Specops Authentication Web

El Specops Authentication Web se puede usar para ver información del sistema y gestionar varios aspectos del producto, incluidas las configuraciones a nivel del sistema y las políticas de autenticación multifactor para sus diversos recursos. Una vez que haya instalado y configurado el Gatekeeper, los usuarios que son miembros del Authentication Admin Group pueden configurar aún más la solución desde el Specops Authentication Web:

Centro de datos de EE. UU.: https://login.specopssoft.com/authentication/admin
Centro de datos de la UE: https://eu.login.specopssoft.com/authentication/admin

Para obtener más información y administración general, consulte Specops Authentication Web.

Los pasos de configuración específicos para Specops Secure Service Desk se describen a continuación.

Nota

Nota sobre los números de teléfono en Active Directory

Importante: para que la mensajería de texto funcione correctamente en el Service Desk, el número de teléfono móvil registrado en Active Directory debe seguir el formato del plan de numeración E.164. Esto significa que los números de teléfono móvil deben tener el siguiente formato: +[código_de_país][número_de_suscriptor_sin_el_primer_cero]. Por ejemplo, para el número de teléfono sueco (código de país 46) 073-3123456, el número en AD debería ser +46733123456; para el número de teléfono de EE. UU. (código de país 1) 415 555 2671, el formato en AD debería ser +14155552671.

Nota: registrar números de teléfono en Active Directory utilizando cualquier otro formato resultará en que el Specops Service Desk Agent no pueda enviar mensajes de texto al usuario en cuestión.

Roles de agentes de Secure Service Desk

Existen dos tipos distintos de agentes de Secure Service Desk: Specops Service Desk Agent y Specops Service Desk User Verifier. Estos dos tipos de agentes tienen cada uno un conjunto diferente de permisos:

Specops Service Desk Agent tiene permisos para realizar todas las acciones en el Secure Service Desk.

Specops Service Desk User Verifier puede realizar las siguientes acciones:

Verificar Identidad (tanto verificación Rápida como Avanzada)
Ver inscripciones de usuarios
Enviar enlaces de inscripción a los usuarios

Configuración de una Política para el Acceso al Secure Service Desk

Para mayor seguridad, puede configurar políticas de autenticación multifactor para los usuarios (típicamente Specops Service Desk Agents) que acceden al service desk.

Inicie sesión en el Specops Authentication Web y haga clic en Mesa de servicio en la navegación izquierda.
Haga clic en Configurar para configurar la política.
Haga clic en el icono de más para aquellos servicios de identidad que desea incluir en la política.
Haga clic en Guardar.

Configuración de Ajustes para Secure Service Desk

En la página de Ajustes puede configurar lo siguiente:

Verificación de identidad
URL de anulación de verificación
Opciones de restablecimiento de contraseña
Opciones de privacidad del usuario
Opciones de Key Recovery
Opciones de inscripción

Verificación de Identidad

Forzar Verificación de Identidad

Si esta configuración está habilitada, la contraseña del usuario no se puede restablecer, ni se puede desbloquear su computadora por el service desk, hasta que la identidad del usuario haya sido verificada haciendo que se autentique con cualquiera de los servicios de identidad con los que se haya inscrito previamente.

Haga clic en Mesa de servicio en la navegación izquierda.
Haga clic en el botón Ajustes para configurar los ajustes.
Haga clic en la sección Verificación de Identidad.
Marque la casilla Aplicar verificación de identidad y haga clic en Guardar.

Nota

Cuando los usuarios tienen tokens de hardware RSA con PIN, RSA será la opción de verificación avanzada requerida.

Configurar Métodos de Verificación Habilitados

Por defecto, todos los métodos de verificación disponibles (y futuros) están habilitados en el Service Desk. Si desea controlar qué métodos de verificación se pueden usar en el Service Desk, puede hacerlo aquí.

Nota

Recuerde que cuando esta configuración está habilitada, los métodos de verificación recién introducidos deben habilitarse a través de estos ajustes antes de que puedan usarse en el Service Desk.

