Duo
Configurar Duo Security con Specops Authentication extenderá el sistema de autenticación de dos factores de Duo Security a los usuarios de Specops Authentication.
Hay dos formas de conectarse a Duo Security; con Web SDK o Auth API. Auth API es el más nuevo de los dos y es utilizado por todos los nuevos clientes. Para verificar qué método está utilizando, realice los siguientes pasos:
- Inicie sesión en la Web de Specops Authentication: https://login.specopssoft.com/authentication/admin
- Seleccione Servicios de identificación en la navegación de la barra lateral izquierda, luego seleccione Duo Security.
- Asegúrese de que diga “Auth API”.
Configurando Duo Security con Web SDK
Nota
Web SDK solo está disponible para clientes que comenzaron a usar Duo Security antes del lanzamiento 8.16 de Specops Authentication. Los clientes que comiencen a usar Duo Security desde la versión 8.16 en adelante deben usar Auth API (ver abajo) para configurar Duo Security.
Requisitos previos: Se requieren los Roles Administrativos de Propietario, Administrador o Administrador de Aplicaciones en Duo Security.
- Inicie sesión en la Web de Specops Authentication: https://login.specopssoft.com/authentication/admin
- Seleccione Servicios de identificación en la navegación de la barra lateral izquierda, luego seleccione Duo Security.
- Seleccione Habilitar, luego en la ventana emergente seleccione Habilitar nuevamente. Esto hará que el servicio esté disponible para su uso en los servicios de Specops.
- Inicie sesión en el Panel de Administración de Duo Security.
- Seleccione Aplicaciones en la navegación de la barra lateral izquierda, luego seleccione Proteger una Aplicación.
- La siguiente página muestra una lista de los diferentes tipos de servicios que se pueden integrar con Duo Security. En la lista, encuentre Web SDK y seleccione Proteger esta aplicación.
-
Establezca una política para la aplicación utilizando una existente o creando una nueva.
Nota
la configuración de Política de Nuevo Usuario debe establecerse en Requerir inscripción. Permitir acceso sin 2FA permitirá a los usuarios omitir Duo Security sin autenticarse. Denegar acceso bloqueará a los usuarios para que no se autentiquen con Duo Security.
Nota
la configuración de Política de Acceso de Grupo debe establecerse en Sin acción. Al igual que con la Política de Nuevo Usuario, no se puede establecer en Permitir acceso sin 2FA o Denegar acceso.
-
Configure los Ajustes e ingrese un nombre.
- Seleccione Guardar.
-
Desde la sección de Detalles, copie la clave de Integración, la clave secreta y el nombre de host de la API en sus campos correspondientes en el Specops Client.
Nota
el campo Nombre del Atributo puede dejarse en blanco para usar el atributo predeterminado de Active Directory (sAMAccountName), a menos que necesite usar un atributo AD diferente.
-
Seleccione Probar conexión. Si la conexión fue exitosa, aparecerá un mensaje que dice Prueba de conexión correcta.
- Seleccione Guardar.
Para agregar Duo Security a su política:
- Seleccione el producto Specops Authentication, por ejemplo uReset 8, en la navegación de la barra lateral izquierda, luego seleccione Configurar en la sección Políticas.
- Arrastre Duo Security desde la sección Servicios de identificación no seleccionados a la sección Servicios de identificación seleccionados, y configure los ajustes de Peso, Requerido y Protegido.
- Seleccione Guardar.
Configurando Duo Security con Auth API
Requisitos previos: Se requieren los Roles Administrativos de Propietario, Administrador o Administrador de Aplicaciones en Duo Security.
- Inicie sesión en la Web de Specops Authentication: https://login.specopssoft.com/authentication/admin
- Seleccione Servicios de identificación en la navegación de la barra lateral izquierda, luego seleccione Duo Security.
- Seleccione Habilitar, luego en la ventana emergente seleccione Habilitar nuevamente. Esto hará que el servicio esté disponible para su uso en los servicios de Specops.
- Inicie sesión en la página de administración de Duo Security
- Seleccione Aplicaciones en la navegación de la barra lateral izquierda, luego seleccione Proteger una Aplicación.
- La siguiente página muestra una lista de los diferentes tipos de servicios que se pueden integrar con Duo Security. En la lista, encuentre Partner Auth API y seleccione Proteger esta aplicación.
-
Establezca una política para la aplicación haciendo clic en Aplicar una política a todos los usuarios y seleccionando la política en el menú desplegable, o cree una nueva política haciendo clic en el enlace O, crear una nueva política en esa misma ventana, luego haciendo clic en Política de Nuevo Usuario.
Nota
la configuración de Política de Nuevo Usuario debe establecerse en Requerir inscripción. Permitir acceso sin 2FA permitirá a los usuarios omitir Duo Security sin autenticarse. Denegar acceso bloqueará a los usuarios para que no se autentiquen con Duo Security.
-
Configure los Ajustes e ingrese un nombre.
- Haga clic en Guardar.
