Duo

Configurar Duo Security con Specops Authentication para uReset 8 extenderá el sistema de autenticación de dos factores de Duo Security a los usuarios de uReset.

Hay dos formas de conectarse a Duo Security, Web SDK y Auth API. Auth API es el más nuevo de los dos y es utilizado por todos los nuevos clientes. Para verificar qué método está utilizando, realice los siguientes pasos:

Inicie sesión en la web de Specops Authentication: https://login.specopssoft.com/authentication/admin
Seleccione Servicios de Identidad en la navegación de la barra lateral izquierda, luego seleccione Duo Security.
Asegúrese de que diga “Auth API”.

Configurando Duo Security con Web SDK

Nota

Web SDK solo está disponible para clientes que comenzaron a usar Duo Security antes del lanzamiento 8.16 de Specops Authentication. Los clientes que comiencen a usar Duo Security desde la versión 8.16 en adelante deben usar Auth API (ver abajo) para configurar Duo Security.

Requisitos previos: Se requieren los roles administrativos de Propietario, Administrador o Administrador de Aplicaciones en Duo Security.

Inicie sesión en la web de Specops Authentication: https://login.specopssoft.com/authentication/admin
Seleccione Servicios de Identidad en la navegación de la barra lateral izquierda, luego seleccione Duo Security.
Seleccione Habilitar, luego en la ventana emergente seleccione Habilitar nuevamente. Esto hará que el servicio esté disponible para su uso en los servicios de Specops.
Inicie sesión en el Panel de Administración de Duo Security.
Seleccione Aplicaciones en la navegación de la barra lateral izquierda, luego seleccione Proteger una Aplicación.
La siguiente página muestra una lista de los diferentes tipos de servicios que se pueden integrar con Duo Security. En la lista, encuentre Web SDK y seleccione Proteger esta aplicación.
Establezca una política para la aplicación utilizando una existente o creando una nueva.

Nota

la configuración de Política de Nuevo Usuario debe establecerse en Requerir inscripción. Permitir acceso sin 2FA permitirá a los usuarios omitir Duo Security sin autenticarse. Denegar acceso bloqueará a los usuarios para que no se autentiquen con Duo Security.

Nota

la configuración de Política de Acceso de Grupo debe establecerse en Sin acción. Al igual que con la Política de Nuevo Usuario, no se puede establecer en Permitir acceso sin 2FA o Denegar acceso.
Configure los Ajustes e ingrese un nombre.
Seleccione Guardar.
Desde la sección de Detalles, copie la clave de Integración, la clave secreta y el nombre de host de la API en sus campos correspondientes en el Specops Client.

Nota

el campo Nombre del Atributo puede dejarse en blanco para usar el atributo predeterminado de Active Directory (sAMAccountName), a menos que necesite usar un atributo AD diferente.
Seleccione Probar conexión. Si la conexión fue exitosa, aparecerá un mensaje que dice Prueba de conexión exitosa.
Seleccione Guardar.

Para agregar Duo Security a su política:

Seleccione uReset 8 en la navegación de la barra lateral izquierda, luego seleccione Configurar en la sección Políticas.
Arrastre Duo Security desde la sección Servicios de Identidad No Seleccionados a la sección Servicios de Identidad Seleccionados, y configure los ajustes de Peso, Requerido y Protegido.
Seleccione Guardar.

Configurando Duo Security con Auth API

Requisitos previos: Se requieren los roles administrativos de Propietario, Administrador o Administrador de Aplicaciones en Duo Security.

Inicie sesión en la web de Specops Authentication: https://login.specopssoft.com/authentication/admin
Seleccione Servicios de Identidad en la navegación de la barra lateral izquierda, luego seleccione Duo Security.
Seleccione Habilitar, luego en la ventana emergente seleccione Habilitar nuevamente. Esto hará que el servicio esté disponible para su uso en los servicios de Specops.
Inicie sesión en la página de administración de Duo Security
Seleccione Aplicaciones en la navegación de la barra lateral izquierda, luego seleccione Proteger una Aplicación.
La siguiente página muestra una lista de los diferentes tipos de servicios que se pueden integrar con Duo Security. En la lista, encuentre Partner Auth API y seleccione Proteger esta aplicación.
Establezca una política para la aplicación haciendo clic en Aplicar una política a todos los usuarios y seleccionando la política en el menú desplegable, o cree una nueva política haciendo clic en el enlace O, crear una nueva política en esa misma ventana, luego haciendo clic en Política de Nuevo Usuario.

