Specops Verified ID

Specops Verified ID permite a las organizaciones verificar de manera segura las identidades de los usuarios utilizando identificación emitida por el gobierno. Durante la verificación, el usuario escanea un documento de identidad (ID) como un pasaporte, tarjeta de identificación nacional o licencia de conducir y completa una verificación de selfie en vivo. El sistema compara la foto en el documento de identidad con la captura en vivo para confirmar que el usuario está físicamente presente y coincide con el titular del documento. Los atributos verificados del documento de identidad, incluidos el nombre y la fecha de nacimiento, se validan luego contra el registro de usuario aprovisionado en Active Directory.

Specops Verified ID admite una amplia gama de documentos de identidad emitidos por el gobierno utilizados en todo el mundo.

Un caso de uso clave para Specops Verified ID es la verificación del Secure Service Desk. Los usuarios que llaman al service desk en organizaciones que utilizan Specops Secure Service Desk pueden verificar su identidad utilizando identificación emitida por el gobierno, lo que permite a los agentes del service desk confirmar de manera segura la identidad del llamante antes de realizar acciones relacionadas con la cuenta.

Specops Verified ID también se puede utilizar para integrar de manera segura a nuevos empleados verificando su identidad al configurar su First Day Password.

Specops Verified ID es accesible para los usuarios finales a través de la aplicación móvil Specops:ID, disponible para iOS y Android, o a través de un navegador web estándar. Con la aplicación móvil Specops:ID, los usuarios pueden inscribirse con identificación emitida por el gobierno a través de Specops Verified ID u otros factores de autenticación. La inscripción utiliza la biometría del dispositivo móvil (huella digital o reconocimiento facial) o un PIN del dispositivo para ayudar a asegurar el método de autenticación inscrito.

Con el flujo del navegador web, los usuarios pueden completar la verificación de identidad y autenticación sin usar la aplicación móvil Specops:ID. Si el flujo del navegador web se inicia en un dispositivo de escritorio, el usuario debe cambiar a un dispositivo móvil para escanear el documento de ID y completar la verificación de vivacidad facial, ya que la calidad de la cámara web de escritorio generalmente es insuficiente para una verificación confiable.

Configurando Specops Verified ID

Para configurar Specops Verified ID por primera vez:

Inicie sesión en Specops Authentication Web: https://login.specopssoft.com/authentication/admin
En la barra lateral izquierda, seleccione Servicios de identificación, luego seleccione Specops Verified ID.
Bajo Método de verificación, seleccione cómo los usuarios deben verificar su identidad utilizando Specops Verified ID.
- Specops:ID app: Los usuarios verifican su identidad con la aplicación móvil Specops:ID.
- Navegador web: Los usuarios verifican su identidad desde un navegador web.
- Ambos: Los usuarios podrán elegir entre los dos métodos.
Vaya a Document settings.
1. Bajo Coincidencia de Nombre, elija un Nivel de similitud de nombre para controlar cuánta variación se permite entre el nombre del usuario en Active Directory o Entra ID y el nombre en el documento de ID. Esto es útil si el escaneo omite una letra o si el nombre de la cuenta contiene un error ortográfico.
  - Coincidencia exacta: Los nombres deben ser idénticos.
  - Coincidencia estricta: Solo diferencias muy pequeñas. Esta es la configuración recomendada.
  - Coincidencia difusa: Tolerancia moderada para variaciones ortográficas comunes y pequeños errores tipográficos.
  - Coincidencia laxa: Mayor tolerancia; permite más variación pero aumenta la posibilidad de coincidir con nombres similares que no pertenecen a la misma persona.
    
    Nota
    
    El nombre del usuario en Active Directory o Entra ID puede diferir del nombre legal en el documento de ID. Esta discrepancia puede causar que el paso de captura del documento de ID falle. Consulte Matching rule considerations para saber cómo resolver esto.
2. Bajo Coincidencia de Fecha de Nacimiento, habilite Coincidir usuario en fecha de nacimiento para comparar la fecha de nacimiento del usuario con la fecha de nacimiento en el documento de ID. Si está habilitado, seleccione al menos una regla de fecha de nacimiento: Año o Mes y Día.
  
  Nota
  
  Antes de usar Coincidencia de Fecha de Nacimiento, los usuarios deben estar preinscritos con una fecha de nacimiento. Consulte Matching rule considerations para obtener más información.
Vaya a Configuración de Rostro.
1. Bajo Verificación de Liveness, elija una de las siguientes opciones para verificar que el usuario esté físicamente presente frente a la cámara:
  - Verificación Activa: Más estricto y ayuda a reducir el riesgo de suplantación.
  - Verificación Pasiva: Más fácil para los usuarios pero puede ser menos estricto.
    
    Nota
    
    Se recomienda comenzar con la verificación activa a menos que su organización tenga una razón sólida para no hacerlo.
2. Bajo Coincidencia de Rostro, ajuste el valor de Porcentaje de similitud para el umbral de similitud facial. El umbral se utiliza al comparar la captura en vivo de un usuario con la foto de su documento de ID.
  - Umbral más alto: Mayor seguridad, potencialmente más rechazos falsos.
  - Umbral más bajo: Experiencia de usuario más fluida, potencialmente coincidencias más débiles.
    
    Nota
    
    Se recomienda usar el valor predeterminado inicialmente, luego ajustarlo según los resultados reales de soporte.
Guarde la configuración y confirme que el guardado fue exitoso.
Realice una prueba real de extremo a extremo con un usuario de prueba, consulte Authenticating with Specops Verified ID.

