Entra ID

El servicio de identidad de Microsoft (Entra ID) permite que Specops Authentication se integre con las bibliotecas de autenticación de Microsoft. Esto significa que Microsoft Authenticator se puede usar para autenticar con Specops Authentication sin usar una contraseña. Más información sobre el inicio de sesión sin contraseña se puede encontrar aquí.

Para habilitar la integración de Specops Authentication con Entra ID, necesitas configurar la conexión. La sección Solo autenticación (autenticación sin contraseña) a continuación describe los pasos para configurar la autenticación sin contraseña, donde Entra ID se usa exclusivamente para autenticar a los usuarios sincronizados. Otra opción, que ofrece un control más detallado sobre la integración, se describe en Personalizado.

Solo autenticación (autenticación sin contraseña)

Para habilitar el método de autenticación de inicio de sesión telefónico sin contraseña, se requiere configuración tanto por parte de los administradores como de los usuarios individuales.

Configuración para administradores

Nota

Para obtener la información más actualizada sobre cómo configurar la autenticación sin contraseña, visita las páginas de soporte de Microsoft aquí.

Inicia sesión en el centro de administración de Microsoft Entra como al menos un Administrador de Políticas de Autenticación.
Navega a Protección > Métodos de autenticación > Políticas.
Bajo Microsoft Authenticator, elige las siguientes opciones:
- Habilitar: Sí o No
- Objetivo: Todos los usuarios o Seleccionar usuarios
Cada grupo o usuario agregado está habilitado por defecto para usar Microsoft Authenticator en modos sin contraseña y de notificación push (modo "Cualquiera"). Para cambiar el modo, para cada fila de Modo de autenticación - elige Cualquiera, o Sin contraseña. Elegir Push impide el uso de la credencial de inicio de sesión telefónico sin contraseña.
Para aplicar la nueva política, haz clic en Guardar.

Configuración para usuarios

Nota

Para obtener la información más actualizada sobre cómo configurar la autenticación sin contraseña, visita las páginas de soporte de Microsoft aquí.

Para registrar la aplicación Microsoft Authenticator, sigue estos pasos:

Navega a https://aka.ms/mysecurityinfo.
Inicia sesión, luego selecciona Agregar método > Aplicación Authenticator > Agregar para agregar Microsoft Authenticator.
Sigue las instrucciones para instalar y configurar la aplicación Microsoft Authenticator en tu dispositivo.
Selecciona Hecho para completar la configuración de Microsoft Authenticator.

Habilitar inicio de sesión telefónico

Después de que los usuarios se hayan registrado para la aplicación Microsoft Authenticator, necesitan habilitar el inicio de sesión telefónico:

En Microsoft Authenticator, selecciona la cuenta registrada.
Selecciona Habilitar inicio de sesión telefónico.
Sigue las instrucciones en la aplicación para terminar de registrar la cuenta para el inicio de sesión telefónico sin contraseña.

Nota

Para la verificación de Secure Service Desk, dado que los usuarios deben responder Sí o No al mensaje Permanecer conectado después de iniciar sesión a través de Microsoft 365 para que el proceso de verificación se complete por completo, los administradores pueden considerar deshabilitar el mensaje Permanecer conectado en Azure.

Revisar la configuración de Microsoft Authenticator

Navega al centro de administración de Microsoft Entra.
En Métodos de autenticación de Microsoft Entra, ve a la sección Políticas en el panel izquierdo, luego selecciona Microsoft Authenticator.
En la pestaña Habilitar y Objetivo, Objetivo "Todos los usuarios", el Modo de autenticación no debe estar configurado en Push en la lista desplegable (si se configura en Push, deshabilitaría la autenticación sin contraseña).

Configurar en Specops Authentication Web

Navega a Microsoft Entra ID en Specops Authentication y haz clic en Conexión.
En la lista desplegable Detalles de conexión de Microsoft Entra ID, selecciona Solo autenticación.
Ingresa tu ID de cliente de Entra ID.
Si el valor de Entra ID ImmutableId (también conocido como ancla de origen) se almacena en un atributo personalizado, ingresa ese atributo en el campo Atributo de usuario.

