Microsoft Entra ID

Hay dos formas de gestionar usuarios en Specops Authentication, el entorno de su organización determina cuál se ajusta:

Specops Authentication Gatekeeper (componente local): para entornos de Active Directory.
Microsoft Entra ID (basado en la nube): para entornos que no son de Active Directory.

Esta sección explica cómo integrar Specops Authentication con Microsoft Entra ID.

Nota

Entra ID también funciona como un servicio de identidad, permitiendo que el producto se integre con las Bibliotecas de Autenticación de Microsoft. A través de este servicio, Microsoft Authenticator se puede usar para la autenticación sin contraseña. Para más detalles, consulte Servicio de identidad de Entra ID.

Integrando Specops Authentication con Entra ID

Al integrar Specops Authentication con Entra ID, puede autenticar y gestionar usuarios de manera segura en entornos en la nube donde no hay un Active Directory (AD) tradicional disponible.

Con esta integración, los usuarios de Entra ID pueden:

Registrarse en uReset y restablecer sus contraseñas de manera segura.
Registrarse en Secure Service Desk y hacer que sus contraseñas sean restablecidas de manera segura por agentes del service desk.

Para habilitar la integración de Specops Authentication con Entra ID necesita configurar la conexión. Puede conectar usando las aplicaciones proporcionadas por Specops (ver Predeterminado) o configurar las suyas propias (ver Personalizado). También hay una opción de Solo autenticación, donde Entra ID se usa solo para autenticar usuarios sincronizados, sin habilitar la funcionalidad completa de uReset. Esta opción se describe en Entra ID.

Nota

Necesita verificar su dominio de Entra ID en Specops Authentication para poder completar la configuración, por favor consulte Verificación de dominio.

Consulte Roles y Ámbitos para obtener detalles sobre cómo configurar el acceso para grupos de usuarios de Entra ID.

Predeterminado

La forma recomendada de configurar la conexión de Entra ID es usar la aplicación predeterminada para conectarse a su Cliente. Esta alternativa solo está disponible si "Usuarios de Entra ID" está habilitado.

Navegue a Microsoft Entra ID en Specops Authentication y haga clic en Conexión.
En la lista desplegable Detalles de conexión de Microsoft Entra ID, seleccione Predeterminado.
Ingrese su ID de Cliente en el campo, puede encontrar esto dentro de su portal de Entra ID.
(Opcional) Si tiene usuarios sincronizados, ingrese el atributo AD personalizado en el campo Atributo de usuario.
Haga clic en Conceder consentimiento. Esto lo redirigirá a la solicitud de inicio de sesión de Microsoft.
Se muestra un cuadro de diálogo de consentimiento de Microsoft. Inicie sesión con su cuenta de administrador del cliente de Entra ID para aceptar los permisos solicitados. Estos permisos permitirán que la aplicación:
- acceda al directorio como el usuario que ha iniciado sesión
- inicie sesión y lea el perfil del usuario
- lea los datos del directorio
- lea y escriba los perfiles completos de todos los usuarios
Nota

Al aceptar los permisos, le da a la aplicación acceso a los recursos especificados para todos los usuarios de su organización.

Para aceptar los permisos, haga clic en Aceptar. Si hace clic en Cancelar será redirigido al Portal de Administración de Specops Authentication.
Haga clic en Probar conexión para asegurarse de que Specops Authentication pueda acceder al cliente de Entra ID. (si la prueba de conexión falla, espere un momento y vuelva a intentarlo.)
Haga clic en Guardar configuración.

La aplicación será firmada por Microsoft bajo la empresa matriz Outpost24.

A continuación, necesita configurar Permisos de aplicación.

Personalizado

Use esta opción para un control más detallado sobre la integración. Para configurar una integración personalizada, se debe registrar una nueva aplicación en el cliente de la organización.

Crear un registro de aplicación en el Portal de Azure (Portal de Azure)

Vaya a Microsoft Entra ID > Registros de aplicaciones > Nuevo registro.
Proporcione un nombre, por ejemplo [Specops App].
En la sección Tipos de cuenta admitidos, seleccione una opción (el valor predeterminado es Cuenta en este directorio organizacional solamente (Solo Directorio Predeterminado - Cliente único)).
En la sección URI de redirección, seleccione Web de la lista desplegable y copie la URL de redirección de la página de configuración. Debería verse así https://login.specopssoft.com/Authentication/MicrosoftEntraId/Authentication/Callback>.
Haga clic en Registrar.

