Inscripción del administrador
Specops Authentication permite a los administradores inscribir usuarios en el sistema, sin requerir que los usuarios pasen por el proceso de inscripción. Esto se puede lograr con cualquier servicio de identidad que tenga información de identificador almacenada en Active Directory.
Antes de usar esta guía, necesitas:
- Conocimientos básicos de PowerShell
- PowerShell 4.0 o posterior
- El producto Specops Authentication configurado con una membresía activa en el grupo Gatekeeper Admin
- Membresía en el grupo Admin para el producto Specops Authentication
- El módulo de PowerShell para el producto Specops Authentication, instalado junto con las herramientas de administración
C:\Windows\System32\WindowsPowerShell\v1.0\Modules\Specops.Authentication.Gatekeeper.Admin
Servicios de identidad para inscripción
Los administradores pueden inscribirse con los siguientes servicios de identidad:
- Correo electrónico personal
- Código móvil
- Preguntas secretas
- Yubikey
- ID de Banco Móvil
Cmdlets
Los cmdlets pueden ser utilizados por los administradores al gestionar usuarios, o inscribirlos en lotes en Specops Authentication para Specops Authentication.
Para importar el módulo, ejecuta el siguiente comando en PowerShell en tu servidor Gatekeeper:
Add-SpecopsAuthenticationIdentityServiceEnrollment
Toma los parámetros Username, IdentityServiceId y EnrollmentProof. Puede ser utilizado para inscribirse con todos los servicios de identidad excepto: Preguntas secretas, Duo Security, Specops Fingerprint, Authenticators, Identificación del gerente, Symantec VIP, LinkedIn y Windows Identity. Usa el cmdlet Get-SpecopsAuthenticationIdentityServices para encontrar el IdentityServiceId de tu Servicio de Identidad.
Ejemplo de uso:
Add-SpecopsAuthenticationIdentityServiceEnrollment
-Username mySamAccountName
-IdentityServiceId Google
-EnrollmentProof MyGoogleAccount
Inscripción de administrador con Código Móvil (SMS)
La inscripción de administrador con Código Móvil (SMS) requiere actualizar el atributo móvil en el objeto de usuario y los datos de inscripción en el objeto hoja. Un administrador puede actualizar el atributo móvil en una cuenta de usuario desde la herramienta de administración de Active Directory, o con PowerShell. Si usas el atributo de teléfono móvil predeterminado, usa el siguiente comando:
Si almacenas el número móvil en un atributo personalizado, necesitas proporcionar ese atributo en su lugar. Si, por ejemplo, el número móvil está en el atributo otherMobile, puedes usar el siguiente comando:
Para Gatekeeper Admin Tool 8.23 y posteriores: después de actualizar el atributo móvil puedes usar PowerShell para agregar la prueba en el objeto hoja.
Add-SAMobileCodeEnrollment
-Username jane.doe
-MobileNumber +123
-GatekeeperServer dc02.subaru.local
Add-SpecopsAuthenticationQuestionsEnrollment
Toma los parámetros Username, Answers y Language. Language es un código de idioma opcional de 2 dígitos. Answers toma un arreglo de preguntas y respuestas.
Ejemplo de uso:
$questionsAndAnswers =
@{'Question'='¿Quién eres?'; 'Answer'='Nadie'},
@{'Question'='¿Por qué estás aquí?'; 'Answer'='No estoy'}
Add-SpecopsAuthenticationQuestionsEnrollment
–Username mySamAccountName
–Answers $questionsAndAnswers
Get-SpecopsAuthenticationEnrollment
Enumera los servicios de identidad con los que un usuario está inscrito.
Ejemplo de uso:
Get-SpecopsAuthenticationIdentityServices
Enumera todos los servicios de identidad disponibles en tu suscripción de Specops Authentication.
Ejemplo de uso:
Remove-SpecopsAuthenticationEnrollment
Elimina todos los servicios de identidad inscritos de un usuario, excepto los inscritos automáticamente, como Windows Identity, Duo Security, Identificación del gerente o Symantec VIP.
Ejemplo de uso:
Remove-SpecopsAuthenticationIdentityServiceEnrollment
Elimina una inscripción de servicio de identidad de un usuario.
Ejemplo de uso: