Herramienta de administración de Gatekeeper

La herramienta de administración de Gatekeeper proporciona una visión general de los componentes instalados y se puede utilizar para gestionar la configuración del sistema creada durante la instalación.

Gatekeeper

Los siguientes ajustes se pueden configurar desde la pestaña Gatekeeper.

Actualización de la herramienta de administración de Gatekeeper

Para obtener más información sobre cómo actualizar a la última versión de Specops Authentication, consulte Upgrade.

Ver certificados

Los certificados tanto para el cliente de Gatekeeper como para la autenticación del backend de Gatekeeper se pueden acceder haciendo clic en el enlace Ver.

Cambiar la configuración del proxy

Si su organización está utilizando un servidor proxy para enrutar el tráfico de Internet externamente, necesitará configurar el servidor proxy para permitir que el Gatekeeper acceda a Internet. Haga clic en Editar en la fila del Proxy y especifique la dirección como una URL completa, incluyendo el protocolo y cualquier puerto personalizado.

Cambiar Gatekeepers

Si tiene múltiples Gatekeepers, puede cambiar entre ellos:

Haga clic en Cambiar en la parte superior izquierda.
En la ventana Seleccionar Gatekeeper, resalte el Gatekeeper al que desea cambiar.
Haga clic en OK.

Comandos generales

En la parte superior derecha de esta pestaña hay un cuadro con comandos generales. Estos incluyen lo siguiente:

Actualizar: actualiza la información en la pestaña.
Buscar nueva versión de la herramienta de administración: verifica si la herramienta de administración necesita ser actualizada.
Migrar desde SPR: abre el asistente de migración para migrar datos de Specops Password Reset.
Limpiar cachés en todos los Gatekeepers: limpia todos los cachés en los Gatekeepers.

Gestión de Gatekeepers fuera de línea

Para resolver correctamente todos los Gatekeepers disponibles, cualquier Gatekeeper fuera de línea (no utilizado) debe ser eliminado correctamente. La forma recomendada de hacer esto es a través de la herramienta de administración de Gatekeeper.

Anulación del registro de Gatekeepers (recomendado)

En la herramienta de administración de Gatekeeper, asegúrese de haber accedido al Gatekeeper que desea anular el registro (para obtener información sobre cómo cambiar a otros Gatekeepers, consulte la sección Cambiar Gatekeeper arriba).
Haga clic en Anular registro en la parte superior derecha del campo Instalación de Gatekeeper.
Confirme que desea anular el registro de este Gatekeeper haciendo clic en Sí en la ventana Anular registro de Gatekeeper.

Eliminación manual de gatekeepers

Si, por alguna razón, el Gatekeeper fuera de línea (no utilizado) no fue anulado utilizando el método mencionado anteriormente (por ejemplo, porque el servidor en el que estaba instalado ya no está presente por alguna razón), se deben tomar pasos manuales adicionales.

Nota

Si un Gatekeeper no utilizado no ha sido anulado en la herramienta de administración de Gatekeeper, los archivos restantes deberán ser eliminados manualmente para que el Gatekeeper se resuelva correctamente.

Eliminar el Gatekeeper de la nube
1. Acceda a Authentication Web y haga clic en Gatekeepers.
2. Resalte el Gatekeeper que desea anular el registro en la lista.
3. Haga clic en Anular registro de Gatekeeper.
  
  Nota
  
  Este proceso de anulación del registro no es el mismo que el realizado por la herramienta de administración de Gatekeeper. El proceso de anulación del registro iniciado desde la herramienta de administración de Gatekeeper realizará todos los pasos necesarios para eliminar el Gatekeeper no utilizado y no requiere pasos manuales.
4. En la ventana de confirmación, haga clic en Anular registro.
Eliminar el Punto de Conexión de Servicio (SCP) de Active Directory.
1. En el servidor donde está instalado el Gatekeeper, abra la herramienta Active Directory Users and Computers.
2. Asegúrese de que Características Avanzadas esté activado (menú superior Ver > Características Avanzadas).
3. Navegue a System > Specops > SpecopsAuthentication > Gatekeepers.
4. Haga clic derecho en el Gatekeeper correcto y seleccione Eliminar.

Configuración de Active Directory

Los siguientes ajustes se pueden configurar desde la pestaña Configuración de Active Directory.

Editar el alcance de la gestión

El alcance de Active Directory determina qué usuarios pueden utilizar el servicio Specops Authentication.

