consumer Service del proveedor de servicios. Estos valores son necesarios para configurar el recurso SAML en AuthPoint.

   Consulte las Guías de Integración de AuthPoint para obtener los pasos para configurar recursos SAML específicos.

Para agregar un recurso SAML en la AuthPoint management UI:

1. Seleccione Recursos.

2. Haga clic en Agregar Recurso.
   
   Se abre la página Agregar Recurso.

3. En la lista desplegable Tipo, seleccione SAML.
4. En el cuadro de texto Nombre, ingrese un nombre para el recurso. Le recomendamos que use el nombre de la aplicación.
5. En la lista desplegable Tipo de Aplicación, seleccione la aplicación correspondiente, o seleccione Otros si la aplicación no aparece en la lista. Para el tipo de aplicación Otros, puede especificar el estado de la retransmisión, los atributos personalizados y una imagen personalizada que aparecerá para esta aplicación en el portal del IdP.

   Puede hacer clic en el enlace Guía de Integración para abrir un tema de ayuda con los pasos para configurar su aplicación. Este enlace es sensible al contexto.

6. (Opcional) Si seleccionó el tipo de aplicación Otros, puede especificar un parámetro Relay State (Estado de Retransmisión) para este recurso SAML.
7. En los cuadros de texto Identificación de Entidad del Service Provider y Assertion Consumer Service, escriba los valores del proveedor de servicios de la aplicación.
8. En la lista desplegable Identificación de Usuario, seleccione el atributo de identificación de usuario que se enviará al proveedor de servicios. El proveedor de servicios compara el atributo de Identificación de usuario para el usuario de AuthPoint con el nombre de usuario en su aplicación. Estos valores deben coincidir.

   Por ejemplo, Salesforce requiere un nombre de usuario en un formato de correo electrónico que incluya un dominio. Debido a que el nombre de usuario de AuthPoint no incluye un dominio, su Identificación de Usuario debe ser un correo electrónico que coincida con el nombre de usuario de Salesforce.

9. (Opcional) Haga clic en Seleccionar Archivo para cargar un certificado del proveedor de servicios. Cuando cargue un certificado, puede seleccionar la opción Cifrado habilitado para habilitar o deshabilitar el cifrado de la comunicación SAML.
10. En la lista desplegable Certificado de AuthPoint, seleccione el certificado de AuthPoint que se asociará a su recurso. Debe ser el mismo certificado para el que descargó los metadatos. El certificado de AuthPoint proporciona a su recurso (proveedor de servicios) la información necesaria para identificar a AuthPoint como un proveedor de identidad de confianza. Si no reemplazó el certificado de AuthPoint predeterminado para su cuenta, puede dejar el valor predeterminado. Para más información, consulte Administración de Certificados.
11. Algunos tipos de aplicaciones requieren información adicional. Si corresponde, complete todo campo adicional requerido para la aplicación.
12. (Opcional) Si seleccionó el tipo de aplicación Otros, puede especificar uno o varios atributos personalizados para este recurso SAML. Esto es necesario para algunas aplicaciones. Para agregar un atributo personalizado:
    1. Haga clic en Agregar Atributo.
       Se abre la ventana Agregar Atributo.
    2. Ingrese el Nombre de Atributo. Este valor distingue entre mayúsculas y minúsculas.
    3. En la lista desplegable Obtener Valor de, seleccione qué valor se usa para este atributo personalizado. Si el valor es estático, seleccione Valor fijo y especifique el valor fijo que se usará.
    4. Haga clic en Guardar.
13. (Opcional) Si seleccionó el tipo de aplicación Otros, puede cargar una imagen personalizada para que aparezca para esta aplicación en el portal del IdP. Para cargar una imagen, arrastre un archivo de imagen desde su computadora o haga clic en Seleccionar un archivo para importar y seleccione un archivo de imagen.
14. Haga clic en Guardar.

Para agregar un recurso de la Logon app

WARNING: No instale la Logon app en computadoras que ejecutan Windows 7 o inferior o en servidores que ejecutan Windows 2008 R2 o inferior.

La Logon app le permite requerir autenticación cuando los usuarios inician sesión en una computadora o servidor. Esto incluye protección para RDP y RD Gateway.

La Logon app tiene dos partes:

• El recurso que configura en AuthPoint
• La aplicación que instala en una computadora o servidor

Al instalar la Logon app, se requiere autenticación para iniciar sesión. En la pantalla de inicio de sesión, los usuarios deben escribir su contraseña y luego seleccionar uno de los métodos de autenticación permitidos (notificación push, contraseña de un solo uso o código QR).

Si su licencia de AuthPoint expira, o si elimina el recurso de la Logon app, los usuarios pueden iniciar sesión en sus computadoras solo con su contraseña.

Para comenzar, debe agregar un recurso para la Logon app:

1. En el menú de navegación de AuthPoint, seleccione Recursos.

2. Haga clic en Agregar Recurso.
   
   Se abre la página Agregar Recurso.

3. En la lista desplegable Tipo, seleccione Logon App.
   Aparecen campos adicionales.

4. En el cuadro de texto Nombre, ingrese un nombre para este recurso.
5. (Opcional) En el cuadro de texto Mensaje de Soporte, escriba un mensaje para mostrar en la pantalla de inicio de sesión.

6. En la lista desplegable Acceso para Usuarios sin AuthPoint, seleccione si desea permitir que los usuarios que no tienen una cuenta de usuario de AuthPoint inicien sesión en computadoras protegidas sin MFA. Puedes elegir entre tres opciones:
   • No permitir usuarios sin AuthPoint
   • Permitir que usuarios sin AuthPoint específicos inicien sesión sin MFA
   • Permitir que todos los usuarios sin AuthPoint inicien sesión sin MFA

   Los usuarios sin AuthPoint solo pueden iniciar sesión sin MFA si no existe una cuenta de usuario de AuthPoint con el mismo nombre del usuario.

