Duo

Configurar Duo Security con Specops Authentication para Secure Service Desk extenderá el sistema de autenticación de dos factores de Duo Security a los usuarios de uReset.

Hay dos formas de conectarse a Duo Security, Web SDK y Auth API. Auth API es el más nuevo de los dos y es utilizado por todos los nuevos clientes. Para verificar qué método está utilizando, realice los siguientes pasos:

Inicie sesión en la web de Specops Authentication: https://login.specopssoft.com/authentication/admin
Seleccione Identity Services en la navegación de la barra lateral izquierda, luego seleccione Duo Security.
Asegúrese de que diga “Auth API”.

Configurando Duo Security con Web SDK

Nota

Web SDK solo está disponible para clientes que comenzaron a usar Duo Security antes del lanzamiento 8.16 de Specops Authentication. Los clientes que comiencen a usar Duo Security desde la versión 8.16 en adelante deben usar Auth API (ver abajo) para configurar Duo Security.

Requisitos previos: Se requieren los roles administrativos de Propietario, Administrador o Administrador de Aplicaciones en Duo Security.

Inicie sesión en la web de Specops Authentication: https://login.specopssoft.com/authentication/admin
Seleccione Identity Services en la navegación de la barra lateral izquierda, luego seleccione Duo Security.
Seleccione Enable, luego en la ventana emergente seleccione Enable nuevamente. Esto hará que el servicio esté disponible para su uso en los servicios de Specops.
Inicie sesión en el Panel de Administración de Duo Security.
Seleccione Applications en la navegación de la barra lateral izquierda, luego seleccione Protect an Application.
La siguiente página muestra una lista de los diferentes tipos de servicios que se pueden integrar con Duo Security. En la lista, encuentre Web SDK y seleccione Protect this application.
Establezca una política para la aplicación utilizando una existente o creando una nueva.

Nota

la configuración de New User Policy debe establecerse en Require enrollment. Allow access without 2FA permitirá a los usuarios omitir Duo Security sin autenticarse. Deny access bloqueará a los usuarios para que no se autentiquen con Duo Security.

Nota

la configuración de Group Access Policy debe establecerse en No action. Al igual que con la New User Policy, no se puede establecer en Allow access without 2FA o Deny access.
Configure los Ajustes e ingrese un nombre.
Seleccione Guardar.
Desde la sección Detalles, copie la clave de Integración, la clave secreta y el nombre de host de la API en sus campos correspondientes en el Specops Client.

Nota

el campo Attribute name puede dejarse en blanco para usar el atributo predeterminado de Active Directory (sAMAccountName), a menos que necesite usar un atributo AD diferente.
Seleccione Test connection. Si la conexión fue exitosa, aparecerá un mensaje que dice Connection test successful.
Seleccione Save.

Para agregar Duo Security a su política:

Seleccione Secure Service Desk en la navegación de la barra lateral izquierda, luego seleccione Configure en la sección Policies.
Arrastre Duo Security desde la sección Unselected Identity Services a la sección Selected Identity Services, y configure los ajustes de Peso, Requerido y Protegido.
Seleccione Save.

Configurando Duo Security con Auth API

Requisitos previos: Se requieren los roles administrativos de Propietario, Administrador o Administrador de Aplicaciones en Duo Security.

Inicie sesión en la web de Specops Authentication: https://login.specopssoft.com/authentication/admin
Seleccione Identity Services en la navegación de la barra lateral izquierda, luego seleccione Duo Security.
Seleccione Enable, luego en la ventana emergente seleccione Enable nuevamente. Esto hará que el servicio esté disponible para su uso en los servicios de Specops.
Inicie sesión en la página de administración de Duo Security
Seleccione Applications en la navegación de la barra lateral izquierda, luego seleccione Protect an Application.
La siguiente página muestra una lista de los diferentes tipos de servicios que se pueden integrar con Duo Security. En la lista, encuentre Partner Auth API y seleccione Protect this application.
Establezca una política para la aplicación haciendo clic en Apply a policy to all users y seleccionando la política en el menú desplegable, o cree una nueva política haciendo clic en el enlace Or, create a new policy en esa misma ventana, luego haciendo clic en New User policy.

