Specops Authentication for O365

Specops Authentication for O365 es la solución ideal para organizaciones que requieren un enfoque simple y automatizado para la gestión de usuarios de O365 y autenticación. Specops Authentication se instala dentro de su Active Directory. Esto le permite usar las políticas de grupo existentes para configurar el aprovisionamiento y asignar licencias a los usuarios a medida que inician sesión en O365.

El potente motor de autenticación multifactor de la solución admite una amplia gama de factores de autenticación que pueden ayudar a mejorar la seguridad general de su organización. Con más de 15 proveedores de identidad disponibles durante la autenticación, los usuarios siempre tendrán una forma segura de acceder a recursos importantes.

Specops Authentication for O365 se puede usar sin necesidad de una amplia experiencia por parte del administrador. No importa en qué etapa se encuentre en su implementación de O365, Specops Authentication puede disminuir el tiempo de administración de O365 y aumentar la seguridad sin interrumpir la experiencia del usuario.

Conceptos centrales

Autenticación

La autenticación es el proceso de verificar la identidad de un usuario. Normalmente, esto requiere que el usuario haga una declaración sobre su identidad ingresando su nombre de usuario y contraseña.

Inscripción

Se requiere que los usuarios se inscriban con Specops Authentication. El proceso de inscripción variará para cada tipo de servicio de identidad. Para inscribirse con un servicio de identidad personal como Google, los usuarios deberán seguir el enlace desde la aplicación web de Specops a la página web de Google e iniciar sesión con la dirección de correo electrónico y la contraseña asociadas con su cuenta de Google.

Autenticación multifactor

La autenticación multifactor requiere más de un método de autenticación de categorías independientes de credenciales: algo que sabes (es decir, contraseña), algo que tienes (es decir, dispositivo móvil) y algo que eres (es decir, huella digital). Specops uReset va más allá de la autenticación de dos factores al admitir una amplia gama de servicios de identidad que se pueden usar para aumentar la seguridad y la flexibilidad. La solución no solo admite autenticadores comunes, como preguntas y respuestas, y códigos de verificación móvil, sino también varios servicios de identidad digital que van desde servicios de identidad personal (por ejemplo, LinkedIn) hasta servicios de identidad de la empresa (por ejemplo, salesforce.com), además de métodos de mayor confianza como las tarjetas inteligentes. El modelo de autenticación multifactor de Specops es dinámico. Los usuarios pueden elegir qué servicios de identidad quieren combinar para la inscripción y autenticación, siempre que cumplan con los requisitos de la política. Los usuarios inscritos con más servicios de identidad de los requeridos para su autenticación tendrán opción de autenticación. Esto garantiza que los usuarios finales siempre tendrán la capacidad de satisfacer la política de autenticación, incluso si un servicio de identidad no está disponible (por ejemplo, no tener su teléfono móvil cerca).

Los administradores pueden seleccionar, según el rol y la política de seguridad, qué servicios de identidad/autenticadores quieren extender a los usuarios finales para verificar su identidad al restablecer o desbloquear sus cuentas. Tal flexibilidad puede garantizar que se satisfagan las necesidades variables de seguridad y flexibilidad. Por ejemplo:

Para usuarios que tienen una autorización de seguridad de bajo nivel, pero una alta necesidad de flexibilidad, como estudiantes, los administradores de TI pueden permitirles autenticarse con algunos servicios de identidad personal como su ID de Google.
Para usuarios que tienen una autorización de seguridad de nivel superior, como administradores de ayuda financiera o ejecutivos de alto nivel, los administradores de TI pueden asignar políticas que exijan un mayor número o una combinación más fuerte de servicios de identidad. Este enfoque proporciona a los administradores la flexibilidad que necesitan para aplicar políticas que se traduzcan en mayor seguridad y eficiencia.

Política

Una política contiene las reglas requeridas para la inscripción y la autenticación multifactor. Una política controla qué servicios de identidad se pueden usar y cuántos deben usarse para verificar la identidad de los usuarios finales. El administrador del sistema es responsable de configurar las reglas en las políticas.

Servicios de identidad

Los servicios de identidad son métodos de autenticación que permiten a los usuarios verificar su identidad en Specops Cloud.

Para más información, consulta Specops Authentication Servicios de identidad.

Arquitectura y diseño

Specops Authentication consta de los siguientes componentes y no requiere recursos adicionales en su entorno. El backend de autenticación, la web y los servicios de identidad están alojados en la nube. Solo necesitará instalar el componente Gatekeeper.

Texto alternativo para esta imagen

El usuario intenta acceder a su O365
El usuario es redirigido a Specops Authentication a través de Federated Trust
Las opciones de autenticación se obtienen y se presentan al usuario
El usuario selecciona servicios de identidad para la autenticación
Los servicios de identidad devuelven la identidad del usuario a Specops Authentication
La identidad del usuario se valida contra Active Directory
Specops Authentication crea un token para que el usuario lo presente a O365
Specops Authentication devuelve al usuario autenticado a O365 (si se cumple la política de autenticación)

Nube de autenticación: El componente global en la nube de Specops Authentication, la nube de autenticación contiene la web (interfaz para los usuarios finales) y los servicios de backend.

