Autenticación de Dos Factores
La autenticación de dos factores añade una capa adicional de seguridad y previene el acceso a la sesión de sus usuarios incluso si alguien conoce su contraseña .
Se utiliza una combinación de dos factores diferentes para lograr un mayor nivel de seguridad:
-
algo que conocen, una contraseña .
-
algo que tienen, un dispositivo - como un teléfono inteligente - con una aplicación de autenticación instalada. .
Puedes usar una de las siguientes aplicaciones de autenticación para continuar. Estas aplicaciones están disponibles en una amplia gama de plataformas:
Cada vez que un usuario inicie sesión en su sesión remota, necesitará su contraseña y un código de verificación disponible en su teléfono móvil. Una vez configurada, la aplicación de autenticación mostrará un código de verificación para permitirle iniciar sesión en cualquier momento. Funciona incluso si su dispositivo está desconectado.
O bien puedes decidir recibir códigos de verificación por SMS En este caso, tendrás que crear una cuenta gratuita en Twilio .
La autenticación de dos factores está disponible con HTML5 y conexiones Remoteapp solo en el portal web de trabajo remoto , en ediciones móviles web y empresariales de trabajo remoto Este modo de autenticación no admite el inicio de sesión a través del cliente de Escritorio Remoto.
Para proporcionar una solución aún más segura, se deniegan las conexiones RDP para los usuarios con 2FA habilitado.
Como requisito previo, el servidor de trabajo remoto y los dispositivos deben estar a tiempo. Ver el Sincronización de tiempo y Configuraciones secciones para más información de configuración.
Activando la licencia del complemento de Autenticación de Dos Factores
La función de Autenticación de Dos Factores se puede encontrar en la pestaña de Complemento de AdminTool:
Para activar su licencia, copie el número de serie que puede encontrar en la parte inferior del mosaico de Inicio:
Luego, conéctese a nuestro Portal de Licencias y ingrese su número de pedido, su dirección de correo electrónico, el número de serie y seleccione "Two-Factor Authentication" en la lista desplegable a continuación:
Obtendrá su archivo license.lic. Luego, vaya a la Licencia tab y haga clic en el botón “Activar su licencia”:
Habilitar la autenticación de dos factores
Realice los siguientes pasos para habilitar la autenticación de dos factores para su servidor o implementación de trabajo remoto. Si su implementación de trabajo remoto está configurada para usar múltiples servidores, realice esta tarea en el servidor de trabajo remoto expuesto como el único punto de entrada para los usuarios o que tenga el rol de proxy inverso.
- Abra la aplicación de administración de la autenticación de dos factores. Se muestran el estado de la autenticación de dos factores y el estado de la licencia:
Por defecto, 2FA está desactivado.
Habilítalo:
Agregar usuarios y grupos
Una vez que se habilita la autenticación de dos factores, puede configurar a los usuarios para la autenticación de dos factores.
- Desde la aplicación de administración de la autenticación de dos factores, haga clic en el Administrar usuarios tab.
- Luego, haga clic en Agregar para seleccionar usuarios y/o grupos de usuarios. El Seleccionar usuarios o grupos se abre la caja.
- Agrega tantos usuarios y grupos como sea necesario y luego haz clic OK Los usuarios y grupos se añaden a la lista y se habilitan para la autenticación de dos factores.
Editar usuarios
En el mismo mosaico, puedes editar la forma en que los usuarios reciben los códigos de verificación seleccionando un usuario y haciendo clic en el botón "Editar":
El usuario recibe códigos de verificación en la aplicación de autenticación por defecto. Puede elegir que los reciba por SMS seleccionando la opción y añadiendo el número de teléfono del usuario en el campo a continuación.
Eliminar usuarios y grupos
Para eliminar usuarios o grupos, seleccione el usuario o el grupo y luego haga clic en Eliminar Se muestra un mensaje de confirmación.
Haga clic Sí El usuario o el grupo se elimina de su lista y ya no podrá conectarse utilizando la autenticación de dos factores.
Restablecer configuración para usuarios
En caso de pérdida del dispositivo de autenticación de un usuario, o si el usuario necesita mostrar nuevamente el código QR secreto, debe restablecer la configuración de autenticación del usuario.
-
Desde la aplicación de administración de la autenticación de dos factores, haga clic en el Administrar usuarios tab.
-
Seleccione uno o varios usuarios activados y luego haga clic en Restablecer Se muestra un mensaje de confirmación.
- Haga clic Sí Los usuarios seleccionados recibirán un nuevo código QR en el próximo inicio de sesión y deberán escanearlo en la aplicación de autenticación de su dispositivo.
También puedes modificar el número de teléfono del usuario, para que pueda recibir un código de verificación en su nuevo dispositivo.
Inscribir usuario para la autenticación de dos factores
Una vez que un usuario ha sido habilitado para usar la autenticación de dos factores, se mostrará un mensaje de activación en su próximo inicio de sesión exitoso desde el portal web de trabajo remoto.
Para completar los pasos requeridos, tienes dos opciones: generar códigos a través de una aplicación de autenticación o hacer que el usuario reciba códigos por SMS.
Recibir códigos con una aplicación de autenticación
El usuario debe instalar una aplicación de autenticación en un dispositivo portátil, como su teléfono inteligente.
Puedes usar una de las siguientes aplicaciones de autenticación para continuar. Estas aplicaciones están disponibles en una amplia gama de plataformas:
Por favor, utiliza la documentación de cada aplicación para más detalles sobre cómo proceder para agregar tu cuenta de trabajo remoto.