Nota

la configuración de New User Policy debe establecerse en Require enrollment. Allow access without 2FA permitirá a los usuarios omitir Duo Security sin autenticarse. Deny access bloqueará a los usuarios para que no se autentiquen con Duo Security.
Configure los Ajustes e ingrese un nombre.
Haga clic en Guardar.
Desde la sección Detalles, copie la clave de Integración (Client ID), la clave secreta y el nombre de host de la API en sus campos correspondientes en el Specops Client.

Nota

el campo Attribute name puede dejarse en blanco para usar el atributo predeterminado de Active Directory (sAMAccountName), a menos que necesite usar un atributo AD diferente.
Seleccione su configuración deseada para Auto-enroll users in Specops Authentication. Configurarlo en sí inscribirá automáticamente a todos los usuarios.

Nota

Para usar Duo Security con Quick Verification, esta configuración debe establecerse en Yes
Seleccione Test connection. Si la conexión fue exitosa, aparecerá un mensaje que dice Connection test successful.
Haga clic en Save.

Configurando Duo Security con OpenID Connect (OIDC)

Puede configurar Duo Security para usar el protocolo OpenID Connect para proporcionar autenticación de dos factores a los usuarios. Esto significa que en lugar de usar la página de inicio de sesión de Specops, los usuarios serán redirigidos a una URL de Duo Security donde podrán autenticarse a través del Universal Prompt de Duo Security. El Universal Prompt presentará al usuario un código numérico, que el usuario deberá ingresar en la notificación push en el dispositivo donde tiene instalada la aplicación Duo Security. Este método de autenticación se puede usar para contrarrestar los llamados ataques de fatiga donde se presentan a los usuarios múltiples notificaciones push simples, introduciendo el paso adicional de confirmar el código en pantalla.

Nota

Auth API necesita ser configurado antes de configurar OIDC.

Para configurar OIDC:

Inicie sesión en la web de Specops Authentication: https://login.specopssoft.com/authentication/admin
Seleccione Identity Services en la navegación de la barra lateral izquierda, luego seleccione Duo Security.
El servicio ya debería haber sido habilitado cuando se configuró Auth API.
Seleccione la casilla de verificación Use Duo prompt for end-users.
Inicie sesión en el Panel de Administración de Duo Security.
Seleccione Applications en la navegación de la barra lateral izquierda, luego seleccione Protect an Application.
La siguiente página muestra una lista de los diferentes tipos de servicios que se pueden integrar con Duo Security. En la lista, encuentre Web SDK y seleccione Protect this application.
Establezca la misma política que la establecida para Auth API para la aplicación haciendo clic en Apply a policy to all users y seleccionando la política en el menú desplegable.

Nota

Necesita seleccionar la misma política que la establecida para Auth API para evitar configuraciones donde se impediría a los usuarios usar Duo Security para autenticarse.
Configure los Ajustes e ingrese un nombre.
Seleccione Guardar.
Desde la sección Detalles, copie el Client Id y el Client secret en sus campos correspondientes en el Specops Client.
Seleccione Test connection. Si la conexión fue exitosa, aparecerá un mensaje que dice Connection test successful.

Nota

La prueba verificará tanto la conexión Auth API como la OIDC, por lo que ambas deberán estar configuradas correctamente. Cualquier mensaje de error indicará qué parte de la configuración fue incorrecta.
Haga clic en Save.

Para agregar Duo Security a su política:

Seleccione Secure Service Desk en la navegación de la barra lateral izquierda, luego seleccione Configure en la sección Policies.
Arrastre Duo Security desde la sección Unselected Identity Services a la sección Selected Identity Services, y configure los ajustes de Peso, Requerido y Protegido.
Seleccione Save.

Usando Duo Security con Quick Verification

Quick Verification solo se puede usar con Auth API. Tenga en cuenta que cuando la configuración Auto-enroll users in Specops Authentication está configurada en No, no puede usar Quick Verification (o Advanced Verification) para usuarios que no se han inscrito con Duo Security.

Nota

los clientes que usan Web SDK para configurar Duo Security no pueden usar Duo Security para Quick Verification. Solo estará disponible como una Advanced Verification.