Nota

El atributo predeterminado es objectGUID.
Haz clic en Probar conexión para verificar que todo esté configurado correctamente.
Haz clic en Otorgar consentimiento. Esto te redirigirá al mensaje de inicio de sesión de Microsoft.
Se muestra un cuadro de diálogo de consentimiento de Microsoft. Inicia sesión con tu cuenta de administrador de cliente de Entra ID para dar acceso a la aplicación para iniciar sesión y leer el perfil de usuario.

Nota

Al aceptar los permisos, das a la aplicación acceso a los recursos especificados para todos los usuarios de tu organización.

Para aceptar los permisos, haz clic en Aceptar. Si haces clic en Cancelar, serás redirigido al Portal de Administración de Specops Authentication.
Haz clic en Guardar.

Personalizado

Usa esta opción para un control más detallado sobre la integración. Para configurar una integración personalizada, necesitas registrar una aplicación cliente en el cliente de la organización.

Instrucciones detalladas y actualizadas sobre cómo registrar una nueva aplicación se pueden encontrar en la documentación de Microsoft. A continuación se presenta una versión abreviada del procedimiento de configuración.

Una vez que hayas registrado tu aplicación, se requiere la siguiente información para configurar Specops Authentication:

ID de cliente (más información sobre dónde encontrar tu ID de cliente)
ID de cliente de la aplicación (más información sobre dónde encontrar tu ID de cliente de la aplicación)
Secret key de cliente de la aplicación (más información sobre cómo registrar tu secret key de cliente de la aplicación)

Crear un registro de aplicación en Azure Portal (Azure Portal)

Ve a Microsoft Entra ID > Registros de aplicaciones > Nuevo registro.
Proporciona un nombre, por ejemplo "Microsoft MFA para Specops uReset".
En la sección Tipos de cuenta admitidos, selecciona una opción (el valor predeterminado es "Cuenta en este directorio organizacional solamente (Solo Directorio Predeterminado - Un solo cliente)).
En la sección URI de redirección, selecciona Web de la lista desplegable e ingresa la URL de la configuración de Servicios de Identidad Microsoft de Specops Authentication: https://login.specopssoft.com/Authentication/MicrosoftEntraId/Authentication/Callback.
Haz clic en Registrar.
En la sección de Descripción general del registro de la aplicación, copia lo siguiente:
- ID de directorio (cliente)
- ID de aplicación (cliente)

Configurar el registro de la aplicación

Ve a Microsoft Entra ID > Registros de aplicaciones > Pestaña de todas las aplicaciones > Microsoft MFA para Specops uReset (u otro nombre de registro de aplicación si se eligió) > Autenticación.
En la sección Concesión implícita y flujos híbridos, habilita Tokens de ID (usados para flujos implícitos e híbridos).
Ve a Microsoft Entra ID > Registros de aplicaciones > Todas las aplicaciones > Microsoft MFA para Specops uReset (u otro nombre de registro de aplicación si se eligió) > Certificados y secretos > Pestaña Secretos de cliente.
Haz clic en Nuevo secret key de cliente.
Proporciona una descripción, por ejemplo Microsoft MFA para Specops uReset Secret key de cliente.
En la lista desplegable Expira, selecciona el tiempo en que el secret key de cliente expirará, por ejemplo 730 días (24 meses).
Haz clic en Agregar.
Copia el valor del secret key de cliente.

Nota

En el primer uso, un administrador de Azure puede necesitar aprobar el registro de la aplicación antes de que realmente pueda ser utilizada: consulta https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/review-admin-consent-requests.

Configurar en Specops Authentication Web

Navega a Microsoft Entra ID en Specops Authentication y haz clic en Conexión.
En la lista desplegable Detalles de conexión de Microsoft Entra ID, selecciona Personalizado.
Ingresa los valores requeridos para:
- ID de cliente
- ID de cliente de la aplicación
- Secret key de cliente de la aplicación
En el campo Instancia de Azure, selecciona la instancia de Entra ID que deseas usar: Global, Gobierno de EE.UU., o China, dependiendo de tus requisitos.
Copia el valor de Uri de redirección. En la aplicación cliente de Entra ID, ve a Autenticación, luego haz clic en Agregar una plataforma, selecciona Web, e ingresa el URI en el campo URIs de redirección personalizados. Más información se puede encontrar aquí: Registrar una aplicación en Microsoft Entra ID.
Haz clic en Probar conexión para verificar que todo esté configurado correctamente.
Haz clic en Guardar.