Specops uReset
El contenido aquí está destinado a clientes de uReset que utilizan el Authentication Gatekeeper (versión 8.0 o posterior).
Specops uReset aprovecha el modelo de identidad basado en claims para proporcionar autenticación multifactor flexible para fortalecer la seguridad del restablecimiento de contraseñas, minimizando al mismo tiempo el impacto en los usuarios finales. La solución extiende la funcionalidad de uReset con idiomas adicionales, redundancia de Gatekeeper, así como la capacidad de extender inscripciones al inicio de sesión de Office 365, si la función de O365 está habilitada.
Conceptos Centrales
Restablecimiento de Contraseña
El proceso de cambiar una contraseña olvidada. Un restablecimiento de contraseña puede ser realizado por un usuario que haya verificado su identidad utilizando autenticación multifactor. El usuario puede restablecer sus contraseñas utilizando la web de uReset, a la que se puede acceder desde cualquier navegador web (no antiguo), incluidos los navegadores de teléfonos móviles.
Autenticación
La autenticación es el proceso de verificar la identidad de un usuario. Normalmente, esto requiere que el usuario haga una afirmación sobre su identidad ingresando su nombre de usuario y contraseña.
Inscripción
Se requiere que los usuarios se inscriban con Specops Authentication. El proceso de inscripción variará para cada tipo de servicio de identidad. Para inscribirse con un servicio de identidad personal como Google, los usuarios deberán seguir el enlace desde la aplicación web de Specops a la página web de Google e iniciar sesión con la dirección de correo electrónico y la contraseña asociadas con su cuenta de Google. Cuando un usuario afectado por una política de uReset que utiliza Google se inscribe en el servicio, se almacena un identificador único en el objeto de usuario en Active Directory.
Autenticación multifactor
La autenticación multifactor requiere más de un método de autenticación de categorías independientes de credenciales: algo que sabes (es decir, contraseña), algo que tienes (es decir, dispositivo móvil) y algo que eres (es decir, huella digital). Specops uReset va más allá de la autenticación de dos factores al admitir una amplia gama de servicios de identidad que se pueden utilizar para aumentar la seguridad y la flexibilidad. La solución no solo admite autenticadores comunes, como preguntas y respuestas, y códigos de verificación móvil, sino también varios servicios de identidad digital que van desde servicios de identidad personal (por ejemplo, LinkedIn) hasta servicios de identidad de la empresa (por ejemplo, salesforce.com), además de métodos de mayor confianza como las tarjetas inteligentes. El modelo de autenticación multifactor de Specops es dinámico. Los usuarios pueden elegir qué servicios de identidad desean combinar para la inscripción y autenticación, siempre que cumplan con los requisitos de la política. Los usuarios inscritos con más servicios de identidad de los requeridos para su autenticación tendrán elección de autenticación. Esto garantiza que los usuarios finales siempre tendrán la capacidad de satisfacer la política de autenticación, incluso si un servicio de identidad no está disponible (por ejemplo, no tener su teléfono móvil cerca).
Los administradores pueden seleccionar, según el rol y la política de seguridad, qué servicios de identidad/autenticadores desean extender a los usuarios finales para verificar su identidad al restablecer o desbloquear sus cuentas. Tal flexibilidad puede asegurar que se satisfagan las necesidades de seguridad y flexibilidad variables. Por ejemplo:
- Para los usuarios que tienen una autorización de seguridad de bajo nivel, pero una alta necesidad de flexibilidad, como los estudiantes, los administradores de TI pueden permitirles autenticarse con algunos servicios de identidad personal, como su ID de Google.
- Para los usuarios que tienen una autorización de seguridad de nivel superior, como los administradores de ayuda financiera o ejecutivos de alto nivel, los administradores de TI pueden asignar políticas que impongan un mayor número o una combinación más fuerte de servicios de identidad. Este enfoque proporciona a los administradores la flexibilidad que necesitan para imponer políticas que se traduzcan en una mayor seguridad y eficiencia.
Política
Una política contiene las reglas requeridas para la inscripción y la autenticación multifactor. Una política controla qué servicios de identidad se pueden usar y cuántos deben usarse para verificar la identidad de los usuarios finales. El administrador del sistema es responsable de configurar las reglas en las políticas.
Servicios de identidad
Los servicios de identidad son métodos de autenticación que permiten a los usuarios verificar su identidad en Specops Cloud.
Para más información, consulte Specops Authentication Servicios de identidad.
Arquitectura y Diseño
Specops uReset está integrado de forma nativa con Active Directory. La configuración del sistema se realiza utilizando Group Policy, sin introducir complejidad adicional en su entorno. Esto significa que no se requiere una base de datos externa para almacenar información relacionada con contraseñas. Los datos de los usuarios se almacenan directamente en los objetos de usuario de Group Policy, minimizando el riesgo de seguridad mientras se asegura el aprovisionamiento de contraseñas en tiempo real inherente.
Specops uReset consta de los siguientes componentes y no requiere recursos adicionales en su entorno. El backend de autenticación, la web y los servicios de identidad están alojados en la nube. Solo necesitará instalar el componente Gatekeeper.
