Herramienta de administración de Gatekeeper

La herramienta de administración de Gatekeeper proporciona una visión general de los componentes instalados y se puede utilizar para gestionar la configuración del sistema creada durante la instalación.

Gatekeeper

Los siguientes ajustes se pueden configurar desde la pestaña Gatekeeper.

Actualización de la herramienta de administración de Gatekeeper

Para obtener más información sobre cómo actualizar a la última versión de Specops Authentication.

Ver certificados

Los certificados tanto para el cliente de Gatekeeper como para la autenticación del backend de Gatekeeper se pueden acceder haciendo clic en el enlace Ver.

Cambiar la configuración del proxy

Si su organización está utilizando un servidor proxy directo para enrutar el tráfico de Internet externamente, necesitará configurar el servidor proxy para permitir que el Gatekeeper acceda a Internet. Haga clic en Editar en la fila del Proxy y especifique la dirección como una URL completa, incluyendo el protocolo y cualquier puerto personalizado.

Cambiar Gatekeepers

Si tiene múltiples Gatekeepers, puede cambiar entre ellos:

Haga clic en Cambiar en la parte superior izquierda.
En la ventana Seleccionar Gatekeeper, resalte el Gatekeeper al que desea cambiar.
Haga clic en OK.

Comandos generales

En la parte superior derecha de esta pestaña hay un cuadro con comandos generales. Estos incluyen lo siguiente:

Actualizar: actualiza la información en la pestaña.
Buscar nueva versión de la herramienta de administración: verifica si la herramienta de administración necesita ser actualizada.
Migrar desde SPR: abre el asistente de migración para migrar datos de Specops Password Reset.
Limpiar cachés en todos los Gatekeepers: limpia todos los cachés en los Gatekeepers.

Gestión de Gatekeepers fuera de línea

Para resolver correctamente todos los Gatekeepers disponibles, cualquier Gatekeeper fuera de línea (no utilizado) debe ser eliminado correctamente. La forma recomendada de hacer esto es a través de la herramienta de administración de Gatekeeper.

Cancelar el registro de Gatekeepers (recomendado)

En la herramienta de administración de Gatekeeper, asegúrese de haber accedido al Gatekeeper que desea cancelar el registro (para obtener información sobre cómo cambiar a otros Gatekeepers, consulte la sección Cambiar Gatekeeper) arriba.
Haga clic en Cancelar registro en la parte superior derecha del campo Instalación de Gatekeeper.
Confirme que desea cancelar el registro de este Gatekeeper haciendo clic en Sí en la ventana Cancelar registro de Gatekeeper.

Eliminación manual de Gatekeepers

Si, por alguna razón, el Gatekeeper fuera de línea (no utilizado) no fue cancelado utilizando el método mencionado anteriormente (por ejemplo, porque el servidor en el que estaba instalado ya no está presente por alguna razón), se deben tomar pasos manuales adicionales.

Nota

Si un Gatekeeper no utilizado no ha sido cancelado en la herramienta de administración de Gatekeeper, los archivos restantes deberán ser eliminados manualmente para que el Gatekeeper se resuelva correctamente.

Eliminar el Gatekeeper de la nube
1. Acceda a Authentication Web y haga clic en Gatekeepers.
2. Resalte el Gatekeeper que desea cancelar el registro en la lista.
3. Haga clic en Cancelar registro de Gatekeeper.
  
  Nota
  
  Este proceso de cancelación de registro no es el mismo que el realizado por la herramienta de administración de Gatekeeper. El proceso de cancelación de registro iniciado desde la herramienta de administración de Gatekeeper realizará todos los pasos necesarios para eliminar el Gatekeeper no utilizado, y no requiere pasos manuales.
4. En la ventana de confirmación, haga clic en Cancelar registro.
Eliminar el Punto de Conexión de Servicio (SCP) de Active Directory.
1. En el servidor donde está instalado el Gatekeeper, abra la herramienta Active Directory Users and Computers.
2. Asegúrese de que Funciones avanzadas esté activado (menú superior Ver > Funciones avanzadas).
3. Navegue a System > Specops > SpecopsAuthentication > Gatekeepers.
4. Haga clic derecho en el Gatekeeper correcto y seleccione Eliminar.

Configuración de Active Directory

Los siguientes ajustes se pueden configurar desde la pestaña Configuración de Active Directory.

Editar el alcance de la gestión

El alcance de Active Directory determina qué usuarios pueden usar el servicio Specops Authentication.

En la herramienta de administración de Gatekeeper, haga clic en Configuración de Active Directory.
Encuentre la fila donde se muestra el alcance actual de Active Directory y haga clic en Editar.
Seleccione el alcance deseado de Active Directory y haga clic en Agregar. Se pueden seleccionar múltiples ubicaciones si desea múltiples alcances de gestión.
Haga clic en OK.