Configurar el registro de la aplicación

Vaya a Microsoft Entra ID > Registros de aplicaciones > Pestaña Todas las aplicaciones > [Specops App] > Autenticación.
En la sección Concesión implícita y flujos híbridos:
- habilite Tokens de acceso (usados para flujos implícitos).
- habilite Tokens de ID (usados para flujos implícitos e híbridos)
Vaya a Microsoft Entra ID > Registros de aplicaciones > Todas las aplicaciones > [Specops App] > Certificados y secretos > Pestaña Secretos de cliente.
Haga clic en Nuevo secreto de cliente.
Proporcione una descripción, por ejemplo Specops App Client Secret.
En la lista desplegable Expira, seleccione el tiempo que el secreto de cliente expirará, por ejemplo 730 días (24 meses).
Haga clic en Agregar.
Copie el valor del secreto de cliente.

Configurar permisos de API

Vaya a Microsoft Entra ID > Registros de aplicaciones > Todas las aplicaciones > [Specops App] > Permisos de API.
Agregue los siguientes permisos delegados para Microsoft Graph:
```
Directory.AccessAsUser.All
User.Read
```
Agregue los siguientes permisos de aplicación para Microsoft Graph:
```
Directory.Read.All
User.ReadWrite.All
Application.ReadWrite.All**
```
** El permiso Application.ReadWrite.All se usa para crear una propiedad de extensión que Specops Authentication usará y se puede eliminar después de que se haya completado la configuración inicial, consulte Configurar conexión en Specops Authentication.
Después de agregar los permisos, haga clic en Conceder consentimiento de administrador para [Nombre de la Compañía].

Configurar en Specops Authentication Web

Navegue a Microsoft Entra ID en Specops Authentication y haga clic en Conexión.
En la lista desplegable Detalles de conexión de Microsoft Entra ID, seleccione Personalizado.
Ingrese los valores requeridos para:
- ID de Cliente
- ID de Cliente de Aplicación
- Secreto de Cliente de Aplicación
Haga clic en Probar conexión para verificar que todo esté configurado correctamente.
Haga clic en Guardar.

El permiso Application.ReadWrite.All ahora puede ser eliminado.

Roles

Aquí puede configurar qué grupos de EntraID coinciden con los roles correspondientes de Specops Authentication. Busque un grupo en cada pestaña y seleccione al menos un grupo para cada categoría.

Admin - Tiene acceso completo a las páginas de administración
User Admin - Tiene acceso completo a Secure Service Desk**
User Verifier - Puede verificar usuarios en Secure Service Desk**
Reporting Reader - Puede acceder a la función de informes de las páginas de administración

** Solo disponible para clientes con una suscripción activa a Secure Service Desk.

Ámbitos

Aquí puede configurar qué grupo de usuarios podrá usar Specops Authentication.

Seleccione el ámbito en Entra ID, el valor predeterminado/en blanco establecerá el ámbito para todos los usuarios en el cliente.
(Opcional) Si tiene administradores fuera del ámbito seleccionado, también habilite la opción Permitir que administradores y gerentes estén fuera de los ámbitos seleccionados.

Configurar permisos de aplicación

Para habilitar las capacidades de Restablecer/Cambiar contraseña, necesita asignar la aplicación como Administrador de Helpdesk o Usuario.

Administrador de Helpdesk - Puede restablecer contraseñas para no administradores.
Administrador de Usuario - Puede restablecer contraseñas para todos los usuarios, incluidos administradores limitados.

Vaya a Roles y Administradores en el Portal de Microsoft Entra.

Seleccione uno de los roles anteriores.
Haga clic en Agregar asignación.
Busque el nombre de la aplicación [Specops App] o su aplicación personalizada. Nota que la ventana de búsqueda solo mostrará usuarios hasta que el término de búsqueda comience a coincidir con un nombre de aplicación.
Agregue el rol apropiado a la aplicación.