En la herramienta de administración de Gatekeeper, haga clic en Configuración de Active Directory.
Encuentre la fila donde se muestra el alcance actual de Active Directory y haga clic en Editar.
Seleccione el alcance deseado de Active Directory y haga clic en Agregar. Se pueden seleccionar múltiples ubicaciones si desea múltiples alcances de gestión.
Haga clic en OK.

Habilitar restablecimientos de contraseña en Specops Authentication

Puede habilitar las funciones de uReset y Secure Service Desk en Specops Authentication. Para uReset, habilite a los usuarios finales para abordar tareas comunes relacionadas con la gestión de contraseñas, incluidas las contraseñas olvidadas. Esta función está bloqueada a menos que tenga uReset como parte de su suscripción. Para Secure Service Desk, esto habilita la administración de usuarios en Secure Service Desk. Esta función está bloqueada a menos que tenga Secure Service Desk como parte de su suscripción.

En la herramienta de administración de Gatekeeper, haga clic en Configuración de Active Directory.
En la sección de Configuración de Active Directory, haga clic en Cambiar en la fila Permitir restablecimientos de contraseña.
Seleccione una de las siguientes opciones al habilitar la función de restablecimiento de contraseña:
- Modo de Seguridad Estándar: Todos los usuarios que sean miembros del grupo de agentes de servicio de Specops Authentication podrán restablecer contraseñas para otros usuarios.
- Modo de Seguridad Delegada: El control de acceso para restablecer contraseñas para otros usuarios se basa en la configuración de seguridad actual (permiso de 'restablecer contraseña') en Active Directory.
Haga clic en OK.

Agregar/eliminar miembros a grupos de seguridad

Puede agregar miembros adicionales a los grupos de Administradores, Administradores de usuarios, Gatekeepers y Lectores de informes. Los usuarios que son miembros del grupo de Administradores son administradores del portal en Specops Authentication Web. Los usuarios que son miembros del grupo de Administradores de Usuarios pueden acceder a las funciones de gestión de usuarios en Specops Authentication Web. Los usuarios que son miembros del grupo de Gatekeepers tienen permiso para leer información de usuario.

En la herramienta de administración de Gatekeeper, haga clic en Configuración de Active Directory.
Encuentre el grupo de seguridad que desea editar y haga clic en Editar miembros.
Para agregar un miembro, haga clic en Agregar miembro e ingrese el nombre del usuario o grupo que desea agregar, luego haga clic en OK.
Para eliminar un miembro, seleccione un miembro de la lista de miembros del grupo y haga clic en Eliminar miembro seleccionado, luego haga clic en OK.
Haga clic en OK.

Grupo de Lectores de Informes

Los miembros del grupo de seguridad de Lectores de Informes en la herramienta de administración de Gatekeeper pueden iniciar sesión en Specops Authentication Web para ver informes. A menos que también sean miembros de otros grupos de seguridad, no verán ninguna otra sección en Specops Authentication Web.

Nota

Los miembros de este grupo podrán ver todos los informes relacionados con la cuenta. No puede filtrar qué informes son visibles o no.

Especificar el controlador de dominio preferido

Por defecto, Specops Authentication utilizará el controlador de dominio más cercano disponible. Haga clic en Cambiar para especificar el controlador de dominio preferido.

Secure Access

Los siguientes ajustes se pueden configurar desde la pestaña Secure Access.

Gestionar GPOs de Secure Access

Puede etiquetar los GPOs que desea utilizar con la función Secure Access en Specops Authentication. Los usuarios afectados se autenticarán con un segundo factor al iniciar sesión en su cuenta de Windows.

En la herramienta de administración de Gatekeeper, haga clic en Secure Access.
Haga clic en Etiquetar GPOs en la parte superior de la sección GPOs etiquetados para MFA para Windows, seleccione el Objeto de Política de Grupo y haga clic en OK.

Gestionar GPOs de NPS Companion

Puede etiquetar los GPOs que desea utilizar con la función NPS Companion (Radius) en Secure Access. Los usuarios afectados se autenticarán con un segundo factor al iniciar sesión en su cuenta de Windows utilizando acceso remoto. Para obtener más información, consulte esta página.

En la herramienta de administración de Gatekeeper, haga clic en Secure Access.
Haga clic en Etiquetar GPOs en la parte superior de la sección GPOs etiquetados para NPS Companion, seleccione el Objeto de Política de Grupo y haga clic en OK.

Secure Service Desk

Los siguientes ajustes se pueden configurar desde la pestaña Secure Service Desk.