Web de autenticación: Contiene la interfaz para los usuarios finales, así como para los administradores. Permite la creación de configuraciones de Specops Authentication así como la configuración de aprovisionamiento.

Backend de autenticación: Para leer información del usuario desde Active Directory, el backend se comunica con el Gatekeeper. La web y los servicios de identidad también se comunican con el backend. El backend de autenticación valida la identidad de un usuario en Specops Authentication, basado en los tokens de servicios de identidad individuales.

Gatekeeper: El Gatekeeper necesita ser instalado en un servidor en su dominio. El Gatekeeper lee información del usuario desde Active Directory y gestiona todas las operaciones contra Active Directory, como leer/escribir datos de inscripción.

Servicios de identidad: Una entidad que puede validar la identidad de un usuario en Specops Authentication. Los tokens de servicios de identidad individuales son utilizados por el backend para validar la identidad de un usuario.

Algunos de los servicios de identidad que se utilizan durante la autenticación, como Google, son externos. Cuando se utiliza un servicio de identidad externo, el usuario es enviado al servicio de identidad y se le pide que dé su consentimiento a Specops Authentication para acceder a su información personal, como su nombre de usuario. La información del consentimiento permite la creación del token que se utiliza para la autenticación.

Política de autenticación: Una política que establece cómo debe autenticarse un usuario para poder acceder a un recurso.

Token: Un token o un token de seguridad es un portador de información sobre un usuario y sobre el emisor del token. La información sobre un usuario es un conjunto de declaraciones. Las afirmaciones sobre un usuario pueden ser, por ejemplo, el nombre del usuario, el ID del cliente al que pertenece y qué roles tiene un usuario en su organización.

Nota: No se incluyen datos personales identificables ni contraseñas en los tokens.

Características y capacidades

Características de soporte de consola

Identidad de Windows federada

Cuando un usuario intenta iniciar sesión en O365, Specops Authentication puede otorgar acceso SSO con las credenciales de autenticación integrada de Windows existentes, a menos que se especifiquen requisitos de autenticación adicionales en la política.

Asignación de confianza del servicio de identidad

Specops Authentication permite al administrador asignar un valor de confianza/peso para cada servicio de identidad, decidiendo en última instancia que un servicio de identidad vale el doble que otro durante la autenticación. En las interfaces de usuario, tanto para los usuarios finales como para el administrador, los pesos se representan con estrellas.

Personalizaciones

La aplicación web contiene varias características de personalización que le dan control sobre la interfaz de usuario final de Specops Authentication. Puede personalizar varios elementos gráficos, incluyendo el logotipo principal y el estilo principal (permitiéndole establecer sus propios estilos utilizando un CSS bootstrap personalizado).

Autenticación multifactor para administradores

Los usuarios que forman parte del grupo de administradores de Specops Authentication pueden usar la autenticación multifactor para verificar su identidad al acceder a las páginas de administrador en la aplicación web.

Aplicaciones móviles

Specops:ID
Specops Authenticator (siendo eliminado, se recomienda usar Specops:ID)
Specops Fingerprint (siendo eliminado, se recomienda usar Specops:ID)

Para más información, consulta Specops Authentication Servicios de identidad.

Clientes compatibles

Specops Authentication admite los siguientes clientes para acceder a O365.

Versiones basadas en web de O365 en todos los navegadores modernos, por ejemplo, https://portal.office.com
Office 365 para Windows
Office 2016 para Windows
Office 2013 para Windows (Requiere configuraciones adicionales implementadas en la organización).
Outlook para iPhone
Outlook para Android
OneDrive para empresas
Skype para empresas

Escenarios comunes de configuración

A continuación se presentan tres escenarios comunes de configuración para Specops Authentication con O365.

No usar O365 y su dominio principal no está registrado en Microsoft Entra ID

Puede comprar una cuenta de O365 o registrarse para una cuenta de prueba gratuita de Enterprise desde: https://www.microsoft.com/en-ca/microsoft-365/business/office-365-enterprise-e3-business-software
Cree su cuenta de cliente de Specops Authentication desde: https://login.specopssoft.com/Authentication/Account/Signup
Siga los pasos en la Guía de instalación y Guía de administración de Specops Authentication.

Usar O365 con su cliente de producción/Active Directory para pruebas en nombre de dominio secundario

Su nombre de dominio principal está en uso y desea configurar un nombre de dominio secundario para pruebas.

