Objetos de Política de Geocerca

Aplica A: Autenticación Multifactor de AuthPoint, AuthPoint Total Identity Security Este tema se aplica a las cuentas con una licencia de Autenticación Multifactor de AuthPoint o de AuthPoint Total Identity Security.

El objeto de política de geocerca le permite especificar una lista de países, y luego configurar políticas de autenticación que solo se apliquen cuando los usuarios se autentiquen desde esos países. Podría hacer esto si quiere exigir el cumplimiento de distintos requisitos de MFA para distintas ubicaciones, o si desea bloquear la autenticación desde países específicos.

Cuando agrega una geocerca a una política de autenticación, la política solo se aplica a las autenticaciones de usuario que provienen de un país especificado en el objeto de política de la geocerca. Los usuarios que solo tienen una política para permitir un acceso que incluya una geocerca no pueden acceder al recurso cuando se autentican fuera de los países especificados (ya que no tienen una política que se aplique, no porque se deniegue la autenticación).

Para admitir la autenticación con el objeto de política de geocerca, debe instalar estas versiones de los agentes Authpoint:

• AuthPoint agent for Windows v2.7.1 o superior
• AuthPoint agent for RD Web v1.4.2 o superior
• AuthPoint agent for ADFS v1.2.0 o superior

RD Web y ADFS tienen requisitos adicionales para admitir autenticaciones con datos de localización. Para más información, consulte las secciones Geocerca para RD Web y Geocerca para ADFS .

Estos recursos no admiten geocerca:

• AuthPoint agent for macOS
• RADIUS

Para la autenticación RADIUS, no se aplican políticas que incluyan un objeto de política de geocerca porque AuthPoint no puede determinar la dirección IP del usuario final o la dirección IP de origen.

Datos de Ubicación para Objetos de Política de Geocerca

Cuando un usuario se autentica, los datos de ubicación identifican el área desde donde se autentica el usuario. Al configurar un objeto de política de geocerca, puede elegir permitir datos de ubicación con baja precisión. Las ubicaciones de usuario identificadas a partir de datos de baja precisión tienen un radio mayor. Por ejemplo, los datos de ubicación de alta precisión pueden tener una precisión de 10 metros respecto de la ubicación real del usuario, pero los datos de localización de baja precisión pueden tener una precisión de solo un kilómetro respecto de la ubicación real.

Para la autenticación basada en el navegador, cuando un usuario se autentica, el navegador les indica que deben compartir su ubicación. Si el usuario acepta, el navegador envía las coordenadas geográficas de la ubicación del usuario a AuthPoint. AuthPoint asocia las coordenadas con un país y usa esta información para determinar qué políticas se aplican a la autenticación. Estos son datos de ubicación de alta precisión.

Si el usuario no acepta la solicitud de compartir la ubicación, la ubicación se basará en su dirección IP. AuthPoint considera los datos de ubicación basados en dirección IP como datos de baja precisión.

Estos recursos utilizan datos de ubicación basados en navegador:

• Portal del IdP
• SAML
• RD Web
• ADFS

AuthPoint admite los datos de ubicación basados en la dirección IP solo para estos tipos de autenticaciones:

• Conexiones RDP
• Recursos Firebox
• Máquinas virtuales (VM) de Windows

El AuthPoint agent for Windows utiliza la API de Windows para obtener la ubicación del usuario. Si el agente está instalado en una VM de Windows, los datos de ubicación siempre están basados en la dirección IP (baja precisión).

En algunos casos, los objetos de política de geolocalización podrían afectar a las autenticaciones desde rangos de direcciones IP privadas. Esto se debe a que la geolocalización basada en IP solo funciona para direcciones IP públicas. Por ejemplo, si configura una política que solo permite autenticaciones desde países en su objeto de política de geolocalización y un usuario se autentica desde una dirección IP privada, el usuario no podrá autenticarse si no hay otras políticas que se apliquen a la autenticación.