Nota

la configuración de Política de Nuevo Usuario debe establecerse en Requerir inscripción. Permitir acceso sin 2FA permitirá a los usuarios omitir Duo Security sin autenticarse. Denegar acceso bloqueará a los usuarios para que no se autentiquen con Duo Security.
Configure los Ajustes e ingrese un nombre.
Haga clic en Guardar.
Desde la sección de Detalles, copie la clave de Integración (ID de Cliente), la clave secreta y el nombre de host de la API en sus campos correspondientes en el Specops Client.

Nota

el campo Nombre del Atributo puede dejarse en blanco para usar el atributo predeterminado de Active Directory (sAMAccountName), a menos que necesite usar un atributo AD diferente.
Seleccione su configuración deseada para Inscribir automáticamente a los usuarios en Specops Authentication. Configurarlo en sí inscribirá automáticamente a todos los usuarios.

Nota

Para usar Duo Security con Verificación Rápida, esta configuración debe establecerse en Sí
Seleccione Probar conexión. Si la conexión fue exitosa, aparecerá un mensaje que dice Prueba de conexión exitosa.
Haga clic en Guardar.

Configurando Duo Security con OpenID Connect (OIDC)

Puede configurar Duo Security para usar el protocolo OpenID Connect para ofrecer autenticación de dos factores a los usuarios. Esto significa que en lugar de usar la página de inicio de sesión de Specops, los usuarios serán redirigidos a una URL de Duo Security donde podrán autenticarse a través del Universal Prompt de Duo Security. El Universal Prompt presentará al usuario un código numérico, que el usuario deberá ingresar en la notificación push en el dispositivo donde tiene instalada la aplicación Duo Security. Este método de autenticación se puede usar para contrarrestar los llamados ataques de fatiga donde los usuarios reciben múltiples notificaciones push simples, introduciendo el paso adicional de confirmar el código en pantalla.

Nota

Auth API necesita ser configurado antes de configurar OIDC.

Para configurar OIDC:

Inicie sesión en la web de Specops Authentication: https://login.specopssoft.com/authentication/admin
Seleccione Servicios de Identidad en la navegación de la barra lateral izquierda, luego seleccione Duo Security.
El servicio ya debería haber sido habilitado cuando se configuró Auth API.
Seleccione la casilla de verificación Usar el aviso de Duo para los usuarios finales.
Inicie sesión en el Panel de Administración de Duo Security.
Seleccione Aplicaciones en la navegación de la barra lateral izquierda, luego seleccione Proteger una Aplicación.
La siguiente página muestra una lista de los diferentes tipos de servicios que se pueden integrar con Duo Security. En la lista, encuentre Web SDK y seleccione Proteger esta aplicación.
Establezca la misma política que la establecida para Auth API para la aplicación haciendo clic en Aplicar una política a todos los usuarios y seleccionando la política en el menú desplegable.

Nota

Necesita seleccionar la misma política que la establecida para Auth API para evitar configuraciones donde se impediría a los usuarios usar Duo Security para autenticarse.
Configure los Ajustes e ingrese un nombre.
Seleccione Guardar.
Desde la sección de Detalles, copie el Id de Cliente y el secreto del Cliente en sus campos correspondientes en el Specops Client.
Seleccione Probar conexión. Si la conexión fue exitosa, aparecerá un mensaje que dice Prueba de conexión exitosa.

Nota

La prueba verificará tanto la conexión Auth API como la OIDC, por lo que ambas deberán estar correctamente configuradas. Cualquier mensaje de error indicará qué parte de la configuración fue incorrecta.
Haga clic en Guardar.

Para agregar Duo Security a su política:

Seleccione uReset 8 en la navegación de la barra lateral izquierda, luego seleccione Configurar en la sección Políticas.
Arrastre Duo Security desde la sección Servicios de Identidad No Seleccionados a la sección Servicios de Identidad Seleccionados, y configure los ajustes de Peso, Requerido y Protegido.
Seleccione Guardar.

Usando Duo Security con Verificación Rápida

La Verificación Rápida solo se puede usar con Auth API. Tenga en cuenta que cuando la configuración Inscribir automáticamente a los usuarios en Specops Authentication está establecida en No, no puede usar Verificación Rápida (o Verificación Avanzada) para usuarios que no se han inscrito con Duo Security.

