Configurar la MFA para ADFS

Aplica A: Autenticación Multifactor de AuthPoint, AuthPoint Total Identity Security

Active Directory Federation Services (ADFS) es una solución de inicio de sesión único para Active Directory que permite a los usuarios iniciar sesión en sistemas y aplicaciones externos con sus credenciales de Active Directory. Proporciona a los usuarios una experiencia de inicio de sesión único cuando inician sesión en las aplicaciones web de su organización.

Con el agente ADFS de AuthPoint, puede agregar la autenticación multifactor (MFA) a ADFS para mayor seguridad. Para hacer esto, debe agregar un recurso ADFS en la AuthPoint management UI e instalar el agente ADFS en su servidor ADFS.

Para usar MFA con ADFS, debe tener una AuthPoint Gateway primaria instalada en su servidor ADFS. Si aún no ha instalado la AuthPoint Gateway, consulte Acerca de las Gateways.

Para que los usuarios de Active Directory utilicen la MFA de AuthPoint con ADFS, debe mantener el valor predeterminado de sAMAccountName para el atributo relacionado con el inicio de sesión del usuario cuando configure su identidad externa.

Configurar un Recurso ADFS

En la AuthPoint management UI:

  1. En el menú de navegación de AuthPoint, seleccione Recursos.

Screen shot of the Resources page.

  1. Haga clic en Agregar Recurso.
    Se abre la página Agregar Recurso.

Screen shot of the Add Resource page.

  1. En la lista desplegable Tipo, seleccione ADFS.
  2. En el cuadro de texto Nombre, ingrese un nombre descriptivo para el recurso.

Screenshot of the ADFS fields on the Add Resource page.

  1. Haga clic en Guardar.
  2. Agregue el recurso ADFS a sus políticas de autenticación existentes o agregue nuevas políticas de autenticación para el recurso ADFS. Las políticas de autenticación especifican en qué recursos se pueden autenticar los usuarios y qué métodos de autenticación pueden utilizar. Para más información, consulte Acerca de las Políticas de Autenticación de AuthPoint.

Agregar el Recurso ADFS a su Configuración de la Gateway

Para usar la MFA con ADFS, debe tener la AuthPoint Gateway instalada y debe asociar su recurso ADFS con la AuthPoint Gateway. La AuthPoint Gateway es el punto de comunicación entre AuthPoint y su servidor ADFS.

Si aún no ha instalado la AuthPoint Gateway, consulte Acerca de las Gateways.

Para agregar su recurso ADFS a la configuración de su AuthPoint Gateway:

  1. Desde el menú de navegación de AuthPoint, seleccione Gateway.
  2. Haga clic en el Nombre de su Gateway.

Screenshot of the Gateways page.

  1. En la sección ADFS, en la lista Seleccionar un recurso ADFS, seleccione su recurso ADFS.

Screen shot of the ADFS section of the Edit Gateway page.

  1. Haga clic en Guardar.

Asoció correctamente su recurso ADFS con su Gateway. El siguiente paso es descargar e instalar el agente ADFS.

Descargar e Instalar el Agente ADFS

Debe descargar el archivo de configuración de la Gateway a la que está asociado su recurso ADFS, luego debe descargar e instalar el agente ADFS.

Su Gateway debe estar instalada y disponible cuando instale el agente ADFS.

Para descargar e instalar el agente ADFS:

  1. Desde el menú de navegación de AuthPoint, seleccione Descargas.
  2. En la sección ADFS, haga clic en Descargar Instalador. Debe tener un recurso ADFS y su Gateway instalada debe ser la versión 4.0.0 o superior para descargar el archivo de configuración.
  3. Haga clic en Descargar Configuración para descargar el archivo de configuración. Si tiene varias Gateways, se le pedirá que seleccione a qué Gateway está asociada su recurso ADFS.
  4. Mueva el agente ADFS y el archivo de configuración al servidor ADFS.
  5. Ejecute el agente ADFS.

Solo puede instalar el agente ADFS en el servidor con su Gateway primaria. Para instalar el agente ADFS en un servidor de Gateway secundaria, debe convertir su Gateway secundaria en Gateway primaria temporalmente mientras instala el agente ADFS.

  1. Agregue su recurso ADFS a la configuración de su AuthPoint Gateway secundaria. Para obtener más información sobre cómo agregar un recurso ADFS a una Gateway, vaya a la sección Agregar el Recurso ADFS a su Configuración de la Gateway de este tema de ayuda.
  2. Cambie su Gateway secundaria por la Gateway primaria para poder instalar el agente ADFS. Para más información sobre cómo cambiar la Gateway primaria, vaya a Cambiar la Gateway Primaria.
  3. Descargue e instale el agente ADFS en su servidor de la Gateway secundaria (ahora la Gateway primaria).
  4. En la AuthPoint management UI, convierta de nuevo su Gateway original en la Gateway primaria. Esta es la Gateway que se usa para sincronizar los usuarios desde su Active Directory o base de datos LDAP.

Configurar su Servidor

Después de instalar el agente ADFS, debe habilitar la MFA en ADFS para grupos específicos. La MFA solo funciona para los usuarios que son miembros de los grupos ADFS que seleccionó y miembros de los grupos de AuthPoint con una política de autenticación para su recurso ADFS.

Los pasos para habilitar la MFA para grupos ADFS son diferentes en función de si tiene un servidor Windows 2012r2 o un servidor Windows 2016.

  1. Abra las Herramientas Administrativas.
  2. Seleccione Administración de AD FS.

Screen shot of AD FS Management in the Windows Administrative Tools window.