Configurar un Objeto de Política de Geocerca

Para configurar un objeto de política de geocerca, en la AuthPoint management UI:

1. En el menú de navegación de AuthPoint, seleccione Objetos de Política.

2. Haga clic en Agregar Objeto de Política.
   Aparece la página Agregar Objeto de Política.

3. En la lista desplegable Tipo, seleccione Geocerca.
   Aparecen campos adicionales.
4. En el cuadro de texto Nombre, escriba un nombre para identificar este objeto de política de geocerca. Esto le ayuda a identificar la geocerca cuando la agrega a las políticas de autenticación.
5. En la lista Países, seleccione uno o varios países para agregarlos a esta geocerca. Puede escribir texto para limitar las opciones disponibles.
6. Si desea que esta geocerca se aplique a las autenticaciones de usuarios con datos de localización de baja precisión, seleccione la casilla de selección Permitir datos de localización de baja precisión. Esta opción aumenta el margen de error que AuthPoint usa para validar los datos de localización. Por ejemplo, si configura una geocerca que solo se aplica a las autenticaciones de usuarios de Canadá, pero permite datos de localización con baja precisión, AuthPoint podría aceptar una autenticación de un usuario justo al otro lado de la frontera de los Estados Unidos.

   Los datos de ubicación con baja precisión son necesarios para las conexiones RDP, los recursos Firebox, las máquinas virtuales (VM) de Windows y las autenticaciones con datos de ubicación basados en la dirección IP.

   Para FireCloud se requieren datos de localización con baja precisión. Si configura AuthPoint como proveedor de identidad para FireCloud, debe seleccionar esta opción.

7. Haga clic en Guardar
8. Agregue esta geocerca a las políticas de autenticación a las que desea que se aplique. Para más información, consulte Agregar Políticas de Autenticación

   Le recomendamos que cree una segunda política para los mismos grupos y recursos sin la geocerca, para aplicarla a los usuarios cuando se encuentren fuera de los países de la geocerca. Asegúrese de que la política con la geocerca tenga una prioridad más alta que la política sin la geocerca. Para más información, consulte Acerca de la Precedencia de las Políticas.

Geocerca para ADFS

El AuthPoint agent for ADFS solo admite objetos de política de geocerca si usa el tema ADFS de WG personalizado. No puede usar el tema ADFS predeterminado.

Geocerca para RD Web

Para admitir el objeto de política de geocerca para RD Web, debe editar el archivo webscripts-domain.js en su servidor RD Web Access y configurar el cliente para guardar la ubicación del usuario como cookie en el servidor RD Web. Esto permite a RD Web enviar las coordenadas de usuario a AuthPoint cuando el usuario se autentica.

Esto también es necesario para admitir la geocinética para RD Web. Si ya completó estos pasos para admitir el objeto de política de geocinética, no es necesario que los repita para la geocerca.

1. Inicie sesión en su servidor RD Web Access.
2. Abra el Explorador de Archivos de Windows y navegue a C:\Windows\Web\RDWeb\Pages.
3. Abra el archivo webscripts-domain.js en un editor de texto.
4. Al final de la función onLoginPageLoad, agregue este script para obtener las coordenadas del navegador y guardarlas en cookies:

   document.cookie = 'WatchGuardGeolocation=;max-age=0';

   if (navigator.geolocation) {

   var options = { enableHighAccuracy : true };

   navigator.geolocation.watchPosition(function(position) {

   var geolocation = { latitude: position.coords.latitude, longitude: position.coords.longitude, accuracy: position.coords.accuracy };

   var geolocationJson = JSON.stringify(geolocation);

   var geolocationEncoded = encodeURIComponent(geolocationJson);

   document.cookie = 'WatchGuardGeolocation=' + geolocationEncoded + ';secure;samesite=none;path=/';

   }, function(error) { }, options);

   }

Temas Relacionados

Acerca de las Políticas de Autenticación de AuthPoint

Acerca de los Objetos de Política

Objetos de Política de Horario