7. Si elige permitir que usuarios sin AuthPoint específicos inicien sesión sin MFA, en el cuadro de texto Agregar Nombres de Usuario, escriba el nombre de usuario de cada usuario sin AuthPoint que pueda iniciar sesión sin MFA. Puede especificar hasta 50 usuarios sin AuthPoint y que pueden iniciar sesión sin la MFA.

8. Haga clic en Guardar.

No tiene que agregar recursos de la Logon app adicionales para cada computadora en la que está instalada la Logon app, independientemente del sistema operativo. Solo necesita múltiples recursos de la Logon app si tiene varios dominios.

Ahora que agregó un recurso de la Logon app, debe instalarla en cualquier computadora y servidor para el que desee requerir autenticación. Los pasos del siguiente procedimiento cubren cómo instalar manualmente la Logon app. También puede instalar la Logon app desde un símbolo del sistema de Windows, o bien usar un GPO de Active Directory para instalar la Logon app de forma remota en varias computadoras. Para obtener información detallada, consulte Instalar la Logon App desde un Símbolo del Sistema de Windows y Utilizar un GPO de Active Directory para Instalar la Logon App.

Para instalar la Logon app:

1. Seleccione Descargas.
2. En la sección Logon App, junto a su sistema operativo, haga clic en Descargar Instalador.
3. Haga clic en Descargar Configuración para descargar el archivo de configuración para la Logon app.

   Puede usar el mismo archivo de configuración para cada instalación de la Logon app en el mismo dominio, independientemente del sistema operativo.

4. En su computadora, mueva el archivo de configuración descargado al mismo directorio que el instalador de la Logon app (archivo .MSI o .PKG).
5. Ejecute el instalador de la Logon app e instálela.

   Cuando instala la Logon app, la computadora donde la instala debe estar conectada a Internet antes de que el usuario inicie sesión por primera vez. Esto es necesario para que la Logon app pueda comunicarse con AuthPoint a fin de verificar las políticas de autenticación.

Para agregar un recurso del portal del IdP

El recurso del portal del Proveedor de Identidad (IdP) es una página que muestra a los usuarios una lista de recursos SAML disponibles para ellos. Facilita a los usuarios el acceso a los recursos. Los usuarios se conectan al portal del IdP y ven cada recurso al que tienen acceso.

Si habilita la función, los usuarios también pueden iniciar sesión en el portal del IdP para activar tokens de hardware y software.

Cuando agrega el recurso del portal del IdP a una política de autenticación, la página de inicio de sesión SSO redirige los usuarios de los grupos agregados a esa política de autenticación a la página del portal.

Para configurar AuthPoint con un portal del IdP:

1. Seleccione Recursos.

2. Haga clic en Agregar Recurso.
   Se abre la página Agregar Recurso.

3. En la lista desplegable Tipo, seleccione Portal del IDP.
4. En el cuadro de texto Nombre, ingrese un nombre descriptivo para el recurso.
5. En el cuadro de texto Alias de la Cuenta, ingrese un valor único para agregarlo a la URL de su portal del IdP. La URL del portal del IdP es siempre https://authpoint.watchguard.com/<account_alias>. En nuestro ejemplo, el alias de la cuenta es washington, por lo que la URL del portal del IdP es https://authpoint.watchguard.com/washington.
6. Para permitir que los usuarios activen tokens de hardware y software desde el portal del IdP, habilite el interruptor Permitir a los usuarios administrar sus tokens desde el portal del IdP.
7. Haga clic en Guardar.

   Varias políticas de autenticación pueden utilizar el mismo recurso del portal del IdP. No se requiere agregar recursos del IdP adicionales en AuthPoint.

Para agregar un recurso RESTful API Client

La API de Autenticación es una API RESTful que puede utilizar para agregar la protección de la MFA de AuthPoint a las aplicaciones personalizadas. Para utilizar la API de Autenticación, debe configurar un recurso RESTful API Client en la AuthPoint management UI. Este recurso representa a su cliente de API y se utiliza para configurar las políticas de autenticación que determinan cómo pueden autenticarse sus usuarios.

Para conocer los pasos detallados para configurar un recurso, consulte Configurar la MFA para un RESTful API Client.

Para agregar un recurso RD Web

La página Acceso Web de Escritorio Remoto muestra una lista de aplicaciones publicadas desde un servidor. Desde la página, puede hacer clic en el icono de una aplicación para lanzar dicha aplicación.

El AuthPoint agent for RD Web agrega la protección de la autenticación multifactor a RD Web Access. Al configurar el agent for RD Web, los usuarios deben autenticarse con la MFA de AuthPoint para conectarse a la página RD Web.

Hay dos partes para configurar la MFA para RD Web:

• El recurso que configura en AuthPoint
• El agente que instala en el servidor RD Web

Para conocer los pasos detallados para configurar la MFA para RD Web, consulte Acerca del AuthPoint Agent for RD Web.

Para agregar un recurso ADFS

Active Directory Federation Services (ADFS) es una solución de inicio de sesión único para Active Directory que permite a los usuarios iniciar sesión en sistemas y aplicaciones externos con sus credenciales de Active Directory. Proporciona a los usuarios una experiencia de inicio de sesión único cuando inician sesión en las aplicaciones web de su organización.

