Aplica A: Autenticación Multifactor de AuthPoint, AuthPoint Total Identity Security
Configure políticas de autenticación para especificar en qué recursos pueden autenticarse los usuarios de AuthPoint y qué métodos de autenticación pueden utilizar (Push, código QR y OTP). Cuando configura una política de autenticación, usted especifica lo siguiente:
- Si la política permite o deniega autenticaciones.
- Qué métodos de autenticación se requieren.
- A qué recursos se aplica la política.
- A qué grupos de usuarios se aplica la política.
- Qué objetos de política se aplican a las autenticaciones.
Los usuarios que no son miembros de grupos que tienen una política de autenticación para un recurso específico no pueden autenticarse para iniciar sesión en ese recurso.
Las políticas de autenticación tienen varios componentes clave:
Recursos
Los recursos son las aplicaciones y servicios a los que se conectan sus usuarios, como Salesforce, Microsoft 365, una VPN o su Firebox. Cuando se agrega un recurso, se proporciona la información necesaria para conectarse a ese recurso.
Grupos
Los grupos son cómo define a qué recursos tienen acceso sus usuarios. Se agregan usuarios a los grupos en AuthPoint y luego se agregan los grupos a las políticas de autenticación que especifican los recursos en los que los usuarios pueden autenticarse.
Objetos de Política
Los objetos de política son los componentes configurables individualmente de una política, como las ubicaciones de red. Los objetos de política se configuran y luego se agregan a las políticas de autenticación. Cuando se agrega un objeto de política a una política de autenticación, la política solo se aplica a las autenticaciones de usuarios que coinciden con las condiciones de la autenticación y los objetos de política. Por ejemplo, si agrega una ubicación de red específica a una política, esta solo se aplica a las autenticaciones de usuarios que proceden de esa ubicación de red.
Los objetos de política de ubicación de red le permiten configurar una lista de direcciones IP. A continuación, puede configurar políticas de autenticación específicas que solo se aplican cuando los usuarios se autentican desde estas direcciones IP.
Los objetos de política de geocerca le permiten especificar una lista de países. Entonces puede configurar políticas de autenticación que solo se apliquen cuando los usuarios se autentiquen desde esos países.
Los objeto de política de geocinética le permiten crear objetos de política que comparan la ubicación actual del usuario y la ubicación de la última autenticación válida. AuthPoint deniega automáticamente las autenticaciones desde una ubicación a la que el usuario no podría haberse desplazado desde su autenticación anterior, basándose en la distancia y el tiempo transcurridos entre autenticaciones.
Los objetos de política de horario le permiten especificar las fechas y horas en las que las políticas de autenticación se aplican a las autenticaciones de usuarios.
Requisitos y Recomendaciones
Cuando configure políticas, asegúrese de seguir estos requisitos y recomendaciones:
- Debe tener al menos un grupo antes de poder configurar las políticas de autenticación.
- Para la autenticación RADIUS y la autenticación básica (ECP), las políticas que tienen una ubicación de red o geocerca no se aplican porque AuthPoint no tiene la dirección IP del usuario final o la dirección IP de origen.
- Las políticas con objetos de política solo se aplican a las autenticaciones de usuarios que coinciden con las condiciones de todos los objetos de política. Los usuarios que solo tienen una política que incluye objetos de política no obtienen acceso al recurso cuando las condiciones de los objetos de política no se aplican a la autenticación. Esto se debe a que no tienen una política correspondiente, no a que se deniegue la autenticación.
- Políticas con ubicaciones de red solo se aplican a las autenticaciones de usuarios que provienen de esa ubicación de red. Los usuarios que solo tienen una política que incluye una ubicación de red, no pueden acceder al recurso cuando se autentican fuera de esa ubicación de red.
- Políticas con geocercas solo se aplican a las autenticaciones de usuarios que proceden de un país especificado en el objeto de política de geocerca. Los usuarios que solo tienen una política que incluya una geocerca no pueden obtener acceso al recurso cuando se autentican fuera de los países especificados.
- Políticas con horarios solo se aplican a las autenticaciones de usuarios durante el horario especificado. Los usuarios que solo tienen una política que incluye un horario no pueden acceder al recurso cuando se autentican fuera de las horas de ese horario.
- Políticas con geocinética no afectan a las condiciones de una autenticación.