Grupo de Seguridad Administrativa

En esta sección puede agregar usuarios que están autorizados para acceder al sistema como agentes de servicio.

Agregar miembros

En la herramienta de administración de Gatekeeper, haga clic en Secure Service Desk.
En la sección Grupo de Seguridad Administrativa, haga clic en Editar miembros.
Haga clic en Agregar miembro.
Busque el usuario o grupo que desea agregar utilizando la función Verificar nombres, luego haga clic en OK.

Eliminar miembros

En la herramienta de administración de Gatekeeper, haga clic en Secure Service Desk.
En la sección Grupo de Seguridad Administrativa, haga clic en Editar miembros.
En la lista de Miembros del Grupo, resalte el usuario o grupo que desea eliminar.
Haga clic en Eliminar miembro seleccionado.

Configuración de búsqueda de usuarios

Aquí puede ajustar los parámetros utilizados para la búsqueda de usuarios en Secure Service Desk. Los siguientes parámetros se pueden cambiar:

Puede configurar los siguientes ajustes de búsqueda en las páginas de Gestión de Usuarios en Specops Authentication Web.

Atributos de búsqueda: Especifique los atributos de AD para buscar desde las páginas de Gestión de Usuarios en Specops Authentication Web. Si el campo no está configurado, el valor predeterminado será la resolución de nombres ambiguos (aNR), una consolidación de algunos atributos comunes en el objeto de usuario. Para más detalles sobre aNR, consulte Active Directory: Resolución de Nombres Ambiguos. Para usar aNR y un atributo personalizado, deberá incluir aNR en una lista separada por comas de atributos para buscar.
Atributos adicionales de resultado: Especifique atributos adicionales en los resultados de búsqueda.
Límite de resultados personalizados: Especifique el número máximo de resultados recuperados al buscar usuarios.

Agregar atributos de búsqueda

Nota

Esto generalmente se deja en el valor predeterminado, aNR (resolución de nombres ambiguos), que encontrará la mayoría de los usuarios que coincidan con cualquier entrada de búsqueda.

En la sección Configuración de búsqueda de usuarios, haga clic en Editar en la fila Atributos de búsqueda.
Desmarque la casilla Usar valor predeterminado.
Ingrese los atributos que desea usar. Separe múltiples atributos con comas.
Haga clic en OK.

Cambiar atributos adicionales de resultado

En la sección Configuración de búsqueda de usuarios, haga clic en Editar en la fila Atributos adicionales de resultado.
Haga clic en Agregar atributo.
Ingrese el Nombre para mostrar y el Nombre del atributo para el atributo que desea agregar.
Haga clic en OK.
Haga clic en OK nuevamente.

Cambiar límite de resultados personalizados

Nota

Esto generalmente se deja en el valor predeterminado, 200.

En la sección Configuración de búsqueda de usuarios, haga clic en Editar en la fila Límite de resultados personalizados.
Desmarque la casilla Usar valor predeterminado.
Ingrese el valor que desea usar.
Haga clic en OK.

GPOs etiquetados para la gestión de usuarios de Secure Service Desk

Aquí puede etiquetar GPOs para habilitarlos para Secure Service Desk. Si se etiquetan GPOs, solo los usuarios asociados con los GPOs etiquetados serán gestionados en Secure Service Desk.

Nota

Si no se etiquetan GPOs, todos los usuarios en el alcance configurado de Active Directory serán gestionados en Secure Service Desk.

Nota

El conteo de licencias para Secure Service Desk se basará en los GPOs etiquetados.

Etiquetar GPOs

En la herramienta de administración de Gatekeeper, haga clic en Secure Service Desk.
En la sección GPOs etiquetados para la gestión de usuarios de Secure Service Desk, haga clic en Etiquetar GPOs.
Seleccione el GPO que desea etiquetar (haga clic con Shift o CTRL para seleccionar múltiples GPOs a la vez).
Haga clic en OK.

Para des-etiquetar GPOs, haga clic en Des-etiquetar en la fila de la tabla del GPO que desea eliminar.

Configuración de correo electrónico

Los ajustes de Gatekeeper para enviar correo electrónico se pueden configurar de diferentes maneras:

Usando la Configuración Predeterminada de Specops, que se configura en Specops Authentication Web.
Usando SMTP con acceso anónimo o autenticación básica.
Usando Microsoft Graph API.

Si no desea utilizar la Configuración Predeterminada de Specops, puede configurar su propio método de entrega de correo electrónico siguiendo las instrucciones a continuación.