Con el agente ADFS de AuthPoint, puede agregar la autenticación multifactor (MFA) a ADFS para mayor seguridad. Para hacer esto, debe agregar un recurso ADFS en la AuthPoint management UI e instalar el agente ADFS en su servidor ADFS.

Para conocer los pasos detallados para configurar la MFA para ADFS, consulteConfigurar la MFA para ADFS.

Después de agregar y configurar recursos en AuthPoint, debe crear grupos para sus usuarios. En AuthPoint, los grupos son cómo define a qué recursos tienen acceso sus usuarios. Se agregan usuarios a los grupos en AuthPoint y luego se agregan los grupos a las políticas de autenticación que especifican los recursos en los que los usuarios pueden autenticarse.

Debe agregar al menos un grupo para poder agregar políticas de autenticación o agregar usuarios a AuthPoint.

Hay dos maneras de agregar grupos de AuthPoint:

• Agregar grupos alojados en WatchGuard Cloud al WatchGuard Cloud Directory
• Sincronizar grupos desde una base de datos de usuarios externa

Puede agregar usuarios y grupos alojados en WatchGuard Cloud al WatchGuard Cloud Directory en Servicios de Directorios y Dominio WatchGuard Cloud En Servicios de Directorios y Dominio es donde se agregan los dominios de autenticación compartidos para dispositivos y servicios de WatchGuard Cloud, como AuthPoint.. Los grupos que agregue al WatchGuard Cloud Directory también se agregan automáticamente a AuthPoint. Para obtener más información sobre WatchGuard Cloud Directory, vaya a Acerca del WatchGuard Cloud Directory.

Para sincronizar grupos externos desde Active Directory o Azure Active Directory, debe agregar una identidad externa y crear una sincronización de grupos con la opción Crear nuevos grupos sincronizados habilitada. Este tema se cubre en Paso 9 — Sincronizar usuarios de su base de datos LDAP.

Para agregar el WatchGuard Cloud Directory y crear grupos alojados en WatchGuard Cloud:

1. Seleccione Configurar > Servicios de Directorios y Dominio.
   
   Se abre la página Servicios de Directorios y Dominio.

2. Haga clic en Agregar Dominio de Autenticación.
   Se abre la página Agregar Dominio de Autenticación.

3. Seleccione el WatchGuard Cloud Directory.
4. Haga clic en Siguiente.
5. Confirme que desea crear el WatchGuard Cloud Directory.
   Se abre la página Servicios de Directorios y Dominio y el WatchGuard Cloud Directory se agrega a su cuenta de WatchGuard Cloud.
   

6. En la página Directorios y Dominios, haga clic en el nombre de dominio WatchGuard Cloud Directory.
7. Seleccione la pestaña Grupos.
8. Haga clic en Agregar Grupo.

9. En la página Nuevo Grupo, escriba un Nombre y una Descripción para su grupo. La descripción es opcional, pero le recomendamos que especifique el propósito del grupo. En nuestro ejemplo, el nombre de este grupo es Grupo A.

10. Haga clic en Guardar.
    Su grupo aparece en la lista Grupos del WatchGuard Cloud Directory. El grupo también se agrega a la página Grupos en AuthPoint.

Los objetos de política son los componentes configurables individualmente de una política, como las ubicaciones de red. Los objetos de política se configuran y luego se agregan a las políticas de autenticación.

Puede configurar estos tipos de objetos de política:

Ubicaciones de Red

Los objetos de política de ubicación de red le permiten especificar una lista de direcciones IP. A continuación, puede configurar políticas de autenticación que solo se aplican cuando los usuarios se autentican desde las direcciones IP en la ubicación de red especificada.

Horario

Los objetos de política de horario le permiten especificar las fechas y horas en las que las políticas de autenticación se aplican a las autenticaciones de usuarios. Cuando agrega un horario a una política de autenticación, ésta solo se aplica cuando un usuario se autentica durante el horario especificado.

Geocerca

Los objetos de política de geocerca le permiten especificar una lista de países. Luego puede configurar políticas de autenticación que solo se apliquen cuando los usuarios se autentiquen desde esos países. Podría hacer esto si quiere exigir el cumplimiento de distintos requisitos de MFA para distintas ubicaciones, o si desea bloquear la autenticación desde países específicos.

Geocinética

Los objeto de política de geocinética le permiten crear objetos de política que comparan la ubicación actual del usuario y la ubicación de la última autenticación válida. AuthPoint deniega automáticamente las autenticaciones desde una ubicación a la que el usuario no podría haberse desplazado desde su autenticación anterior, basándose en la distancia y el tiempo transcurridos entre autenticaciones.

Cuando se agrega un objeto de política a una política de autenticación, la política solo se aplica a las autenticaciones de usuarios que coinciden con las condiciones de la autenticación y los objetos de política. Por ejemplo, si agrega una ubicación de red específica a una política, esta solo se aplica a las autenticaciones de usuarios que proceden de esa ubicación de red.

Recomendamos que cree una segunda política para los mismos grupos y recursos sin el objeto de política. Los usuarios que solo tienen una política que incluya un objeto de política no obtienen acceso al recurso cuando las condiciones del objeto de política no se aplican a la autenticación (porque no tienen una política aplicable, no porque se deniegue la autenticación).

• Los usuarios que solo tienen una política que incluye una ubicación de red no obtienen acceso al recurso cuando se autentican fuera de esa ubicación de red.
• Los usuarios que solo tienen una política que incluye un horario no obtienen acceso cuando se autentican fuera de ese horario.
• Los usuarios que solo tienen una política para permitir un acceso que incluya una geocerca no obtienen acceso al recurso cuando se autentican fuera de los países especificados.