Nota

los clientes que usan Web SDK para configurar Duo Security no pueden usar Duo Security para Verificación Rápida. Solo estará disponible como una Verificación Avanzada.

El Specops Client proporciona mejoras a la experiencia de inicio de sesión de Windows al envolver el proveedor de credenciales integrado de Windows (GINA). Esto incluye permitir a los usuarios restablecer sus contraseñas desde la pantalla de inicio de sesión, así como mejorar la retroalimentación que los usuarios reciben al cambiar su contraseña a través de CTRL+ALT+DEL. El Specops Client también admite envolver proveedores de credenciales de terceros, siempre que ese proveedor de credenciales admita ser envuelto. Algunos proveedores de credenciales, como la Autenticación de Duo Security para Inicio de Sesión en Windows, requieren configuración adicional para permitir que el Specops Client los envuelva.

Establezca una clave de registro en el cliente de Duo Security para permitir el envolvimiento por parte del Specops Client. En una máquina con el cliente de Duo Security instalado, cree o actualice la siguiente clave de registro:
- Ruta de la clave: HKEY_LOCAL_MACHINE\SOFTWARE\Duo Security\DuoCredProv
- Nombre del valor: ProvidersWhitelist
- Tipo de valor: REG_MULTI_SZ
- Datos del valor: ingrese (o agregue) los siguientes dos GUID en líneas separadas: estos son los GUID que identifican al Specops Client:
  - {00002ba3-bcc4-4c7d-aec7-363f164fd178}
  - {4834dbc7-4a06-424d-a67f-20ddebcf08e1}
A continuación, use la Plantilla ADMX de Specops Authentication para especificar que debemos envolver el proveedor de credenciales de Duo Security. En Specops Client Wrap Duo Security Specops Client/Enhance Windows logon and password change, establezca GUID del proveedor de credenciales a envolver en el GUID del cliente de Duo Security, incluidos los corchetes: {44E2ED41-48C7-4712-A3C3-250C5E6D5D84}. Tenga en cuenta que el Specops Client, las plantillas ADMX y las instrucciones para instalar ambos se pueden encontrar aquí.

Una vez que la política de grupo se haya aplicado a las computadoras afectadas, tanto la funcionalidad de inicio de sesión de Duo Security como la funcionalidad de Specops Authentication para el cambio de contraseña y el restablecimiento de contraseña deberían funcionar sin problemas juntos. Para los clientes de uReset, esto significa que puede continuar usando el enlace de Restablecer Contraseña en la pantalla de inicio de sesión tal como lo haría en estaciones de trabajo sin el cliente de Duo Security. Para la Retroalimentación Dinámica en el Cambio de Contraseña (disponible tanto para clientes de uReset como de Password Policy con Specops Client versión 7.15 o posterior) se mostrará la retroalimentación dinámica. Duo Security solicitará MFA después de que se envíe el cambio de contraseña como lo haría normalmente.

Nota

Al usar Duo Security como proveedor de credenciales, se requiere Specops Client 7.17 o posterior.

Duo Security y RdpOnly

Por defecto, Duo Security MFA se invoca tanto para inicios de sesión en consola como para sesiones remotas (RDP).

Es posible configurar el aviso de segundo factor de Duo Security para que se muestre solo para sesiones RDP configurando "RdpOnly" en 1 según la documentación de Duo Security. Si se usa RdpOnly configurado en 1, es necesario configurar la configuración ADMX de Specops Envolvimiento en sesiones de inicio de sesión en consola y establecerla en Deshabilitado.

Aplicar Autenticación a Nivel de Red

La Autenticación a Nivel de Red (NLA) ya se aplica en la mayoría de las organizaciones. Permitir RDP sin NLA se considera inseguro y no debe usarse.

No se admite el uso del proveedor de credenciales de Specops Authentication sin aplicar NLA.

Nota

En casos donde los usuarios inician sesión o desbloquean con el parámetro El usuario debe cambiar la contraseña en el próximo inicio de sesión establecido, el proveedor de credenciales de Duo Security no pre-pobla la contraseña ingresada al iniciar sesión/desbloquear en la siguiente pantalla al realizar el cambio de contraseña. Esto significa que cuando se muestra el Specops RulesUI, se debe ingresar nuevamente la contraseña actual.