  1. Seleccione Políticas de Autenticación.
  2. En la sección Métodos de Autenticación Multifactor, haga clic en Editar para configurar la MFA globalmente. Para configurar la MFA por parte de confianza, haga clic en Administrar.

Screen shot that shows the Multi-factor Authentication section of the Authentication Policies page.

  1. En la ventana Editar Política de Autenticación Global, haga clic en Agregar.

Screen shot of the Edit Global Authentication Policy window.

  1. En la ventana Seleccionar Usuarios o Grupos, escriba el nombre de los grupos LDAP para habilitar la MFA.
  2. Haga clic en Aceptar.

Screen shot of the Select Users or Groups window.

Screen shot of a group added in the Edit Global Authentication Policy window.

  1. En la ventana Editar Política de Autenticación Global, en la sección de métodos de autenticación adicionales, seleccione Autenticación Multifactor de WatchGuard.
  2. Haga clic en Aplicar.

Screenshot of the WatchGuard Multi-Factor Authentication option seleted in the Edit Global Authentication Policy window.

Después de la configuración, la Administración de AD FS mostrará los usuarios/grupos y el método de autenticación seleccionado.

Screen shot that shows the users and groups selected in AD FS Management.

  1. Abra Herramientas Administrativas;
  2. Seleccione Administración de AD FS.

Screen shot of AD FS Management in the Windows Administrative Tools window.

  1. Seleccione Servicio > Métodos de Autenticación.
  2. En la sección Métodos de Autenticación Multifactor, haga clic en Editar.

Screen shot that shows the Multi-factor Authentication section of the Authentication Policies page.

  1. En la ventana Editar Métodos de Autenticación, seleccione Autenticación Multifactor de WatchGuard. Haga clic en Aplicar.

Screenshot of the WatchGuard Multi-Factor Authentication option seleted in the Edit Global Authentication Policy window.

La MFA ahora es necesaria para que los usuarios accedan a los recursos ADFS. Para configurar la MFA solo para usuarios específicos, debe crear una política de control de acceso para un grupo de AD con esos usuarios.

  1. (Opcional) Cree un grupo de AD para los usuarios que deben utilizar la MFA. Si ya tiene un grupo, no es necesario que cree otro.
  2. Seleccione Políticas de Control de Acceso.
  3. Haga clic en Agregar Política de Control de Acceso.
    Se abrirá la ventana Agregar Política de Control de Acceso.
  4. En el cuadro de texto Nombre, escriba Permitir a todos, pero requerir la MFA para grupos específicos.
  5. Escriba una Descripción.
  6. Haga clic en Agregar.
    Se abre la ventana Editor de Reglas.
  7. En el Editor de Reglas, configure estos ajustes:
    1. Para Permitir, seleccione todos.
    2. Para Excepción, seleccione entre grupos específicos.
    3. En la parte inferior de la ventana, haga clic en específico y seleccione el grupo o grupos de Active Directory para los que desea requerir MFA.
  8. Haga clic en Aceptar para guardar la regla.
  9. Haga clic en Agregar para agregar otra regla.

    Se abre la ventana Editor de Reglas.
  10. En el Editor de Reglas, configure estos ajustes:
    1. Para Permitir, seleccione usuarios.
    2. Debajo de los usuarios, seleccione las casillas de selección de grupos específicos y la y requerir autenticación multifactor
    3. Para Excepción, seleccione entre grupos específicos.
    4. En la parte inferior de la ventana, haga clic en específico y seleccione el grupo o grupos de Active Directory para los que desea requerir MFA.
  11. Haga clic en Aceptar para guardar la regla.
  12. Seleccione Relación de Confianza para Usuario Autenticado.
  13. Haga clic con el botón derecho en una relación de confianza y seleccione Editar Política de Control de Acceso.
  14. Seleccione la política que acaba de crear.
  15. Haga clic en Aceptar. Reinicie el servicio ADFS.

Autenticación con ADFS

Cuando la MFA está configurado para ADFS, los usuarios deben autenticarse cuando acceden a las aplicaciones web de su organización. Cuando un usuario navega a una aplicación web, es redirigido a la página SSO de ADFS donde debe proporcionar sus credenciales de AD y autenticarse con la MFA.

Cuando un usuario se autentica a través de ADFS, recibe una solicitud para que comparta su ubicación. Esta solicitud aparece incluso si su cuenta de AuthPoint no utiliza objetos de política de geocerca y geocinética.

Para autenticarse a través de ADFS:

  1. Navegue a una aplicación web externa.
    Se lo redirige a la página SSO de ADFS.
  2. En el cuadro de texto Nombre del usuario, escriba su nombre de usuario o correo electrónico. Los nombres de usuario deben tener el formato usuario@dominio o dominio\\usuario.
  3. En el cuadro de texto Contraseña, escriba su contraseña.
  4. Haga clic en Iniciar sesión.
  5. En la sección Opciones de Inicio de Sesión, seleccione una opción de autenticación y autentíquese.
    • Push — Apruebe la notificación push que se envía a su teléfono
    • Código QR — Use la aplicación móvil AuthPoint para escanear el código QR, luego escriba el código de verificación que se muestra en la aplicación
    • Contraseña de Un Solo Uso — Escriba la contraseña de un solo uso para su token

Temas Relacionados

Configurar una Página de Inicio de Sesión Personalizada para ADFS

Actualizar el Agente ADFS de AuthPoint

Desinstalar el Agente ADFS

Acerca de las Gateways

Acerca de las Políticas de Autenticación de AuthPoint