Si tiene dos políticas (una con un objeto de política y otra sin), asigne una prioridad más alta a la política con el objeto de política. Para más información, consulte Acerca de la Precedencia de las Políticas.

Los objetos de política de geocinética funcionan de manera diferente que otros objetos de política porque se aplican luego de que se complete una autenticación. La geocinética no afecta las condiciones de una autenticación, de modo que cuando usted agrega un objeto de política de geocinética a una política de autenticación, no tiene que crear una segunda política sin el objeto de política de geocinética.

Para admitir la autenticación con la geocerca y los objetos de política de geocinética, debe instalar estas versiones de los agentes Authpoint:

• AuthPoint agent for Windows v2.7.1 o superior
• AuthPoint agent for RD Web v1.4.2 o superior
• AuthPoint agent for ADFS v1.2.0 o superior

RD Web y ADFS tienen requisitos adicionales para admitir autenticaciones con datos de localización. Para más información, consulte Geocerca para RD Web y Geocerca para ADFS.

Estos recursos no admiten la geocinética ni la geocerca:

• AuthPoint agent for macOS
• RADIUS

Para la autenticación RADIUS, no se aplican políticas que incluyan geocinética o un objeto de política de geocinética porque AuthPoint no puede determinar la dirección IP del usuario final o la dirección IP de origen.

Para configurar un objeto de política de ubicación de red:

Las ubicaciones de red requieren una conexión a Internet.

Para la autenticación RADIUS y la autenticación básica (ECP), no se aplican políticas que incluyan una ubicación de red porque AuthPoint no puede determinar la dirección IP del usuario o la dirección IP de origen.

1. En el menú de navegación de AuthPoint, seleccione Objetos de Política.

2. Haga clic en Agregar Objeto de Política.
   
   Aparece la página Agregar Objeto de Política.

3. En la lista desplegable Tipo, seleccione Ubicación de Red.
   
   Aparecen campos adicionales.
4. En el cuadro de texto Nombre, escriba un nombre para identificar este objeto de política de ubicación de red. Esto le ayuda a identificar la ubicación de red cuando la agrega a las políticas de autenticación.
5. En el cuadro de texto Máscara de IP, escriba una dirección IP pública o máscara de red que defina el rango de direcciones IP públicas para esta ubicación de red y presione Enter o Returno. Puede especificar varias direcciones IP y rangos para una ubicación de red.

   AuthPoint solo admite direcciones IPv4 para ubicaciones de red.

   No pueden agregar las direcciones IP 0.0.0.0 o 255.255.255.255 a una ubicación de red.

6. Haga clic en Guardar.

Para configurar un objeto de política de horario:

1. En el menú de navegación de AuthPoint, seleccione Objetos de Política.

2. Haga clic en Agregar Objeto de Política.
   
   Aparece la página Agregar Objeto de Política.

3. En la lista desplegable Tipo, seleccione Horario.
   
   Aparecen campos adicionales.
4. En el cuadro de texto Nombre, escriba un nombre para este objeto de política de horario. Esto le ayuda a identificar el horario cuando lo agrega a las políticas de autenticación.
5. En la lista desplegable Zona Horaria, seleccione la zona horaria que desea utilizar para este horario.
6. Si desea configurar la zona horaria seleccionada para que cambie con el horario de verano, marque la casilla de selección Ajustar para el horario de verano. Cuando selecciona esta opción, la política de tiempo ajusta inmediatamente la zona horaria seleccionada a más una hora. Por ejemplo, un horario con la zona horaria establecida en la hora estándar del Pacífico, que es UTC -8 horas, se ajusta inmediatamente a UTC -7 horas (-8 horas + 1 hora).

   AuthPoint no se ajusta dinámicamente al horario de verano. Debe marcar la casilla de selección Ajustar para el horario de verano si en su ubicación se emplea el horario de verano, de lo contrario, desmarque esta casilla de selección.

7. Seleccione una opción para especificar si desea agregar días específicos de la semana o una fecha específica a este horario.
   • Días de la semana — Para agregar días específicos de la semana al horario, seleccione esta opción y los días que desea incluir.
   • Fechas — Para agregar una fecha específica al horario, seleccione esta opción y use el campo Fecha para seleccionar la fecha. Puede agregar solo una fecha a la vez.

   Puede agregar solo una opción a la vez. Para agregar varios conjuntos de días de la semana y una o más fechas al mismo horario, debe agregarlos por separado.

8. Ingrese la Hora de Inicio y Hora de Finalización en la que desea aplicar el horario, en los días o la fecha seleccionados. Estos valores deben ser entre 00:00 y 23:59, y la Hora de Finalización debe ser posterior a la Hora de Inicio.

   La zona horaria que selecciona en el Paso 5 se aplica a las horas de inicio y finalización de todos los horarios que agregue al objeto de política.

9. Para agregar los días y las horas a su horario, haga clic en Agregar. Para agregar días o fechas adicionales, o para especificar períodos de tiempo adicionales para los mismos días o fechas, repita los pasos 7 a 9.
10. Haga clic en Guardar.

Para configurar un objeto de política de geocerca:

1. En el menú de navegación de AuthPoint, seleccione Objetos de Política.

2. Haga clic en Agregar Objeto de Política.
   
   Aparece la página Agregar Objeto de Política.