Autenticación de Duo Security para el inicio de sesión en Windows

El Specops Client proporciona mejoras a la experiencia de inicio de sesión de Windows al envolver el proveedor de credenciales integrado de Windows (GINA). Esto incluye permitir a los usuarios restablecer sus contraseñas desde la pantalla de inicio de sesión, así como mejorar la retroalimentación que reciben los usuarios al cambiar su contraseña a través de CTRL+ALT+DEL. El Specops Client también admite envolver proveedores de credenciales de terceros, siempre que ese proveedor de credenciales admita ser envuelto. Algunos proveedores de credenciales, como la Autenticación de Duo Security para el inicio de sesión en Windows, requieren configuración adicional para permitir que el Specops Client los envuelva.

Establezca una clave de registro en el cliente de Duo Security para permitir el envolvimiento por parte del Specops Client. En una máquina con el cliente de Duo Security instalado, cree o actualice la siguiente clave de registro:
- Ruta de la clave: HKEY_LOCAL_MACHINE\SOFTWARE\Duo Security\DuoCredProv
- Nombre del valor: ProvidersWhitelist
- Tipo de valor: REG_MULTI_SZ
- Datos del valor: ingrese (o agregue) los siguientes dos GUID en líneas separadas: estos son los GUID que identifican al Specops Client:
  - {00002ba3-bcc4-4c7d-aec7-363f164fd178}
  - {4834dbc7-4a06-424d-a67f-20ddebcf08e1}
A continuación, use la Plantilla ADMX de Specops Authentication para especificar que debemos envolver el proveedor de credenciales de Duo Security. En Specops Client Wrap Duo Security Specops Client/Enhance Windows logon and password change, configure GUID of credential provider to wrap al GUID del cliente de Duo Security, incluidos los corchetes: {44E2ED41-48C7-4712-A3C3-250C5E6D5D84}. Tenga en cuenta que el Specops Client, las plantillas ADMX y las instrucciones para instalar ambos se pueden encontrar aquí.

Una vez que la política de grupo se haya aplicado a las computadoras afectadas, tanto la funcionalidad de inicio de sesión de Duo Security como la funcionalidad de Specops Authentication para el cambio de contraseña y el restablecimiento de contraseña deberían funcionar sin problemas juntos. Para los clientes de uReset, esto significa que puede continuar usando el enlace de Restablecer Contraseña en la pantalla de inicio de sesión tal como lo haría en estaciones de trabajo sin el cliente de Duo Security. Para la Retroalimentación Dinámica al Cambiar Contraseña (disponible tanto para clientes de uReset como de Password Policy con Specops Client versión 7.15 o posterior) se mostrará la retroalimentación dinámica. Duo Security solicitará MFA después de que se envíe el cambio de contraseña como lo haría normalmente.

Nota

Al usar Duo Security como proveedor de credenciales, se requiere Specops Client 7.17 o posterior.

Duo Security y RdpOnly

Por defecto, Duo Security MFA se invoca tanto para inicios de sesión en consola como para sesiones remotas (RDP).

Es posible configurar el aviso de segundo factor de Duo Security para que se muestre solo para sesiones RDP configurando "RdpOnly" en 1 según la documentación de Duo Security. Si se usa RdpOnly configurado en 1, es necesario configurar el ajuste ADMX de Specops Wrapping in console login sessions y establecerlo en Disabled.

Aplicar Autenticación a Nivel de Red

La Autenticación a Nivel de Red (NLA) ya se aplica en la mayoría de las organizaciones. Permitir RDP sin NLA se considera inseguro y no debe usarse.

Usar el proveedor de credenciales de Specops Authentication sin aplicar NLA no es compatible.

Nota

En casos donde los usuarios inician sesión o desbloquean con el parámetro User must change password at next logon configurado, el proveedor de credenciales de Duo Security no pre-pobla la contraseña ingresada en el inicio de sesión/desbloqueo en la siguiente pantalla al realizar el cambio de contraseña. Esto significa que cuando se muestra el Specops RulesUI, la contraseña actual debe ingresarse nuevamente.