Haga clic en Mesa de servicio en la navegación izquierda.
Haga clic en el botón Ajustes para configurar los ajustes.
Haga clic en la sección Verificación de Identidad.
Haga clic en el botón Configurar métodos de verificación habilitados.
Marque la casilla Usar solo métodos de verificación habilitados explícitamente.
Habilite o deshabilite los métodos de verificación de su elección haciendo clic en su botón de estado.

URL de Anulación de Verificación

Aquí puede ingresar una URL de anulación de verificación que se mostrará a un agente de Service Desk cuando la URL de verificación no se pueda enviar directamente al usuario. El agente de service desk puede entonces leer la URL al usuario. Para obtener más información sobre esta función y su configuración, consulte la página de URL de anulación.

Opciones de Restablecimiento de Contraseña

Las siguientes opciones se pueden habilitar en los ajustes de restablecimiento de contraseña:

Obligar a los usuarios a cambiar la contraseña después del restablecimiento

Nota

Si esta opción está habilitada, los agentes de Service Desk no pueden ingresar contraseñas manualmente para los restablecimientos. La nueva contraseña se enviará al usuario en un correo electrónico o mensaje de texto.
Permitir la anulación manual de la contraseña (para anular las contraseñas generadas por el sistema si se ha habilitado la opción de Contraseñas generadas por el sistema)
Permitir solo contraseñas generadas por el sistema (para habilitar la generación de contraseñas por el sistema; el Specops Service Desk Agent no podrá leer la contraseña generada)
Notificaciones (consulte la sección Habilitar métodos de notificación adicionales a continuación)

Habilitar Métodos de Notificación Adicionales

Esta sección permite configurar las posibilidades de notificación para el Specops Service Desk Agent. Además del correo electrónico y el teléfono móvil del usuario, se pueden habilitar varios métodos de notificación adicionales. Esto es especialmente útil si el correo electrónico y el número de móvil del usuario no se han configurado en Active Directory. Se pueden habilitar los siguientes ajustes:

Activar el envío de nuevas contraseñas por correo electrónico o SMS: cuando esta opción está marcada, los métodos de notificación por correo electrónico y texto están disponibles para el Specops Service Desk Agent (siempre que los atributos del usuario estén configurados correctamente en Active Directory)
Al correo electrónico personalizado: permite enviar correos electrónicos de notificación a direcciones de correo electrónico distintas de las registradas en Active Directory.
Para el director: permite enviar notificaciones al gerente del usuario (correo electrónico y mensaje de texto, si está configurado correctamente en Active Directory)
Seleccione Mesa de servicio en la navegación izquierda.
Haga clic en la pestaña Ajustes.
Expanda Opciones de restablecimiento de contraseñas.
Marque Habilitar el envío de nuevas contraseñas a los directores para habilitar el envío a un gerente.
Marque Habilitar el envío de las nuevas contraseñas a las direcciones de correo electrónico personalizadas para habilitar el envío a correos electrónicos personalizados.

Nota

Esta opción no está disponible si se ha habilitado la opción de Contraseñas generadas por el sistema. Esta es una precaución de seguridad para evitar que el Specops Service Desk Agent pueda leer la contraseña generada.
Haga clic en Guardar

Opciones de Privacidad del Usuario

Estas opciones se pueden usar para restringir el acceso de los Specops Service Desk Agents a cierta información del usuario. Las siguientes opciones están disponibles:

Parte del número: permite mostrar, ocultar o mostrar solo parte del número de teléfono del usuario para el Specops Service Desk Agent.
Mostrar/Ocultar (correo electrónico): permite mostrar u ocultar la dirección de correo electrónico del usuario para el agente de service desk.