Nota

Configurar el ajuste de correo electrónico en la herramienta de administración de Gatekeeper desactivará cualquier configuración de correo electrónico en Specops Authentication Web.

Configuración de ajustes SMTP

Para usar SMTP como método de entrega de correo electrónico:

Haga clic en Editar.
Seleccione qué tipo de configuración desea usar en el menú desplegable (acceso anónimo o autenticación básica).
Introduzca el dominio del servidor SMTP (campo requerido).
Establezca el número máximo de conexiones concurrentes que Gatekeeper utilizará al enviar correos electrónicos.

Nota

Cada vez que se realicen cambios en este campo, todos los Gatekeepers afectados deberán reiniciarse.

Nota

El valor predeterminado del número máximo de conexiones concurrentes es 10. Consulte la documentación de su servidor SMTP para saber cuántas conexiones concurrentes están permitidas.
Introduzca el puerto SMTP (el valor predeterminado es el puerto 25).
Use el menú desplegable para establecer si se debe utilizar TLS (Seguridad a Nivel de Transporte).

Nota

Establezca esta opción en Sí si desea habilitar el cifrado para el correo saliente. Tenga en cuenta que habilitar TLS establecerá automáticamente el puerto SMTP en 587.

Nota

Tenga en cuenta que se requiere un certificado SSL válido para usar TLS al enviar correos SMTP.
Introduzca la Dirección de correo electrónico del remitente (campo requerido) y el Nombre para mostrar del remitente.
Solo para autenticación básica: introduzca el nombre de usuario y la contraseña SMTP.
Haga clic en OK.
Haga clic en OK en el cuadro de diálogo de confirmación y reinicie todos los Gatekeepers si se cambió la opción Máx. conexiones concurrentes.

Configuración de Microsoft Graph API

Puede usar Microsoft Graph API para la entrega de correo electrónico en lugar de SMTP tradicional.

Nota

Antes de configurar Microsoft Graph API, se debe crear un registro de aplicación en Microsoft Entra ID con el permiso de aplicación Mail.Send de Microsoft Graph y con el consentimiento del administrador concedido. Consulte Configuración de Microsoft Graph API.

Haga clic en Editar.
Seleccione Microsoft Graph API en el menú desplegable.
En el campo Dirección de correo electrónico del remitente, introduzca la dirección de correo electrónico desde la que se enviarán los correos electrónicos.
- Debe ser un buzón válido de Microsoft 365 (usuario o compartido).
- El registro de la aplicación debe tener permiso para enviar como este buzón.
Use los valores de su registro de aplicación de Microsoft Entra para completar los siguientes campos. Consulte Configuración de Microsoft Graph API.
1. En el campo ID del cliente, introduzca su ID del cliente de Microsoft Entra ID.
2. En el campo ID del cliente, introduzca el ID de la aplicación (cliente) de su registro de aplicación.
3. En el campo Secreto del Cliente, introduzca el valor del Secreto del Cliente creado para su registro de aplicación. Use el valor de la secret key, no el ID del secreto.
Haga clic en OK.
Haga clic en OK en el cuadro de diálogo de confirmación.

Configuración de Microsoft Entra ID

Puede usar Microsoft Entra ID para sincronizar al restablecer o cambiar la contraseña. Para configurar la configuración de Microsoft Entra ID en la herramienta de administración de Gatekeeper, primero debe configurar una App en Microsoft Entra ID y darle los permisos correctos.

Requisitos

Requisito
Cliente en Microsoft Entra ID
Suscripciones en Microsoft Entra ID

Configuración de una app en Microsoft Entra

Inicie sesión en https://entra.microsoft.com/
Haga clic en Microsoft Entra ID. Esto debería llevarlo al directorio de su organización.
Haga clic en Registros de aplicaciones.
Haga clic en Nuevo registro.
Ingrese un nombre para la aplicación en el campo Nombre.
Usando los botones de opción, seleccione el tipo de cuenta compatible (Cliente Único o Multicliente).
Haga clic en Registrar. En la siguiente pantalla de resumen de la aplicación, en la sección Esenciales, tome nota (copie) del ID de la aplicación (cliente) y el ID del directorio (cliente). Estos se utilizarán para la configuración.
En la navegación izquierda de la pantalla de resumen de la aplicación, haga clic en Certificados y secretos.
Haga clic en Nuevo secreto de cliente. Ingrese una descripción y establezca un período de expiración usando el menú desplegable Expiración, luego haga clic en Agregar.
Copie y almacene el secreto en la columna Valor para la contraseña. Esto también se utilizará para la configuración.