Habilitar restablecimientos de contraseña en Specops Authentication

Puede habilitar las funciones de uReset y Secure Service Desk en Specops Authentication. Para uReset, habilite a los usuarios finales para abordar tareas comunes relacionadas con la gestión de contraseñas, incluidas las contraseñas olvidadas. Esta función está bloqueada a menos que tenga uReset como parte de su suscripción. Para Secure Service Desk, esto permite la administración de usuarios en Secure Service Desk. Esta función está bloqueada a menos que tenga Secure Service Desk como parte de su suscripción.

En la herramienta de administración de Gatekeeper, haga clic en Configuración de Active Directory.
En la sección de Configuración de Active Directory, haga clic en Cambiar en la fila Permitir restablecimientos de contraseña.
Seleccione una de las siguientes opciones al habilitar la función de restablecimiento de contraseña:
- Modo de seguridad estándar: Todos los usuarios que sean miembros del grupo de agentes de Service Desk de Specops Authentication podrán restablecer contraseñas para otros usuarios.
- Modo de seguridad delegado: El control de acceso para restablecer contraseñas para otros usuarios se basa en la configuración de seguridad real (permiso de 'restablecer contraseña') en Active Directory.
Haga clic en OK.

Agregar/eliminar miembros a grupos de seguridad

Puede agregar miembros adicionales a los grupos de Administrador, Administrador de usuarios, Gatekeepers y Lectores de informes. Los usuarios que son miembros del grupo de Administradores son administradores del portal en Specops Authentication Web. Los usuarios que son miembros del grupo de Administradores de usuarios pueden acceder a las funciones de gestión de usuarios en Specops Authentication Web. Los usuarios que son miembros del grupo de Gatekeepers tienen permiso para leer información de usuario.

En la herramienta de administración de Gatekeeper, haga clic en Configuración de Active Directory.
Encuentre el grupo de seguridad que desea editar y haga clic en Editar miembros.
Para agregar un miembro, haga clic en Agregar miembro e ingrese el nombre del usuario o grupo que desea agregar, luego haga clic en OK.
Para eliminar un miembro, seleccione un miembro de la lista de miembros del grupo y haga clic en Eliminar miembro seleccionado, luego haga clic en OK.
Haga clic en OK.

Grupo de Lectores de Informes

Los miembros del grupo de seguridad de Lectores de Informes en la herramienta de administración de Gatekeeper pueden iniciar sesión en Specops Authentication Web para ver informes. A menos que también sean miembros de otros grupos de seguridad, no verán ninguna otra sección en Specops Authentication Web.

Nota

Los miembros de este grupo podrán ver todos los informes relacionados con la cuenta. No puede filtrar qué informes son visibles o no.

Especificar el controlador de dominio preferido

Por defecto, Specops Authentication utilizará el controlador de dominio más cercano disponible. Haga clic en Cambiar para especificar el controlador de dominio preferido.

Secure Access

Los siguientes ajustes se pueden configurar desde la pestaña Secure Access.

Gestionar GPOs de Secure Access

Puede etiquetar los GPOs que desea usar con la función Secure Access en Specops Authentication. Los usuarios afectados se autenticarán con un segundo factor al iniciar sesión en su cuenta de Windows.

En la herramienta de administración de Gatekeeper, haga clic en Secure Access.
Haga clic en Etiquetar GPOs en la parte superior de la sección GPOs etiquetados para MFA para Windows, seleccione el Objeto de Política de Grupo y haga clic en OK.

Gestionar GPOs de NPS Companion

Puede etiquetar los GPOs que desea usar con la función NPS Companion (Radius) en Secure Access. Los usuarios afectados se autenticarán con un segundo factor al iniciar sesión en su cuenta de Windows utilizando acceso remoto. Para obtener más información, consulte esta página.

En la herramienta de administración de Gatekeeper, haga clic en Secure Access.
Haga clic en Etiquetar GPOs en la parte superior de la sección GPOs etiquetados para NPS Companion, seleccione el Objeto de Política de Grupo y haga clic en OK.

Key Recovery

Desde la pestaña Key Recovery, puede:

Probar el estado de conexión del Gatekeeper de Specops Key Recovery
Etiquetar los GPOs que desea usar con Specops Key Recovery
Actualizar los enlaces útiles cuando se realicen cambios

Probar la conexión del Gatekeeper de Specops Key Recovery

En la herramienta de administración de Gatekeeper, haga clic en Key Recovery.
En la sección de Estado de Conexión de Key Recovery, haga clic en Probar Conexión.
Si la conexión es exitosa, verá OK.

Gestionar GPOs de Key Recovery

Puede etiquetar los GPOs que desea usar con Specops Key Recovery. Los usuarios afectados pueden gestionar recuperaciones de claves de dispositivos de cifrado.