Cree un nuevo dominio DNS público (por ejemplo: test.contoso.com). Se le pedirá que verifique su dominio agregando un registro TXT al registro DNS de su host de dominio durante la configuración.
Asegúrese de tener usuarios de prueba con sufijos UPN que estén bajo el nuevo dominio, user@test.contoso.com.
Cree su cuenta de cliente de Specops Authentication con el dominio secundario, test.contoso.com.
Instale el componente Gatekeeper. Consulte la Guía de instalación de Specops Authentication.
Configure la federación con el dominio (test.contoso.com) y O365. Consulte la Guía de administración > Office 365.
- Si ya está utilizando Microsoft Entra Connect para el aprovisionamiento, puede omitir el aprovisionamiento de usuarios > Configurar. Si se configuran los pasos restantes, los usuarios podrán iniciar sesión en O365 con inicio de sesión único o autenticación multifactor, utilizando sus UPN, por ejemplo: Jane.Doe@test.contoso.com.
- Si ya está utilizando Microsoft Entra Connect y desea probar Specops Authentication para el aprovisionamiento, asegúrese de que Microsoft Entra Connect no esté sincronizando sus usuarios de prueba. Establezca el alcance de Microsoft Entra Connect para excluir la OU donde están sus usuarios de prueba.
- Si estos usuarios han sido aprovisionados por Microsoft Entra Connect antes, serán eliminados de su cliente de Microsoft Entra por Microsoft en el próximo ciclo de sincronización. Una vez que se eliminen, Specops Authentication no podrá recrearlos. Para restaurar usuarios eliminados, vaya a "Usuarios eliminados" en el portal de administración de O365. Esto también se puede hacer usando PowerShell.
Etiquete un GPO que afecte a estos usuarios en la herramienta de administración de Gatekeeper y habilite el aprovisionamiento de usuarios para el GPO en la web de Specops Authentication. Estos usuarios ahora pueden iniciar sesión con inicio de sesión único y serán aprovisionados.

Usar O365 con su cliente de producción/Active Directory para pruebas en producción (no recomendado)

Su dominio principal está en uso y no desea configurar un dominio secundario. Esto configurará Specops Authentication para todos los usuarios en producción.

Cree su cuenta de cliente de Specops Authentication con su dominio principal, contoso.com.
Instale el componente Gatekeeper. Consulte la Guía de instalación de Specops Authentication.
Cree y etiquete un GPO que afecte a todos los usuarios que necesiten iniciar sesión en O365, o use un GPO existente.
Cree y etiquete un GPO que afecte a los usuarios de prueba que desee que prueben Specops Authentication, o use un GPO existente.
Configure la federación con el dominio (contoso.com) y O365. Consulte la Guía de administración > Office 365.

Nota

Complete los pasos de configuración, pero omita la configuración de aprovisionamiento de usuarios y licencias.
En la web de Specops Authentication, configure la política que afecta a todos los usuarios para que solo requiera la identidad de Windows durante la autenticación. También necesitará configurar la autenticación integrada.
En la web de Specops Authentication, configure la política que afecta a los usuarios de prueba.
Los usuarios podrán iniciar sesión en O365 con inicio de sesión único o autenticación multifactor usando sus UPNs, por ejemplo: Jane.Doe@contoso.com.

Preguntas frecuentes

¿Se pueden configurar las políticas de Specops Authentication para que solo se apliquen a grupos específicos?

Sí. Puede crear políticas para los Objetos de Política de Grupo deseados o el ámbito seleccionado.

¿Specops Authentication admite múltiples nombres de dominio?

Sí, siempre que los dominios de todas las direcciones de correo electrónico estén registrados con Microsoft Entra ID/O365.

¿Specops Authentication admite redundancia?

Sí, puede configurar y configurar Gatekeepers adicionales para redundancia.

¿Specops Authentication almacena algún dato personal o confidencial de negocios?

Los datos relacionados con la autenticación, incluidos los datos de registro, se almacenan directamente en sub-objetos de la cuenta de usuario en Active Directory. Specops Authentication no almacena una copia de su directorio. Los usuarios se aprovisionan directamente desde su Active Directory local a Microsoft Entra ID.

¿Cómo se autentican los usuarios con Specops Authentication?

Specops Authentication utiliza Tokens de Seguridad para autenticar a los usuarios. Cuando un usuario se registra con Specops Authentication, sus datos de registro se almacenan en un sub-objeto de su cuenta de usuario. Cuando un usuario intenta iniciar sesión en O365, Specops Authentication otorgará acceso de inicio de sesión único a través del token de Windows Integrated Authentication, o solicitará al usuario autenticarse con servicios de identidad adicionales de su registro. Esto dependerá de la política de autenticación configurada por el Administrador.

¿Se puede usar Specops Authentication con Microsoft Entra Connect?

Sí. Puede usar Microsoft Entra Connect para el aprovisionamiento; y Specops Authentication para la gestión de licencias, inicio de sesión único y autenticación multifactor.

¿Cómo se aloja Specops Authentication?

Specops Authentication se entrega como un servicio en la nube alojado, ejecutándose en Amazon Web Services, con el centro de datos ubicado en el este de EE. UU.

¿Se utiliza cifrado de datos para los datos en tránsito desde el Gatekeeper hasta Specops Authentication Cloud?

Sí, cifrado de doble capa entre el Gatekeeper y Specops Authentication Cloud. Todos los datos enviados desde los usuarios finales o Gatekeeper se verifican criptográficamente, tanto firmados como sellados.

¿Qué servicios de identidad/factores de autenticación admite nuestro producto?

Para una lista completa, consulta Specops Authentication Servicios de identidad