Ocultar el Número de Teléfono y/o la Dirección de Correo Electrónico de un Usuario

Seleccione Mesa de servicio en la navegación izquierda.
Haga clic en la pestaña Ajustes.
Expanda las opciones de Opciones de privacidad de los usuarios.
Establezca el primer menú desplegable en Ocultar para ocultar el número de teléfono del usuario de la vista del agente de service desk. Tenga en cuenta que también es posible mostrar parte del número de teléfono al agente de service desk.
Establezca el segundo menú desplegable en Ocultar para ocultar el correo electrónico del usuario de la vista del agente de service desk.
Haga clic en Guardar

Opciones de Key Recovery

Esta sección le permite configurar notificaciones adicionales para las operaciones de Key Recovery:

Habilitar el envío de la clave de recuperación a los directores: permite enviar la Clave de Recuperación al gerente del usuario si está configurado correctamente en Active Directory.
Habilitar el envío de la clave de recuperación a las direcciones de correo electrónico personalizadas: permite enviar la Clave de Recuperación a correos electrónicos distintos de los asociados con el usuario en Active Directory. Los correos electrónicos personalizados deben estar en los dominios registrados.

Opciones de Inscripción

Aquí puede configurar si los Specops Service Desk Agents pueden inscribir a los usuarios en ciertos servicios de identidad sin intervención del usuario. Esta función solo se puede usar cuando el usuario ha sido verificado. Para obtener más información sobre esta función, consulte la sección Inscripción en la página de Personalización.

Configuración de Agregar Inscripción

Vaya a Service Desk Seguro > Ajustes
Abra Opciones de registro
Marque la opción Permitir al agente de Service Desk inscribir usuarios
Asegúrese de que los servicios de identidad estén configurados correctamente para permitir agregar inscripciones.
Nota

La configuración Actualizar número de móvil en AD debe estar configurada en una de las siguientes opciones:
- Siempre
- Si falta el número en Active Directory
- Almacenar en subobjeto de usuario (cifrado)
Tenga en cuenta también que si la configuración está establecida en Si falta el número en Active Directory y el número ya está presente en Active Directory, la función de Agregar inscripción no funcionará.

Solución de Problemas de Agregar Inscripción

Si el botón Añadir registros no está accesible, los administradores deben verificar lo siguiente:

Verifique que Añadir registros esté habilitado en los Ajustes de Secure Service Desk (Opciones de inscripción).
Verifique que los servicios de identidad Código Móvil (SMS) y/o Correo electrónico personal estén habilitados.
Verifique que los ajustes para el servicio de identidad Código Móvil (SMS) permitan agregar el número de móvil del usuario a AD.

Nota

La función tampoco estará disponible si la configuración Actualizar número de móvil en AD está establecida en Si falta el número en Active Directory y ya hay un número presente en AD.

Opciones de Idioma

Las opciones de idioma le permiten establecer el idioma preferido para los correos electrónicos y sms enviados desde el Secure Service Desk.

Vaya a Service Desk Seguro > Ajustes.
Abra Opciones de idioma.
Marque la casilla marcada Usar idioma preferido.
En el menú desplegable de idiomas, seleccione el idioma que desea usar como idioma preferido.
Haga clic en Guardar

Personalización de Correos Electrónicos y Mensajes de Texto para la Identificación del Gerente

Una de las opciones de Verificación Rápida es que el gerente de un usuario identifique al usuario. Esto se hace enviando un enlace de verificación al gerente del usuario por mensaje de texto o correo electrónico. Estos mensajes se pueden personalizar en el servicio de identidad de Identificación del Gerente.

Haga clic en Servicios de identificación en la navegación izquierda
Haga clic en Identificación por parte del director
Seleccione la pestaña Configuración de Service Desk en la parte superior
Ingrese los textos de Asunto y Cuerpo del mensaje
Nota

En los campos de Asunto y Cuerpo, se pueden usar textos de marcador de posición. Los siguientes marcadores de posición están disponibles:
- %UserDisplayName%: inserta el nombre para mostrar del usuario que necesita ser identificado
- %UserUPN%: inserta el UPN del usuario desde Active Directory
- %ManagerVerificationUrl%: inserta la URL de verificación que el gerente puede hacer clic para verificar al usuario
- %ManagerDisplayName%: inserta el nombre para mostrar del gerente
- %ServiceDeskUserDisplayName%: inserta el nombre para mostrar del agente de service desk que envía el mensaje
Marque la casilla Activo para habilitar el mensaje

Nota

Para deshabilitar (temporalmente) el mensaje personalizado, quite la marca de esta casilla.
Haga clic en Guardar