En la herramienta de administración de Gatekeeper, haga clic en Key Recovery.
Haga clic en Etiquetar GPOs, seleccione la Política de Grupo y haga clic en OK.

Actualizar enlaces útiles

Haga clic en Actualizar para refrescar la lista de enlaces útiles.

Configuración de correo electrónico

Los ajustes de Gatekeeper para enviar correo electrónico se pueden configurar de diferentes maneras:

Usando la Configuración Predeterminada de Specops, que se configura en Specops Authentication Web.
Usando SMTP con acceso anónimo o autenticación básica.
Usando Microsoft Graph API.

Si no desea utilizar la Configuración Predeterminada de Specops, puede configurar su propio método de entrega de correo electrónico siguiendo las instrucciones a continuación.

Nota

Configurar el ajuste de correo electrónico en la herramienta de administración de Gatekeeper desactivará cualquier configuración de correo electrónico en Specops Authentication Web.

Configuración de ajustes SMTP

Para usar SMTP como método de entrega de correo electrónico:

Haga clic en Editar.
Seleccione qué tipo de configuración desea usar en el menú desplegable (acceso anónimo o autenticación básica).
Introduzca el dominio del servidor SMTP (campo requerido).
Establezca el número máximo de conexiones concurrentes que Gatekeeper utilizará al enviar correos electrónicos.

Nota

Cada vez que se realicen cambios en este campo, todos los Gatekeepers afectados deberán reiniciarse.

Nota

El valor predeterminado del número máximo de conexiones concurrentes es 10. Consulte la documentación de su servidor SMTP para saber cuántas conexiones concurrentes están permitidas.
Introduzca el puerto SMTP (el valor predeterminado es el puerto 25).
Use el menú desplegable para establecer si se debe utilizar TLS (Seguridad a Nivel de Transporte).

Nota

Establezca esta opción en Sí si desea habilitar el cifrado para el correo saliente. Tenga en cuenta que habilitar TLS establecerá automáticamente el puerto SMTP en 587.

Nota

Tenga en cuenta que se requiere un certificado SSL válido para usar TLS al enviar correos SMTP.
Introduzca la Dirección de correo electrónico del remitente (campo requerido) y el Nombre para mostrar del remitente.
Solo para autenticación básica: introduzca el nombre de usuario y la contraseña SMTP.
Haga clic en OK.
Haga clic en OK en el cuadro de diálogo de confirmación y reinicie todos los Gatekeepers si se cambió la opción Máx. conexiones concurrentes.

Configuración de Microsoft Graph API

Puede usar Microsoft Graph API para la entrega de correo electrónico en lugar de SMTP tradicional.

Nota

Antes de configurar Microsoft Graph API, se debe crear un registro de aplicación en Microsoft Entra ID con el permiso de aplicación Mail.Send de Microsoft Graph y con el consentimiento del administrador concedido. Consulte Configuración de Microsoft Graph API.

Haga clic en Editar.
Seleccione Microsoft Graph API en el menú desplegable.
En el campo Dirección de correo electrónico del remitente, introduzca la dirección de correo electrónico desde la que se enviarán los correos electrónicos.
- Debe ser un buzón válido de Microsoft 365 (usuario o compartido).
- El registro de la aplicación debe tener permiso para enviar como este buzón.
Use los valores de su registro de aplicación de Microsoft Entra para completar los siguientes campos. Consulte Configuración de Microsoft Graph API.
1. En el campo ID del cliente, introduzca su ID del cliente de Microsoft Entra ID.
2. En el campo ID del cliente, introduzca el ID de la aplicación (cliente) de su registro de aplicación.
3. En el campo Secreto del Cliente, introduzca el valor del Secreto del Cliente creado para su registro de aplicación. Use el valor de la secret key, no el ID del secreto.
Haga clic en OK.
Haga clic en OK en el cuadro de diálogo de confirmación.

Configuración de Microsoft Entra ID

Puede usar Microsoft Entra ID para sincronizar al restablecer o cambiar la contraseña. Para configurar la configuración de Microsoft Entra ID en la herramienta de administración de Gatekeeper, primero debe configurar una aplicación en Microsoft Entra ID y otorgarle los permisos correctos.