3. En la lista desplegable Tipo, seleccione Geocerca.
   Aparecen campos adicionales.
4. En el cuadro de texto Nombre, escriba un nombre para identificar este objeto de política de geocerca. Esto le ayuda a identificar la geocerca cuando la agrega a las políticas de autenticación.
5. En la lista Países, seleccione uno o varios países para agregarlos a esta geocerca. Puede escribir texto para limitar las opciones disponibles.
6. Si desea que esta geocerca se aplique a las autenticaciones de usuarios con datos de localización de baja precisión, seleccione la casilla de selección Permitir datos de localización de baja precisión. Esta opción aumenta el margen de error que AuthPoint usa para validar los datos de localización. Por ejemplo, si configura una geocerca que solo se aplica a las autenticaciones de usuarios de Canadá, pero permite datos de localización con baja precisión, AuthPoint podría aceptar una autenticación de un usuario justo al otro lado de la frontera de los Estados Unidos.

   Los datos de ubicación con baja precisión son necesarios para las conexiones RDP, los recursos Firebox, las máquinas virtuales (VM) de Windows y las autenticaciones con datos de ubicación basados en la dirección IP.

7. Haga clic en Guardar

Para configurar un objeto de política de geocinética:

1. En el menú de navegación de AuthPoint, seleccione Objetos de Política.

2. Haga clic en Agregar Objeto de Política.
   
   Aparece la página Agregar Objeto de Política.

3. En la lista desplegable Tipo, seleccione Geocinética.
   
   Aparecen campos adicionales.
4. En el cuadro de texto Nombre, escriba un nombre para identificar este objeto de política de geocinética. Esto le ayuda a identificar la geocinética cuando la agrega a las políticas de autenticación.

5. En el cuadro de texto Velocidad y en la lista desplegable adyacente, especifique un número y una unidad para que AuthPoint los use para este objeto de política de geocinética. AuthPoint deniega las autenticaciones si la distancia entre la autenticación actual y la anterior no puede recorrerse a esta velocidad.

   La velocidad predeterminada es 600 millas por hora (la velocidad promedio de un avión comercial).

6. (Opcional) En el cuadro de texto Excepciones, introduzca una dirección IP pública o máscara de red que defina un rango de direcciones IP públicas que AuthPoint deba ignorar para este objeto de política de geocinética y, a continuación, presione Enter o Retorno. Puede especificar varias excepciones. Puede hacerlo para que el objeto de política de geocinética no deniegue las autenticaciones cuando los usuarios se conecten a una VPN.

7. Si desea que AuthPoint tenga en cuenta las autenticaciones que tengan datos de localización con baja precisión cuando se considere este objeto de política de geocinética, seleccione la casilla de selección Considerar autenticaciones que tengan datos de localización con baja precisión.

   Si no selecciona esta casilla de selección, las autenticaciones que tengan datos de localización con baja precisión no se evaluarán con respecto al objeto de política de geocinética.

8. Haga clic en Guardar.
9. Agregue este objeto de política de geocinética a las políticas de autenticación a las que desee que se aplique. Para más información, consulte Acerca de las Políticas de Autenticación de AuthPoint.

   A diferencia de otros objetos de política (geocerca, horario, ubicaciones de red), cuando agregue un objeto de política de geocinética a una política de autenticación, no tendrá que crear una segunda política sin el objeto de política de geocinética.

Después de agregar todos sus recursos y grupos en AuthPoint, debe configurar las políticas de autenticación. Las políticas de autenticación especifican en qué recursos pueden autenticarse los usuarios de AuthPoint y qué métodos de autenticación pueden utilizar (Push, código QR y OTP).

Cuando configura una política de autenticación, usted especifica lo siguiente:

• Si la política permite o deniega autenticaciones.
• Qué métodos de autenticación se requieren.
• A qué recursos se aplica la política.
• A qué grupos de usuarios se aplica la política.
• Qué objetos de política se aplican a las autenticaciones.

Un usuario que no es miembro de un grupo que tiene una política de autenticación para un recurso específico no puede autenticarse para iniciar sesión en ese recurso.

Cuando configure políticas, asegúrese de seguir estos requisitos y recomendaciones:

• Debe configurar al menos un grupo para poder configurar las políticas de autenticación.
• Para la autenticación RADIUS y la autenticación básica (ECP Cliente o Proxy Mejorado), las políticas que tienen una ubicación de red no se aplican porque AuthPoint no tiene la dirección IP del usuario o la dirección IP de origen.
• Las políticas con objetos de política solo se aplican a las autenticaciones de usuarios que coinciden con las condiciones de todos los objetos de política. Los usuarios que solo tienen una política que incluye objetos de política no obtienen acceso al recurso cuando las condiciones de los objetos de política no se aplican a la autenticación. Esto se debe a que no tienen una política correspondiente, no a que se deniegue la autenticación.
  • Políticas con ubicaciones de red Los objetos de política de ubicación de red son una lista de direcciones IP que usted configura. solo se aplican a las autenticaciones de usuarios que provienen de esa ubicación de red. Los usuarios que solo tienen una política que incluye una ubicación de red, no pueden acceder al recurso cuando se autentican fuera de esa ubicación de red.
  • Políticas con geocercas Los objetos de política de geocerca especifícan una lista de países. Las políticas solo se aplican a las autenticaciones de usuarios de los países especificados. solo se aplican a las autenticaciones de usuarios que proceden de un país especificado en el objeto de política de geocerca. Los usuarios que solo tienen una política que incluya una geocerca no pueden obtener acceso al recurso cuando se autentican fuera de los países especificados.
  • Políticas con horarios Los objetos de política de horario especifican las fechas y horas en las que una política de autenticación se aplica a las autenticaciones de usuarios. solo se aplican a las autenticaciones de usuarios durante el horario especificado. Los usuarios que solo tienen una política que incluye un horario no pueden acceder al recurso cuando se autentican fuera de las horas de ese horario.
  • Políticas con geocinética Los objeto de política de geocinética le permiten crear objetos de política que comparan la ubicación actual del usuario y la ubicación de la última autenticación válida. AuthPoint deniega automáticamente las autenticaciones desde una ubicación a la que el usuario no podría haberse desplazado desde su autenticación anterior, basándose en la distancia y el tiempo transcurridos entre autenticaciones. no afectan a las condiciones de una autenticación.
• Si configura objetos de política Los objetos de política son los componentes configurables individualmente de una política, como las ubicaciones de red., recomendamos que cree una segunda política para los mismos grupos y recursos sin los objetos de política. Asigne una prioridad más alta a la política con los objetos de política.