Authentication Cloud: El componente global en la nube de uReset, el Authentication Cloud contiene la web (front-end para los usuarios finales) y los servicios de backend.
Authentication Web: Contiene el front-end para los usuarios finales y administradores. La Authentication Web se puede utilizar para ver información del sistema y gestionar varios aspectos del producto, incluidas configuraciones del sistema y políticas de autenticación multifactor para varios recursos, incluido uReset.
Authentication Backend: Para leer información de usuario de Active Directory, el backend se comunica con el Gatekeeper. La web y los servicios de identidad también se comunican con el backend. El backend de autenticación valida la identidad de un usuario basado en los tokens de servicios de identidad individuales.
Gatekeeper: El Gatekeeper necesita ser instalado en un servidor en su dominio. El Gatekeeper lee información de usuario de Active Directory y gestiona todas las operaciones contra Active Directory, como leer/escribir datos de inscripción.
Servicios de identidad: Una entidad que puede validar la identidad de un usuario en uReset. Los tokens de servicios de identidad individuales son utilizados por el backend para validar la identidad de un usuario.
Algunos de los servicios de identidad que se utilizan durante la autenticación, como Google, son externos. Cuando se utiliza un servicio de identidad externo, el usuario es enviado al servicio de identidad y se le pide que dé su consentimiento a Specops para acceder a su información personal, como su nombre de usuario. La información del consentimiento permite la creación del token que se utiliza para la autenticación.
Token: Un token o un token de seguridad es un portador de información sobre un usuario y sobre el emisor del token. La información sobre un usuario es un conjunto de declaraciones. Las afirmaciones sobre un usuario pueden, por ejemplo, ser el nombre del usuario, el ID del cliente al que pertenece y qué roles tiene un usuario en su organización.
Nota
No se incluyen datos personales identificables ni contraseñas en los tokens.
Funciones y capacidades
Informes
La función de informes de uReset le permite rastrear su proceso de inscripción y proporciona varios informes sobre inscripciones, eventos y utilización de servicios de identidad.
Personalizaciones
La aplicación web de uReset contiene varias funciones de personalización que le dan control sobre la interfaz de usuario final de Specops uReset. Puede personalizar los elementos gráficos de la aplicación web de Specops uReset, incluido el logotipo principal. También puede personalizar el texto mostrado al usuario final, para todos los idiomas compatibles.
Notificaciones de Eventos
Specops uReset contiene varias opciones de notificación para recordar a los usuarios que se inscriban y fomentar el autoservicio. El método de notificación se controla a través de configuraciones de GPO. Specops uReset admite notificaciones por correo electrónico y SMS cuando ocurren ciertos eventos del sistema, como cuando un usuario se inscribe en el sistema. Specops uReset tiene la capacidad de generar y enviar correos electrónicos a los usuarios finales para confirmar que la operación fue exitosa.
Servicios de Identidad Ponderados
El motor de autenticación multifactor de uReset permite al administrador asignar un peso específico para cada servicio de identidad, decidiendo en última instancia que un servicio de identidad vale el doble que otro durante la autenticación. En las interfaces de usuario, tanto para los usuarios finales como para el administrador, los pesos se representan mediante estrellas.
Autenticación Multifactor para Administradores y usuarios del Helpdesk
Los usuarios que forman parte del grupo de Administradores y Helpdesk pueden usar autenticación multifactor para verificar su identidad al acceder a las páginas de Administración / Gestión de Usuarios en la Authentication Web.
Credenciales en Caché: Restablecer una contraseña de forma remota
Si un usuario está fuera de la oficina y olvida su contraseña, necesita poder restablecerla sin regresar a la oficina.
En circunstancias normales, cuando un usuario inicia sesión en una computadora unida a un dominio mientras está en la oficina, se almacena localmente una copia en caché de su hash de contraseña. Esto permite que la computadora verifique al usuario, incluso si no se puede alcanzar un Controlador de Dominio para la autenticación.
Sin embargo, si el usuario está fuera de la oficina, restablece su contraseña de Active Directory y no se puede alcanzar un Controlador de Dominio, la nueva contraseña no estará presente en la caché de la computadora local. En este escenario, un usuario que haya olvidado su contraseña antigua quedará bloqueado fuera de su computadora.
Specops uReset y Specops Password Reset pueden actualizar las credenciales en caché incluso cuando no se puede alcanzar un Controlador de Dominio. Esto se puede hacer desde el enlace Reset Password en la pantalla de inicio de sesión de una máquina donde está instalado el Specops Client.
Aplicaciones Móviles
uReset contiene una aplicación móvil, disponible en Windows Store, Google Play y App Store, que se puede utilizar como una alternativa segura para restablecer contraseñas y desbloquear cuentas. La aplicación móvil está disponible para cualquier organización que permita a los usuarios restablecer su contraseña de forma remota:
- Specops Password Reset
Las siguientes aplicaciones móviles se describen más detalladamente en Specops Authentication Servicios de identidad:
- Specops:ID
- Specops Authenticator (siendo eliminado, se recomienda usar Specops:ID)
- Specops Fingerprint (siendo eliminado, se recomienda usar Specops:ID)