Requisitos

Requisito
Cliente en Microsoft Entra ID
Suscripciones en Microsoft Entra ID

Configuración de una aplicación en Microsoft Entra

Inicie sesión en https://entra.microsoft.com/
Haga clic en Microsoft Entra ID. Esto debería llevarlo al directorio de su organización.
Haga clic en Registros de aplicaciones.
Haga clic en Nuevo registro.
Ingrese un nombre para la aplicación en el campo Nombre.
Usando los botones de opción, seleccione el tipo de cuenta compatible (Cliente único o Multicliente)
Haga clic en Registrar. En la siguiente pantalla de resumen de la aplicación, en la sección Esenciales, tome nota (copie) del ID de aplicación (cliente) y el ID de directorio (cliente). Estos se utilizarán para la configuración.
En la navegación izquierda de la pantalla de resumen de la aplicación, haga clic en Certificados y secretos.
Haga clic en Nuevo secreto de cliente. Ingrese una descripción y establezca un período de expiración usando el menú desplegable Expiración, luego haga clic en Agregar.
Copie y almacene el secreto en la columna Valor para la contraseña. Esto también se utilizará para la configuración.

Nota

Al configurar un punto de sincronización (Specops Password Sync), tenga en cuenta que este valor debe pegarse en el campo Contraseña del proveedor en la configuración del Punto de Sincronización.
En la navegación izquierda del centro de administración de Microsoft Entra ID (la más a la izquierda), haga clic en Microsoft Entra ID, luego haga clic en Roles y administradores.
En la lista, haga clic en un rol que sea suficiente para restablecer contraseñas.

Nota

Para obtener una visión general de los roles y sus permisos, por favor vaya a Trabajar con usuarios en Microsoft Graph. Tenga en cuenta que el rol mínimo requerido para restablecer contraseñas es el rol de Administrador de Contraseñas.
Haga clic en Agregar asignaciones en la parte superior. La barra lateral de Agregar Asignaciones se abrirá a la derecha.
En el cuadro de búsqueda, ingrese el nombre de la aplicación registrada, haga clic en la aplicación en la lista de resultados de búsqueda, luego haga clic en Agregar en la parte inferior.

Próximos pasos

Escriba o copie el ID de aplicación (cliente), ID de directorio (cliente) y el Secreto de cliente, luego proceda a configurar la Configuración de Microsoft Entra ID en la herramienta de administración de Gatekeeper.

Configuración de la herramienta de administración de Gatekeeper

En la herramienta de administración de Gatekeeper, seleccione Configuración de Microsoft Entra ID.
En el campo Configuración de Microsoft Entra ID, haga clic en Editar.
Ingrese el ID de cliente (ID de aplicación (cliente)).
Ingrese el ID de cliente (ID de directorio (cliente)).
Ingrese el Secreto de cliente (Valor del secreto de cliente).
Haga clic en OK.
En el cuadro de navegación derecha, haga clic en Probar conexión para ver si se estableció una conexión con Microsoft Entra ID.

Una vez que se establece la conexión, el Gatekeeper comenzará a sincronizarse con Microsoft Entra ID al restablecer o cambiar la contraseña.

Identidad de Windows

Esta sección muestra la configuración para la Autenticación Integrada de Windows. Estos ajustes también se pueden editar aquí.

Nota

NTLM es un protocolo heredado, que solo está disponible para clientes antiguos de Specops. Los nuevos clientes tendrán el servicio de identidad desactivado por defecto, y solo podrán elegir entre Desactivado o Kerberos.

La Autenticación Integrada de Windows permite que las credenciales de Active Directory de los usuarios pasen a través de su navegador a un servidor web, enviadas con hash (NTLM) o cifradas (Kerberos). Configurar la Autenticación Integrada para el usuario autenticará automáticamente al usuario con la Identidad de Windows y otorgará el token de autenticación de Identidad de Windows.

Habilitar la Autenticación Integrada

Por defecto, la Autenticación Integrada está desactivada para nuevos clientes. Si desea usar la Autenticación Integrada, haga lo siguiente:

Nota

Se recomienda usar el tipo de cuenta de Cuentas de Servicio Administradas de Grupo durante la instalación de Gatekeepers. Para obtener más información, consulte gMSA.

En la herramienta de administración de Gatekeeper, seleccione Identidad de Windows.
En el campo Configuración de Autenticación Integrada, haga clic en Editar.
En el menú desplegable Seleccionar protocolo de autenticación, seleccione el protocolo que desea usar: NTLM o Kerberos.

Nota

No se recomienda usar el protocolo NTLM. NTLM es un protocolo heredado que proporciona menos seguridad. Considere usar el protocolo Kerberos en su lugar.
Haga clic en OK.
Agregue la URL de Autenticación Integrada a la Intranet Local en Opciones de Internet para cada cliente.

Nota

Esto se puede hacer agregando la URL a la lista de Sitios de Confianza en el Panel de Control de Windows > Opciones de Internet > Pestaña de Seguridad > Intranet Local > Sitio, luego agregue la URL. También se puede hacer a través del registro. Vea más información aquí. Tenga en cuenta que la publicación del blog referenciada aquí trata sobre una URL diferente, aunque el proceso es el mismo.

Para obtener más información sobre la Identidad de Windows, consulte la página de Identidad de Windows.