  Los objetos de política de geocinética funcionan de manera diferente que otros objetos de política porque se aplican luego de que se complete una autenticación. La geocinética no afecta las condiciones de una autenticación, de modo que cuando usted agrega un objeto de política de geocinética a una política de autenticación, no tiene que crear una segunda política sin el objeto de política de geocinética.

• Los objetos de política de geocinética no se aplican para los recursos Logon app, RD Web y ADFS si la política de autenticación requiere solo una contraseña (no MFA). Esto se debe a que AuthPoint valida la geocinética después de la autenticación. En los escenarios en los que AuthPoint no valida la contraseña, no se envía ninguna solicitud de autenticación a AuthPoint.
• Si habilita los métodos de autenticación push y OTP para una política, los recursos de RADIUS asociados a esa política utilizan notificaciones push para autenticar a los usuarios.
• Debe habilitar el método de autenticación push para las políticas con recursos de RADIUS MS-CHAPv2.
• Los recursos de RADIUS no admiten la autenticación mediante un código QR.

Para configurar una política de autenticación:

1. Seleccione Políticas de Autenticación.
2. Haga clic en Agregar Política.

3. Ingrese un nombre para la política.
4. En la lista desplegable Seleccionar las opciones de autenticación, seleccione una opción para especificar si la MFA será un requisito o si se denegarán las autenticaciones para esta política.
   • Opciones de autenticación — Exija la MFA cuando los usuarios de los grupos asociados con esta política se autentiquen en los recursos asociados con esta política.
   • Autenticación no permitida — Deniegue las autenticaciones cuando los usuarios de los grupos asociados con esta política intenten autenticarse en los recursos asociados con esta política

5. Si requiere la MFA para esta política, marque la casilla de selección para cada opción de autenticación que los usuarios pueden seleccionar al autenticarse. Para obtener más información sobre los métodos de autenticación, consulte Acerca de la Autenticación.

   Si habilita los métodos de autenticación push y OTP para una política, los recursos de RADIUS asociados a la política utilizan notificaciones push para autenticar a los usuarios.

   La autenticación de código QR no es compatible con los recursos de RADIUS.

6. Para las políticas que incluyen un recurso Microsoft 365, si necesita autenticación para un dispositivo o recurso que forma parte de su dominio de Microsoft 365, pero no puede usar la MFA, como una impresora, seleccione la casilla de selección Autenticación Básica. La autenticación básica también se denomina Cliente o Proxy Mejorado (ECP).
7. En la lista desplegable Grupos, seleccione a qué grupos se aplica esta política. Puede seleccionar más de un grupo. Para configurar esta política y que se aplique a todos los grupos, seleccione Todos los Grupos.
8. En la lista desplegable Recursos, seleccione a qué recursos se aplica esta política. Para configurar esta política y que se aplique a todos los recursos, seleccione Todos los Recursos.

9. En la lista desplegable Objetos de Política, seleccione qué objetos de política se aplican a esta política. Para obtener más información sobre objetos de política, consulte Acerca de los Objetos de Política.

10. Haga clic en Guardar.
    Su política se crea y se agrega al final de la lista de políticas.

    Después de crear una nueva política, recomendamos que revise el orden de sus políticas. AuthPoint siempre agrega las políticas nuevas al final de la lista de políticas.

Para sincronizar usuarios de una base de datos LDAP, debe crear una consulta para la identidad externa que agregó. Las consultas que agrega a una identidad externa especifican qué usuarios sincronizar desde su Active Directory o la base de datos LDAP. Estas consultas extraen información del usuario de la base de datos y crean usuarios de AuthPoint para los usuarios que coinciden con la consulta.

Hay dos formas de consultar los usuarios:

• Sincronización de Grupos — Seleccione los grupos LDAP desde los que desea sincronizar usuarios y AuthPoint crea la consulta por usted.
• Consultas Avanzadas — Cree sus propias consultas LDAP para especificar qué grupos o usuarios sincronizar.

En este ejemplo, mostramos los pasos para usar la función de sincronización de grupos.

Antes de continuar, asegúrese de que cada cuenta de usuario tenga una dirección de correo electrónico válida. Si la dirección de correo electrónico de una cuenta de usuario no es correcta, el usuario no puede recibir el mensaje de correo electrónico para establecer una contraseña y activar un token.

Antes de continuar, tenga en cuenta estos requisitos:

• Si los grupos LDAP seleccionados tienen más usuarios que las licencias AuthPoint que usted disponibles, la sincronización solo crea tantos usuarios como su licencia admita
• Los usuarios LDAP que no tienen un nombre, nombre de usuario o dirección de correo electrónico no se incluyen en la sincronización
• Si la dirección de correo electrónico de una cuenta de usuario no es correcta, el usuario no puede recibir el mensaje de correo electrónico para establecer una contraseña y activar un token
• Recomendamos no agregar el mismo grupo LDAP a múltiples sincronizaciones de grupos ni crear múltiples sincronizaciones de grupos que incluyan el mismo usuario LDAP.

Para sincronizar usuarios LDAP:

1. Seleccione Identidades Externas.
2. Junto a su identidad externa, haga clic en y seleccione Sincronización de grupo.

3. En la página Sincronización de Grupos, haga clic en Agregar Nuevo Grupo a Sincronizar.

4. En la ventana Agregar Sincronización de Grupos, en la lista desplegable Seleccionar Grupos LDAP Desde los Cuales Sincronizar Usuarios, seleccione los grupos LDAP desde los que desea sincronizar usuarios. Puede seleccionar múltiples grupos.

5. Para crear grupos nuevos en AuthPoint basados en los grupos de Active Directory desde los que sincroniza usuarios, habilite el interruptor Crear nuevos grupos sincronizados. Si habilita esta opción, los usuarios se sincronizan con los nuevos grupos en función de la pertenencia al grupo en la base de datos LDAP, además del grupo de AuthPoint seleccionado. No agregue el mismo grupo LDAP a múltiples sincronizaciones de grupos ni cree múltiples sincronizaciones de grupos que incluyan el mismo usuario LDAP.

   Esta opción solo está disponible para bases de datos LDAP de Active Directory y Azure Active Directory. Para utilizar esta función, debe instalar la versión 6.1 o superior de la AuthPoint Gateway.

   La opción para crear nuevos grupos sincronizados en AuthPoint no incluye grupos de Active Directory que no estén especificados en la sincronización de grupos. Si un usuario sincronizado es miembro de un grupo de Active Directory que no está especificado en la sincronización de grupos, ese grupo de Active Directory no se creará en AuthPoint.

6. En la lista desplegable Seleccionar un Grupo de AuthPoint Al Cual Agregar Usuarios, seleccione el grupo AuthPoint al que agregará los usuarios.

   Para cada sincronización de grupos, todos los usuarios se agregan al mismo grupo AuthPoint. Para agregar usuarios LDAP a varios grupos, le recomendamos que habilite el interruptor Crear nuevos grupos sincronizados y use su estructura de grupos de Active Directory para administrar a sus usuarios.

7. Si no desea que AuthPoint cree tokens móviles para estas cuentas de usuario o envíe un correo electrónico a los usuarios para activar sus tokens móviles, desmarque las casillas de selección Asignar automáticamente un token móvil a los usuarios sincronizados y Enviar automáticamente el correo electrónico de activación para los usuarios sincronizados.

   No puede cambiar estos ajustes después de sincronizar las cuentas de usuario. Para asignar un token a un usuario que no tiene estas opciones seleccionadas, debe reenviar el correo electrónico de activación del token. Para más información, vaya a Reenviar el Correo Electrónico de Activación.

8. Haga clic en Guardar.
   Se cierra la ventana Agregar Sincronización de Grupos.

Después de agregar una consulta para encontrar a sus usuarios (de forma manual o con la sincronización de grupos), AuthPoint se sincroniza con su Active Directory o base de datos LDAP en el siguiente intervalo de sincronización Esto se define en la lista desplegable Intervalo de Sincronización en la página Configuración de LDAP para su identidad externa. y crea una cuenta de usuario de AuthPoint para cada usuario identificado por la consulta.

Para iniciar una sincronización inmediatamente, en la página Identidades Externas, junto a su identidad externa, haga clic en y seleccione Iniciar Sincronización.

Las cuentas de usuario creadas aparecen en la página Usuarios con un ícono de estado Activado verde al lado del nombre de usuario. El icono de estado Activado indica que el usuario se creó y está actualmente activo (no bloqueado). Puede identificar a los usuarios sincronizados desde una identidad externa mediante la etiqueta LDAP en la columna Tipo de la lista de usuarios.

Cada usuario recibe un correo electrónico que utiliza para activar su token en la aplicación móvil AuthPoint. Cuando un usuario activa su token, su información de token se muestra en la columna Token con un icono de estado Activado verde al lado del token.

Los usuarios sincronizados desde una identidad externa usan su contraseña existente para la autenticación. No reciben el correo electrónico para establecer una contraseña AuthPoint.

Si habilitó el interruptor Crear nuevos grupos sincronizados, los grupos sincronizados se crean en AuthPoint. Los grupos recién creados aparecen en la página Grupos. Puede identificar los grupos sincronizados de Active Directory mediante la etiqueta LDAP en la columna Tipo de la lista de grupos.

Si cambia el nombre de un grupo sincronizado en Active Directory, el nombre del grupo sincronizado en AuthPoint se actualiza automáticamente al mismo nombre. No puede editar los grupos sincronizados en AuthPoint.

Si elimina el grupo en Active Directory, o si elimina la sincronización de grupos, el grupo sincronizado no se elimina en AuthPoint. Debe eliminar manualmente el grupo sincronizado en AuthPoint.

Puede crear Credenciales Corporativas para compartir un enlace directo a un sitio web específico con grupos de usuarios específicos. Puede hacer esto para sitios web o aplicaciones que no admitan SAML o que no estén administrados por su empresa. Por ejemplo, puede crear Credenciales Corporativas para proporcionarles a los usuarios un enlace en el portal del IdP al sitio web que utilizan para administrar sus cuentas 401k.

Al crear Credenciales Corporativas, puede elegir compartir las credenciales de inicio de sesión para ese sitio web o cuenta. Por ejemplo, puede compartir las credenciales de una cuenta de redes sociales corporativa con su equipo de marketing.

Las Credenciales Corporativas están disponibles en el portal del IdP para los usuarios que son miembros de los grupos con los que se comparten las Credenciales Corporativas. Si decide compartir las credenciales de inicio de sesión, las Credenciales Corporativas también están disponibles en la bóveda de contraseñas. Para más información sobre la administración de contraseñas, consulte Administración de Contraseñas.

