Listas de permitidos de URL
Specops Authentication es la plataforma híbrida en la nube que sirve como base para uReset, Secure Service Desk, Secure Access y Key Recovery. Esta sección describe los requisitos de red y las URLs que deben ser accesibles a través del firewall para habilitar la conexión a Specops Authentication.
Nota
Se recomienda encarecidamente utilizar listas de permitidos basadas en URL o nombres de host, ya que las direcciones IP pueden cambiar con el tiempo.
Comunicación interna
La computadora que ejecuta la herramienta de administración de Gatekeeper debe poder alcanzar el servidor de Gatekeeper.
| Origen | Destino | Protocolo | Puerto |
|---|---|---|---|
| Herramienta(s) de administración de Gatekeeper | Servidor(es) de Gatekeeper | TCP | 6003 |
Centro de Datos de América del Norte
URLs del servidor de Gatekeeper
El servidor de Gatekeeper necesita acceso a las siguientes URLs:
| URL | Protocolo | Puerto |
|---|---|---|
| https://login.specopssoft.com | TCP | 443 |
| https://gk.specopssoft.com | TCP | 443 |
| https://download.specopssoft.com | TCP | 443 |
URLs de usuario final
Las estaciones de trabajo de los clientes finales necesitan acceso a las siguientes URLs:
| URL | Producto | Protocolo | Puerto |
|---|---|---|---|
| https://login.specopssoft.com | Todos los productos de Specops Authentication | TCP | 443 |
| https://servicedesk.specopssoft.com | Secure Service Desk | TCP | 443 |
| https://keyrecovery.specopssoft.com | Key Recovery | TCP | 443 |
| https://mfa.specopssoft.com | Secure Access / MFA para Windows | TCP | 443 |
| https://authapi.specopssoft.com | Secure Access / MFA para Windows | TCP | 443 |
| https://onboarding.specopssoft.com | First Day Password | TCP | 443 |
| https://trust.specopsauthentication.com | Todos los productos de Specops Authentication | TCP | 443 |
| https://*.trust.specopsauthentication.com | Todos los productos de Specops Authentication | TCP | 443 |
Si los usuarios finales/estaciones de trabajo están detrás de un proxy que requiere autenticación, puede ser necesario omitir la autenticación para estas URLs para que los usuarios finales que no puedan autenticarse debido a un problema de contraseña aún puedan acceder a la página web de Restablecimiento de Contraseña.
Acceso desde teléfono móvil
Si se utiliza la aplicación móvil Specops:ID a través de wifi, necesita acceso a las siguientes URLs:
| URL | Protocolo | Puerto |
|---|---|---|
| https://specopsid.specopssoft.com | TCP | 443 |
| https://authapi.specopssoft.com | TCP | 443 |
Para que las notificaciones push en teléfonos móviles funcionen, la aplicación móvil Specops:ID debe poder acceder a su servicio de notificaciones push:
- En Android, el servicio Firebase Cloud Messaging (FCM) de Google debe ser accesible. Nota: los servidores proxy no son compatibles; el teléfono debe poder conectarse directamente a FCM. Consulte https://firebase.google.com/docs/cloud-messaging/network-configuration#network-for-android-devices.
- En iOS, el servicio Apple Push Notification Service (APNs) debe ser accesible. Consulte https://support.apple.com/en-us/102266.
Si utiliza Specops Verified ID desde la aplicación móvil Specops:ID, necesita acceso a las siguientes URL:
| URL | Protocol | Port |
|---|---|---|
| https://faceapi.specopssoft.com | TCP | 443 |
| https://docsapi.specopssoft.com | TCP | 443 |
| https://lic.regulaforensics.com | TCP | 443 |
| https://lic2.regilaforensics.com | TCP | 443 |
Puntos finales de CRL de certificados para Gatekeeper
Los servidores de Gatekeeper necesitan acceso a las siguientes URLs para verificar actualizaciones y verificar certificados contra CRLs:
| URL | Protocolo | Puerto |
|---|---|---|
| https://*.c.lencr.org | TCP | 443 |
| http://*.c.lencr.org | TCP | 80 |
| https://crl.godaddy.com | TCP | 443 |
| http://crl.godaddy.com | TCP | 80 |
Puntos finales de CRL de certificados para estaciones de trabajo de usuario final
Las estaciones de trabajo de los clientes necesitan acceso a las siguientes URLs para verificar actualizaciones y verificar certificados contra CRLs:
| URL | Protocolo | Puerto |
|---|---|---|
| https://*.c.lencr.org | TCP | 443 |
| http://*.c.lencr.org | TCP | 80 |
Direcciones IP estáticas
Si tiene que usar reglas de direcciones IP, debe permitir que tanto los Gatekeepers como los usuarios finales accedan a los siguientes espacios de direcciones IP. No se admite un filtrado más granular, ya que las direcciones IP exactas dentro de estos rangos están sujetas a cambios en cualquier momento.
Estas direcciones IP no cubren la URL <download.specopssoft.com (Geo Load Balanced) ni los CRLs de certificados.