-
Si configura objetos de política, recomendamos que cree una segunda política para los mismos grupos y recursos sin los objetos de política. Asigne una prioridad más alta a la política con los objetos de política.
Los objetos de política de geocinética funcionan de manera diferente que otros objetos de política porque se aplican luego de que se complete una autenticación. La geocinética no afecta las condiciones de una autenticación, de modo que cuando usted agrega un objeto de política de geocinética a una política de autenticación, no tiene que crear una segunda política sin el objeto de política de geocinética.
- Recomendamos que la política de autenticación para la Logon app incluya el código QR o las opciones de autenticación OTP para que los usuarios puedan autenticarse cuando no están conectados a Internet.
- Solo el recurso de la Logon app admite la autenticación desconectada.
- Si habilita los métodos de autenticación push y OTP para una política, los recursos de RADIUS asociados a esa política utilizan notificaciones push para autenticar a los usuarios.
- Debe habilitar el método de autenticación push para las políticas con recursos de RADIUS MS-CHAPv2.
- Los recursos de RADIUS no admiten la autenticación mediante un código QR.
Agregar Políticas de Autenticación
Para configurar una política de autenticación, en la AuthPoint management UI:
- Seleccione Políticas de Autenticación.
- Haga clic en Agregar Política.
- Ingrese un nombre para la política.
- En la lista desplegable Seleccionar las opciones de autenticación, seleccione una opción para especificar si la MFA será un requisito o si se denegarán las autenticaciones para esta política.
- Opciones de autenticación — Exija la MFA cuando los usuarios de los grupos asociados con esta política se autentiquen en los recursos asociados con esta política.
- Autenticación no permitida — Deniegue las autenticaciones cuando los usuarios de los grupos asociados con esta política intenten autenticarse en los recursos asociados con esta política
-
Si requiere la MFA para esta política, marque la casilla de selección para cada opción de autenticación que los usuarios pueden seleccionar al autenticarse. Para obtener más información sobre los métodos de autenticación, consulte Acerca de la Autenticación.
Si habilita los métodos de autenticación push y OTP para una política, los recursos de RADIUS asociados a la política utilizan notificaciones push para autenticar a los usuarios.
La autenticación de código QR no es compatible con los recursos de RADIUS.
Los objetos de política de geocinética no se aplican para los recursos Logon app, RD Web y ADFS si la política de autenticación requiere solo una contraseña (no MFA).
- Para las políticas que incluyen un recurso Microsoft 365, si necesita autenticación para una máquina o recurso que forma parte de su dominio de Microsoft 365, pero no puede usar la MFA, como una impresora, seleccione la casilla de selección Autenticación Básica. La autenticación básica también se denomina Cliente o Proxy Mejorado (ECP).
- En la lista Grupos, seleccione a qué grupos se aplica esta política. Puede seleccionar más de un grupo. Para configurar esta política y que se aplique a todos los grupos, seleccione Todos los Grupos.
- En la lista Recursos, seleccione a qué recursos se aplica esta política. Para configurar esta política y que se aplique a todos los recursos, seleccione Todos los Recursos.
- Seleccione qué objetos de política se aplican a esta política. Cuando se agrega un objeto de política a una política de autenticación, la política solo se aplica a las autenticaciones de usuarios que coinciden con las condiciones de la autenticación y los objetos de política. Por ejemplo, si agrega una ubicación de red específica a una política, esta solo se aplica a las autenticaciones de usuarios que proceden de esa ubicación de red. Para obtener más información sobre objetos de política, consulte Acerca de los Objetos de Política.
Para la autenticación RADIUS y la autenticación básica (ECP), las políticas que tienen una ubicación de red o geocerca no se aplican porque AuthPoint no tiene la dirección IP del usuario final o la dirección IP de origen.
Si configura objetos de política, recomendamos que cree una segunda política para los mismos grupos y recursos sin el objeto de política. Asigne una prioridad más alta a la política con los objetos de política. Para más información, consulte Acerca de la Precedencia de las Políticas.
- Haga clic en Guardar.
Su política se crea y se agrega al final de la lista de políticas.Después de crear una nueva política, recomendamos que revise el orden de sus políticas. AuthPoint siempre agrega las políticas nuevas al final de la lista de políticas.