Para que el usuario reciba códigos de verificación por SMS, primero debe habilitarlo. Haga clic en el Configurar SMS tab:
remote-work aprovecha Twilio para enviar códigos de verificación por SMS. Twilio es una plataforma en la nube de terceros, no afiliada a remote-work.
- Solo crea una cuenta gratuita en Twilio al hacer clic en el botón a continuación “Comience su prueba gratuita con Twilio”:
- En tu Tablero de cuenta de Twilio deberá activar su número de prueba:
- El siguiente paso solo es necesario para las versiones de prueba. Permite a Twilio verificar el número de teléfono real al que se enviarán los SMS.
Ingrese este número en el menú “Números de Teléfono” - “IDs de Llamante Verificados” tab :
- Podrás ingresar tu SID de cuenta, Token de autenticación y Número de prueba como el número de teléfono en el Configurar SMS pestaña de trabajo remoto:
Luego, haga clic en Guardar. Se mostrará el siguiente mensaje:
Puedes gestionar tu suscripción de Twilio en el Gestionar la suscripción de Twilio sección, en la parte inferior de la Configurar SMS Administra tu cuenta, consulta el estado del servicio o contacta con el centro de soporte de Twilio simplemente haciendo clic en los botones correspondientes.
Iniciar sesión utilizando la autenticación de dos factores
Una vez que un usuario ha configurado su cuenta de trabajo remoto en su aplicación de autenticación, podrá conectarse utilizando su contraseña y el código proporcionado por su aplicación de autenticación o por SMS.
El servidor y los dispositivos de TSplus Remote Work deben estar sincronizados. Esto significa que la hora y la fecha del servidor deben estar sincronizadas con un servidor de tiempo. Los dispositivos también deben tener sincronización de tiempo, independientemente de la zona horaria en la que estén configurados.
Si una solicitud de autenticación proviene de un dispositivo cuya fecha y hora no están sincronizadas, o si la fecha y hora del servidor no están sincronizadas, esta solicitud puede ser rechazada.
La validación de la información entre el dispositivo y el servidor se relaciona con la hora UTC.
En el Configuraciones sección, el parámetro de discrepancia se utiliza para gestionar el período de validez del código, en intervalos de 30 segundos.
Ejemplo de validación o autenticación válida:
- el servidor está sincronizado con un servidor de tiempo, la zona horaria es UTC + 2, son las 2:30 p. m.
- el dispositivo está sincronizado con un servidor de tiempo, la zona horaria es UTC + 1, son las 1:30 p. m.
- el parámetro de discrepancia está configurado en 60, es decir, un período de validez del código de 30 minutos
- referido a la hora UTC, la hora del dispositivo y la hora del servidor son idénticas.
Ejemplo de validación o autenticación no válida:
- el servidor está sincronizado con un servidor de tiempo, la zona horaria es UTC + 2, son las 2:30 p. m.
- el dispositivo no está sincronizado con un servidor de tiempo, la zona horaria es UTC-1, la hora está configurada manualmente a la 1:30 p. m.
- el parámetro de discrepancia está configurado en 60, es decir, un período de validez del código de 30 minutos
- la hora del servidor referida a la hora UTC es 12:30 a. m.
- el tiempo comunicado por el Dispositivo, referido a la hora UTC es 2:30 pm
- la diferencia es de 120 minutos, por lo tanto, el código de validación es rechazado.
La pestaña de Configuración te permite permitir a los usuarios, para que se conecten utilizando un cliente RDP, sin necesidad de ingresar un código de autenticación de dos factores.
Haga clic en el botón "Agregar" para añadir un usuario y elimine un usuario seleccionándolo y haciendo clic en el botón "Eliminar".
La pestaña Avanzado te permite configurar la autenticación de dos factores en ajustes detallados.
Discrepancia
Puedes modificar el valor de Discrepancia, que te permite establecer el tiempo de validación de un código de verificación.
Una discrepancia de 3 significa que el mismo código de verificación sigue siendo válido 90 segundos hacia atrás y hacia adelante desde su período de validez original de 30 segundos. El valor predeterminado es 480, lo que significa 480 x 30 segundos = 4 horas.
Emisor
Una cadena que indica el nombre del servicio de autenticación de dos factores. El emisor se muestra en la aplicación móvil del cliente e identifica el servicio asociado con el código de verificación generado. Por defecto, está compuesto por el nombre del servidor con trabajo remoto.
Validez después de la primera sesión
Período durante el cual un usuario puede abrir una sesión sin tener que volver a validar un código de autenticación de dos factores anterior. Esta configuración permite a los usuarios abrir aplicaciones desde el portal de la aplicación web de forma sucesiva. El valor predeterminado es de 480 minutos.
Validez antes de la primera sesión
Período durante el cual un usuario puede abrir una sesión después de validar un código de autenticación de dos factores desde el portal web o desde la aplicación móvil, en segundos. El valor predeterminado es 3600 segundos.
Dígitos
El número de dígitos a mostrar al usuario. Tenga en cuenta que esta configuración puede no ser compatible con las aplicaciones de autenticación. Este número debe ser mayor o igual a 4 y menor o igual a 12. El valor predeterminado es 6.
Mensaje del código de verificación por SMS
Mensaje enviado a los usuarios que solicitan un código de verificación si están configurados para recibirlo por SMS. Este mensaje debe contener el marcador de posición %CODE% que será reemplazado por el código de verificación real. El valor predeterminado es: Su código de verificación %ISSUER% es: %CODE%