-
Desde la sección de Detalles, copie la clave de Integración (ID de Cliente), la clave secreta y el nombre de host de la API en sus campos correspondientes en el Specops Client.
Nota
el campo Nombre del Atributo puede dejarse en blanco para usar el atributo predeterminado de Active Directory (sAMAccountName), a menos que necesite usar un atributo AD diferente.
-
Seleccione su configuración deseada para Inscribir automáticamente a los usuarios en Specops Authentication. Configurarlo en sí inscribirá automáticamente a todos los usuarios.
Nota
Para usar Duo Security con Verificación Rápida, esta configuración debe establecerse en Sí
-
Seleccione Probar conexión. Si la conexión fue exitosa, aparecerá un mensaje que dice Prueba de conexión correcta.
- Haga clic en Guardar.
Configurando Duo Security con OpenID Connect (OIDC)
Puede configurar Duo Security para usar el protocolo OpenID Connect para ofrecer autenticación de dos factores a los usuarios. Esto significa que en lugar de usar la página de inicio de sesión de Specops, los usuarios serán redirigidos a una URL de Duo Security donde podrán autenticarse a través del Universal Prompt de Duo Security. El Universal Prompt presentará al usuario un código numérico, que el usuario deberá ingresar en la notificación push en el dispositivo donde tienen instalada la aplicación Duo Security. Este método de autenticación se puede usar para contrarrestar los llamados ataques de fatiga donde se presentan a los usuarios múltiples notificaciones push simples, introduciendo el paso adicional de confirmar el código en pantalla.
Nota
Auth API necesita ser configurado antes de configurar OIDC.
Para configurar OIDC:
- Inicie sesión en la Web de Specops Authentication: https://login.specopssoft.com/authentication/admin
- Seleccione Servicios de identificación en la navegación de la barra lateral izquierda, luego seleccione Duo Security.
- El servicio ya debería haber sido habilitado cuando se configuró Auth API.
- Seleccione la casilla de verificación Usar el aviso de Duo para usuarios finales.
- Inicie sesión en el Panel de Administración de Duo Security.
- Seleccione Aplicaciones en la navegación de la barra lateral izquierda, luego seleccione Proteger una Aplicación.
- La siguiente página muestra una lista de los diferentes tipos de servicios que se pueden integrar con Duo Security. En la lista, encuentre Web SDK y seleccione Proteger esta aplicación.
-
Establezca la misma política que la establecida para Auth API para la aplicación haciendo clic en Aplicar una política a todos los usuarios y seleccionando la política en el menú desplegable.
Nota
Necesita seleccionar la misma política que la establecida para Auth API para evitar configuraciones donde se impediría a los usuarios usar Duo Security para autenticarse.
-
Configure los Ajustes e ingrese un nombre.
- Seleccione Guardar.
- Desde la sección de Detalles, copie el Id de Cliente y el secreto del Cliente en sus campos correspondientes en el Specops Client.
-
Seleccione Probar conexión. Si la conexión fue exitosa, aparecerá un mensaje que dice Prueba de conexión correcta.
Nota
La prueba verificará tanto la conexión Auth API como la conexión OIDC, por lo que ambas deberán estar configuradas correctamente. Cualquier mensaje de error indicará qué parte de la configuración fue incorrecta.
-
Haga clic en Guardar.
Para agregar Duo Security a su política:
- Seleccione el producto Specops Authentication, por ejemplo uReset 8, en la navegación de la barra lateral izquierda, luego seleccione Configurar en la sección Políticas.
- Arrastre Duo Security desde la sección Servicios de identificación no seleccionados a la sección Servicios de identificación seleccionados, y configure los ajustes de Peso, Requerido y Protegido.
- Seleccione Guardar.
Usando Duo Security con Verificación Rápida
La Verificación Rápida solo se puede usar con Auth API. Tenga en cuenta que cuando la configuración Inscribir automáticamente a los usuarios en Specops Authentication está establecida en No, no puede usar Verificación Rápida (o Verificación Avanzada) para usuarios que no se han inscrito con Duo Security.
Nota
los clientes que usan Web SDK para configurar Duo Security no pueden usar Duo Security para Verificación Rápida. Solo estará disponible como una Verificación Avanzada.
Autenticación de Duo Security para Inicio de Sesión en Windows
El Specops Client proporciona mejoras a la experiencia de inicio de sesión de Windows al envolver el proveedor de credenciales integrado de Windows. Esto incluye permitir a los usuarios restablecer sus contraseñas desde la pantalla de inicio de sesión, así como mejorar la retroalimentación que reciben los usuarios al cambiar su contraseña mediante CTRL+ALT+DEL. El Specops Client también admite envolver proveedores de credenciales de terceros, siempre que ese proveedor de credenciales admita ser envuelto. Algunos proveedores de credenciales, como Duo Security Authentication for Windows Logon, requieren configuración adicional para permitir que el Specops Client los envuelva. Para obtener más información, consulte Envolver el proveedor de credenciales de Duo Security.