Si comparte credenciales de inicio de sesión, cada usuario debe aceptar las Credenciales Corporativas compartidas en el administrador de contraseñas.

El administrador de contraseñas de AuthPoint es una función heredada que solo está disponible para las cuentas que compraron Total Identity Security antes del 1 de octubre de 2024. Las cuentas que compraron AuthPoint Total Identity Security después de esa fecha no incluyen el administrador de contraseñas. Para obtener más información, vaya a Fin de Disponibilidad del Administrador de Contraseñas de AuthPoint.

Para agregar Credenciales Corporativas:

1. Seleccione Credenciales Corporativas.
   Se abre la página Credenciales Corporativas.

2. Haga clic en Agregar Credencial Corporativa
   Se abre la página Agregar Credencial Corporativa.

3. En el cuadro de texto Nombre, ingrese un nombre para identificar esta credencial corporativa para los usuarios del portal del IdP y su bóveda de contraseñas.
4. En el cuadro de texto URL, ingrese la URL de la aplicación o servicio. Si no especifica un protocolo en la URL, AuthPoint utiliza HTTPS de manera predeterminada.
5. Para cargar una imagen que identifique la credencial corporativa en el portal del IdP, arrastre un archivo de imagen desde su computadora al cuadro Imagen, o haga clic en Seleccionar un archivo para importar y seleccione un archivo de imagen.

6. En la lista Grupos, seleccione los grupos para los que está disponible esta credencial corporativa.
   Puede seleccionar más de un grupo. Para que esta credencial corporativa esté disponible para todos los grupos, seleccione Todos los Grupos.
7. Para compartir las credenciales de inicio de sesión de modo que los usuarios puedan iniciar sesión en una cuenta específica, seleccione la casilla de selección Compartir credenciales para esta credencial corporativa. Si selecciona esta opción, la credencial corporativa estará disponible en la bóveda de contraseñas de los usuarios especificados, además de en el portal del IdP. Si selecciona esta opción, cuando los usuarios hagan clic en el enlace del portal del IdP, iniciarán sesión en el sitio web especificado automáticamente con las credenciales de inicio de sesión que especifique.

   Una vez que la credencial corporativa esté guardada, no podrá cambiar si las credenciales se comparten.

8. Si seleccionó compartir credenciales, ingrese el Nombre del Usuario y la Contraseña de la cuenta.

9. Haga clic en Guardar.
   Se abre la página Credenciales Corporativas.

Después de guardar las Credenciales Corporativas, se muestra un nuevo mosaico en el portal del IdP para los usuarios que son miembros de los grupos con los que compartió las Credenciales Corporativas. Los usuarios pueden hacer clic en este mosaico para ir a la URL especificada.

AuthPoint Total Identity Security incluye el servicio Monitor de la Dark Web para ayudarle a monitorizar y proteger sus dominios. Con el servicio Monitor de la Dark Web, WatchGuard monitoriza activamente las filtraciones de datos de hasta tres de sus dominios. Si se descubre que una filtración de datos incluye sus direcciones de correo electrónico y dominios, recibirá una notificación.

Cuando agregue un dominio, debe seleccionar una de estas direcciones de correo electrónico para las solicitudes de autorización:

• security@<yourdomain>
• webmaster@<yourdomain>
• postmaster@<yourdomain>
• hostmaster@<yourdomain>

Para asegurarse de que usted es el propietario del dominio, WatchGuard envía una solicitud de autorización a la dirección de correo electrónico seleccionada. No puede especificar una dirección de correo electrónico personalizada para las solicitudes de autorización. Si no tiene ninguna de estas direcciones de correo electrónico para el dominio, debe crear una.

Para configurar la Monitorización de la Dark Web para un dominio, en WatchGuard Cloud:

1. Seleccione Administración > Monitorización de la Dark Web.
   Se abre la página Monitorización de la Dark Web.

2. Haga clic en Agregar Dominio.
   Se abre la página Agregar Dominio.

3. En el cuadro de texto Dominio, ingrese su nombre de dominio, como por ejemplo ejemplo.com.
4. En la lista desplegable Correo electrónico, seleccione la dirección de correo electrónico a la que desea enviar las solicitudes de autorización. Se requiere autorización para monitorizar las filtraciones de datos del dominio y para actualizar los ajustes del dominio de la Monitorización de la Dark Web en WatchGuard Cloud.

   No puede especificar una dirección de correo electrónico personalizada para las solicitudes de autorización. Si no existe ninguna de las direcciones de correo electrónico de la lista, deberá crear una.

5. Seleccione las direcciones de correo electrónico en las que desea recibir notificaciones cuando el Monitor de la Dark Web detecte una filtración de datos que incluya una dirección de correo electrónico de su dominio. Debe seleccionar al menos una dirección de correo electrónico.
   Si selecciona la dirección de correo electrónico filtrada, la interfaz de usuario le ofrece la opción de incluir la contraseña expuesta (y cualquier otro dato sensible) en el mensaje de correo electrónico que se envía a la dirección de correo electrónico infringido. Si selecciona incluir la contraseña expuesta, esta información no se enviará a ninguna otra dirección de correo electrónico seleccionada.

   Para enviar una notificación a la dirección de correo electrónico de autorización, debe marcar la casilla de selección junto a esa dirección de correo electrónico.

6. (Opcional) Para enviar notificaciones a otras direcciones de correo electrónico, en el cuadro de texto Correos Electrónicos Adicionales, ingrese la dirección de correo electrónico y presione la tecla Enter. Puede especificar hasta 10 direcciones de correo electrónico a las que enviar notificaciones.

7. Haga clic en Guardar.