Consideraciones sobre las reglas de coincidencia

Coincidencia de nombres

El nombre del usuario en Active Directory o Entra ID puede diferir del nombre legal utilizado para la verificación de identidad. Por ejemplo, "John Doe" puede aparecer en el directorio, mientras que "Jonathan Doe" es el nombre legal del usuario en su documento de ID. Esta discrepancia puede causar que el paso de captura del documento de ID falle. Para resolver esto:

Para usuarios de Active Directory, use uno de los siguientes métodos:
- Use el cmdlet de PowerShell para inscribir el nombre legal para la comparación durante la autenticación:
```
Add-SAVerifiedIdEnrollment `
  -Username <USERNAME> `
  -LegalName <LEGALNAME>
```
- Use el cmdlet de PowerShell para eliminar el nombre legal:
```
Remove-SAVerifiedIdEnrollment `
  -Username <USERNAME> `
  -ClearLegalName
```
- Alternativamente, inscriba desde Secure Service Desk. Para más información, consulte Managing Specops Verified ID Enrollments.
Para usuarios de Entra ID, inscriba desde Secure Service Desk. Para más información, consulte Managing Specops Verified ID Enrollments.

Coincidencia de fecha de nacimiento

Mientras que Coincidencia de Nombre siempre se utiliza como una regla de coincidencia, Coincidencia de Fecha de Nacimiento requiere que los usuarios estén preinscritos con una fecha de nacimiento.

Use el siguiente cmdlet de PowerShell para preinscribir una fecha de nacimiento:

Add-SAVerifiedIdEnrollment `
  -BirthYear <BIRTHYEAR> `
  -BirthMonth <BIRTHMONTH> `
  -BirthDay <BIRTHDAY>

Use el siguiente cmdlet de PowerShell para eliminar la fecha de nacimiento:

Remove-SAVerifiedIdEnrollment `
  -ClearBirthYear
  -ClearBirthMonthAndDay

Nota

El valor de la fecha de nacimiento se almacena en Active Directory como un hash cifrado, no la fecha real.

Autenticación con Specops Verified ID

Si está utilizando la aplicación móvil Specops:ID para autenticarse, asegúrese de que esté instalada en su dispositivo móvil.

Después de ingresar su nombre de usuario y contraseña, elija Specops Verified ID como el servicio de identidad.
Se muestra un código QR en Specops Authentication Web, dependiendo del método de verificación:
- Si se autentica a través de la aplicación móvil Specops:ID, escanee el código QR usando Specops:ID y toque Continuar.
- Si se autentica a través de un navegador web en su computadora, escanee el código QR con su dispositivo móvil y abra el enlace en su navegador web móvil.
- Si se autentica a través de un navegador web en su dispositivo móvil, use Tap to start verification.
Siga las instrucciones para escanear su documento de ID con la cámara.
Para verificar la vivacidad, siga las instrucciones y tómese una selfie con la cámara.
Después de una autenticación exitosa, se inicia sesión en su cuenta de Windows.

Solución de problemas

Desde una perspectiva de soporte, el proceso de autenticación tiene cinco etapas:

Inicio de sesión
- Se crea una sesión de verificación para el usuario.
Captura del documento de ID
- El usuario escanea un documento de ID.
Captura facial
- El usuario realiza una verificación facial en vivo.
Comparación y validación
- Los resultados del documento de ID y la cara se evalúan según las reglas configuradas.
Resultado
- El flujo de autenticación termina en éxito, reintento o falla.

Este modelo ayuda a los equipos de soporte a identificar rápidamente dónde están atascados los usuarios.

Consulte las siguientes secciones para problemas comunes de los usuarios y qué verificar.

Los usuarios no pueden iniciar la verificación

Verifique:

Specops Verified ID está habilitado para el cliente
El usuario está dentro del alcance de la política
Las URL requeridas deben ser accesibles a través del firewall para habilitar la conexión a Specops Authentication (consulte URL Allowlists).

Muchos usuarios fallan en el paso de captura del documento de ID

Verifique:

Las reglas de coincidencia de documentos no son demasiado estrictas para su población de usuarios
Los usuarios están escaneando tipos de documentos de ID compatibles

Muchos usuarios fallan en el paso de captura facial

Verifique:

Calidad de la cámara y condiciones de iluminación
Modo de verificación de vivacidad (activo vs pasivo)
El umbral de coincidencia facial no está configurado de manera demasiado agresiva

Los usuarios informan tiempos de espera aleatorios

Verifique:

Expectativas de duración de la sesión en la guía del usuario
Estabilidad de la red entre los dispositivos del usuario y los puntos de servicio
Si los usuarios hacen pausas demasiado largas entre pasos

El guardado funciona pero la verificación aún falla

Verifique:

Se utilizó una sesión de prueba nueva después de los cambios de configuración
Las asignaciones de políticas incluyen a los usuarios objetivo

Recomendación para el lanzamiento

Antes de un despliegue amplio:

Realice un piloto con un pequeño grupo de usuarios
Mida las razones de fallas durante una o dos semanas
Ajuste gradualmente el umbral y la rigurosidad de la coincidencia
Publique una guía para el usuario final con capturas de pantalla y consejos de reintento

Información de transferencia para escalación

Al escalar a equipos técnicos, incluya:

Hora de la falla
Cantidad de usuarios afectados
Etapa donde ocurren las fallas (inicio, documento de ID, cara, finalización)
Redacción del error mostrado a los usuarios
Si el problema afecta a todo el cliente o está limitado a un subconjunto

Esto acorta significativamente el tiempo de resolución.