- 52.180.65.88/29 (Azure US West)
- 40.71.57.208/29 (Azure US East)
Centro de Datos de la UE
URLs del servidor de Gatekeeper
El servidor de Gatekeeper necesita acceso a las siguientes URLs:
| URL | Protocolo | Puerto |
|---|---|---|
| https://eu.login.specopssoft.com | TCP | 443 |
| https://eu.gk.specopssoft.com | TCP | 443 |
| https://download.specopssoft.com | TCP | 443 |
URLs de usuario final
Las estaciones de trabajo de los clientes finales necesitan acceso a las siguientes URLs:
| URL | Producto | Protocolo | Puerto |
|---|---|---|---|
| https://eu.login.specopssoft.com | Todos los productos de Specops Authentication | TCP | 443 |
| https://eu.servicedesk.specopssoft.com | Secure Service Desk | TCP | 443 |
| https://eu.keyrecovery.specopssoft.com | Key Recovery | TCP | 443 |
| https://eu.mfa.specopssoft.com | Secure Access / MFA para Windows | TCP | 443 |
| https://eu.authapi.specopssoft.com | Secure Access / MFA para Windows | TCP | 443 |
| https://eu.onboarding.specopssoft.com | First Day Password | TCP | 443 |
| https://eu.trust.specopsauthentication.com | Todos los productos de Specops Authentication | TCP | 443 |
| https://*.eu.trust.specopsauthentication.com | Todos los productos de Specops Authentication | TCP | 443 |
Si los usuarios finales/estaciones de trabajo están detrás de un proxy que requiere autenticación, puede ser necesario omitir la autenticación para estas URLs para que los usuarios finales que no puedan autenticarse debido a un problema de contraseña aún puedan acceder a la página web de Restablecimiento de Contraseña.
Acceso desde teléfono móvil
Si se utiliza la aplicación móvil Specops:ID a través de wifi, necesita acceso a las siguientes URLs:
| URL | Protocolo | Puerto |
|---|---|---|
| https://eu.specopsid.specopssoft.com | TCP | 443 |
| https://eu.authapi.specopssoft.com | TCP | 443 |
Para que las notificaciones push en teléfonos móviles funcionen, la aplicación móvil Specops:ID debe poder acceder a su servicio de notificaciones push:
- En Android, el servicio Firebase Cloud Messaging (FCM) de Google debe ser accesible. Nota: los servidores proxy no son compatibles; el teléfono debe poder conectarse directamente a FCM. Consulte https://firebase.google.com/docs/cloud-messaging/network-configuration#network-for-android-devices.
- En iOS, el servicio Apple Push Notification Service (APNs) debe ser accesible. Consulte https://support.apple.com/en-us/102266.
Si utiliza Specops Verified ID desde la aplicación móvil Specops:ID, necesita acceso a las siguientes URL:
| URL | Protocol | Port |
|---|---|---|
| https://eu.faceapi.specopssoft.com | TCP | 443 |
| https://eu.docsapi.specopssoft.com | TCP | 443 |
| https://lic.regulaforensics.com | TCP | 443 |
| https://lic2.regilaforensics.com | TCP | 443 |
Puntos finales de CRL de certificados para Gatekeeper
Los servidores de Gatekeeper necesitan acceso a las siguientes URLs para verificar actualizaciones y verificar certificados contra CRLs:
| URL | Protocolo | Puerto |
|---|---|---|
| https://*.c.lencr.org | TCP | 443 |
| http://*.c.lencr.org | TCP | 80 |
| https://crl.godaddy.com | TCP | 443 |
| http://crl.godaddy.com | TCP | 80 |
Puntos finales de CRL de certificados para estaciones de trabajo de usuario final
Las estaciones de trabajo de los clientes necesitan acceso a las siguientes URLs para verificar actualizaciones y verificar certificados contra CRLs:
| URL | Protocolo | Puerto |
|---|---|---|
| https://*.c.lencr.org | TCP | 443 |
| http://*.c.lencr.org | TCP | 80 |
Direcciones IP estáticas
Si tiene que usar reglas de direcciones IP, debe permitir que tanto los Gatekeepers como los usuarios finales accedan a los siguientes espacios de direcciones IP. No se admite un filtrado más granular, ya que las direcciones IP exactas dentro de estos rangos están sujetas a cambios en cualquier momento.
Estas direcciones IP no cubren la URL <download.specopssoft.com (Geo Load Balanced) ni los CRLs de certificados.
- 13.79.75.152/29 (Azure North Europe)
- 74.234.213.168/29 (Azure West Europe)
Requisitos de Proxy/Inspección SSL
Los Gatekeepers pueden usar un proxy web para acceder a las URLs. Si se requiere autenticación de proxy, asegúrese de que tanto el administrador que instala el Gatekeeper como la cuenta de servicio de Gatekeeper estén autorizados y no se requieran portales cautivos.
No se admiten certificados de inspección SSL/MITM. Si el certificado presentado para las URLs ha sido modificado de alguna manera, el servidor de Gatekeeper se negará a conectarse.
Confirme que su conexión esté configurada correctamente:
- Navegue a https://login.specopssoft.com desde un navegador web en su servidor de Gatekeeper.
- Los pasos difieren según el navegador web. En Microsoft Edge, haga clic en el candado en la barra de direcciones, luego haga clic en La conexión es segura.
- Haga clic en el icono del certificado para ver los detalles del certificado.
-
El emisor del certificado debe coincidir con esto:
Entornos de Múltiples Dominios
Si tiene una configuración de múltiples dominios que está detrás de un firewall, deberá asegurarse de que los puertos listados estén permitidos desde los Gatekeeper(s) a todos los DC en el dominio de confianza objetivo.
| Servicio | Protocolo | Puerto |
|---|---|---|
| LDAP | TCP | 389, 636 |
| SMB2 | TCP | 445 |
| Kerberos | TCP | 88, 464 |
| DNS | TCP/UDP | 53 |