Nota

Al configurar un punto de sincronización (Specops Password Sync), tenga en cuenta que este valor debe pegarse en el campo Contraseña del proveedor en la configuración del Punto de Sincronización.
En la navegación izquierda del centro de administración de Microsoft Entra ID (la más a la izquierda), haga clic en Microsoft Entra ID, luego haga clic en Roles y administradores.
En la lista, haga clic en un rol que sea suficiente para restablecer contraseñas.

Nota

Para obtener una visión general de los roles y sus permisos, por favor vaya a Trabajar con usuarios en Microsoft Graph. Tenga en cuenta que el rol mínimo requerido para restablecer contraseñas es el rol de Administrador de Contraseñas.
Haga clic en Agregar asignaciones en la parte superior. La barra lateral Agregar Asignaciones se abrirá a la derecha.
En el cuadro de búsqueda, ingrese el nombre de la aplicación registrada, haga clic en la aplicación en la lista de resultados de búsqueda, luego haga clic en Agregar en la parte inferior.

Próximos pasos

Escriba o copie el ID de la aplicación (cliente), ID del directorio (cliente) y el Secreto del cliente, luego proceda a configurar la configuración de Microsoft Entra ID en la herramienta de administración de Gatekeeper.

Configuración de la herramienta de administración de Gatekeeper

En la herramienta de administración de Gatekeeper, seleccione Configuración de Microsoft Entra ID.
En el campo Configuración de Microsoft Entra ID, haga clic en Editar.
Ingrese el ID de cliente (ID de la aplicación (cliente)).
Ingrese el ID del cliente (ID del directorio (cliente)).
Ingrese el Secreto del cliente (Valor del secreto del cliente).
Haga clic en OK.
En el cuadro de navegación derecha, haga clic en Probar conexión para ver si se estableció una conexión con Microsoft Entra ID.

Una vez que se establece la conexión, el Gatekeeper comenzará a sincronizarse con Microsoft Entra ID al restablecer o cambiar la contraseña.

Identidad de Windows

Esta sección muestra la configuración para la Autenticación Integrada de Windows. Estos ajustes también se pueden editar aquí.

Nota

NTLM es un protocolo heredado, que solo está disponible para clientes antiguos de Specops. Los nuevos clientes tendrán el servicio de identidad deshabilitado por defecto y solo podrán elegir entre Deshabilitado o Kerberos.

La Autenticación Integrada de Windows permite que las credenciales de Active Directory de los usuarios pasen a través de su navegador a un servidor web, enviadas como hash (NTLM) o cifradas (Kerberos). Configurar la Autenticación Integrada para el usuario autenticará automáticamente al usuario con la Identidad de Windows y otorgará el token de autenticación de Identidad de Windows.

Habilitar la Autenticación Integrada

Por defecto, la Autenticación Integrada está deshabilitada para nuevos clientes. Si desea utilizar la Autenticación Integrada, haga lo siguiente:

Nota

Se recomienda utilizar el tipo de cuenta de Cuentas de Servicio Administradas de Grupo durante la instalación de Gatekeepers. Para obtener más información, consulte gMSA.

En la herramienta de administración de Gatekeeper, seleccione Identidad de Windows.
En el campo Configuración de Autenticación Integrada, haga clic en Editar.
En el menú desplegable Seleccionar protocolo de autenticación, seleccione el protocolo que desea usar: NTLM o Kerberos.

Nota

No se recomienda utilizar el protocolo NTLM. NTLM es un protocolo heredado que proporciona menos seguridad. Considere usar el protocolo Kerberos en su lugar.
Haga clic en OK.
Agregue la URL de Autenticación Integrada a la Intranet Local en Opciones de Internet para cada cliente.

Nota

Esto se puede hacer agregando la URL a la lista de Sitios de Confianza en el Panel de Control de Windows > Opciones de Internet > Pestaña de Seguridad > Intranet Local > Sitio, luego agregue la URL. También se puede hacer a través del registro. Más información sobre esto último se puede encontrar aquí: Formas Alternativas de Actualizar Sitios de Confianza. Tenga en cuenta que la publicación del blog referenciada aquí trata sobre una URL diferente, aunque el proceso es el mismo.

Para obtener más información sobre la Identidad de Windows, consulte la página de Identidad de Windows.