La autenticación en dos factores (2FA) es un complemento opcional de TSplus Remote Access diseñado para agregar una capa extra de seguridad al acceso remoto de tus usuarios.
Importante: Este módulo no viene incluido por defecto en TSplus. Se adquiere por separado e integra perfectamente en tu instalación actual (Mobile web o Enterprise).
Puedes usar una de las siguientes aplicaciones de autenticación para continuar. Estas aplicaciones están disponibles en una amplia gama de plataformas:
Cada vez que un usuario inicia sesión remotamente, necesitará su contraseña y un código de verificación disponible en su teléfono móvil. Una vez configurada, la aplicación de autenticación mostrará un código de revisión para que el usuario pueda comenzar sesión en cualquier momento.
O puedes optar por recibir códigos de verificación por SMS . En este caso, tendrás que crear una cuenta gratuita en Twilio .
Los códigos 2FA generados son TOTP (contraseña de un solo uso basada en el tiempo) y, por lo tanto, son para un solo uso.
Por lo tanto, no es posible reutilizar un código de 2FA ya utilizado. Esto evita el robo y el uso posterior de un código de 2FA al observar al usuario mientras lo introduce.
Requisitos
La autenticación de dos factores requiere TSplus Remote Access Mobile Web o Enterprise Editions.
La autenticación de dos factores es compatible con:
Portal web de acceso remoto TSplus , tanto para conexiones HTML5 como Remoteapp
Contar con el complemento TSplus 2FA (se adquiere por separado).
Cliente de conexión TSplus, para clientes generados a partir de la versión 15.30.3.15, con compatibilidad con autenticación de dos factores explícitamente habilitada. Consulte Compatibilidad del generador de clientes portátil con la autenticación de dos factores.
La 2FA está relacionada con los usuarios de Windows y no con las credenciales web
Este modo de autenticación no admite el inicio de sesión a través del cliente de Escritorio remoto estándar de Microsoft (mstsc.exe).
Para brindar una solución aún más segura, se niegan las conexiones RDP para los usuarios con 2FA habilitado.
Como requisito previo, el servidor TSplus y los dispositivos deben estar a tiempo. Consulte las secciones "Sincronización horaria" y "Configuración" para obtener más información sobre la configuración.
Activación de la licencia complementaria de autenticación de dos factores
La función de autenticación de dos factores se puede encontrar en la pestaña Complemento de AdminTool:
Realice los siguientes pasos para habilitar la autenticación de dos factores en su servidor o implementación de TSplus. Si su implementación de TSplus está configurada para usar varios servidores, realice esta tarea en el servidor de TSplus expuesto como único punto de entrada para los usuarios o con la función de proxy inverso.
- Abra la aplicación de administración de autenticación de dos factores. Se muestran el estado de la autenticación de dos factores y el de la licencia:
De forma predeterminada, 2FA está habilitado para la puerta de enlace TSplus y los servidores de aplicaciones independientes.
Puede habilitarlo solo para servidores de aplicaciones TSplus, ingresando la URL del servidor de autenticación:
O deshabilitarlo:
Agregar usuarios y grupos
Una vez habilitada la autenticación de dos factores, puede configurar los usuarios para la autenticación de dos factores.
Desde la aplicación de administración de autenticación de dos factores, haga clic en la pestaña Administrar usuarios .
Luego, haga clic en " Agregar" para seleccionar usuarios o grupos de usuarios. Se abrirá el cuadro "Seleccionar usuarios o grupos".
- Agregue tantos usuarios y grupos como necesite y haga clic en Aceptar . Los usuarios y grupos se agregarán a la lista y se habilitará la autenticación de dos factores.
Aquí hay comandos para agregar usuarios/grupos.
3 tipos de argumentos posibles:
solo el nombre de dominio
TwoFactor.Admin.exe /addusers nombreDeDominio1
- agrega el usuario con los valores predeterminados (método de recepción = aplicación, campos de correo electrónico y teléfono no ingresados)
el nombre de dominio y el método de recepción
TwoFactor.Admin.exe /addusers domainName1;SMS
- Agrega al usuario con el método de recepción deseado, pero no intenta activarlo
el nombreDeDominio, el método de recepción, el campo Teléfono (aunque esté vacío), el campo Correo electrónico (aunque esté vacío)
*TwoFactor.Admin.exe /addusers nombreDeDominio1;SMS;+33606060606;
nombreDeUsuario1@truc.net nombreDeDominio2;CorreoElectrónico;;
nombreDeUsuario2@truc.net nombreDeDominio3;SMS;+33606060607; nombreDeDominio4 *
- El mismo comportamiento que en la HMI, cuando agregamos un usuario y luego lo editamos con la información correcta: intentamos activar el usuario
Como se muestra en el último ejemplo, se pueden indicar varios usuarios (separados por un espacio). Los diferentes campos de un usuario se separan con punto y coma.
Para grupos individuales:
TwoFactor.Admin.exe /addgroups grupo1 grupo2 grupo3
Editar usuarios
En el mismo mosaico, puedes editar la forma en que los usuarios reciben los códigos de verificación seleccionando un usuario y haciendo clic en el botón "Editar":
El usuario recibe códigos de verificación en la aplicación de autenticación por defecto. Puede elegir que los reciba por SMS o correo electrónico seleccionando la opción correspondiente.
Seleccionó SMS y agregó el número de teléfono del usuario en el campo o seleccionó CORREO ELECTRÓNICO y agregó el correo electrónico del usuario.
Eliminar usuarios y grupos
Para eliminar usuarios o grupos, selecciónelos y haga clic en " Eliminar" . Se mostrará un mensaje de confirmación.
Haga clic en Sí . El usuario o grupo se eliminará de su lista y ya no podrá conectarse mediante la autenticación de dos factores.
Restablecer configuración para usuarios
En caso de pérdida del dispositivo de autenticación de un usuario, o si el usuario necesita mostrar nuevamente el código QR secreto, deberá restablecer la configuración de autenticación del usuario.
Desde la aplicación de administración de autenticación de dos factores, haga clic en la pestaña Administrar usuarios .
Seleccione uno o varios usuarios activados y haga clic en Restablecer . Se mostrará un mensaje de confirmación:
- Haga clic en Sí . Los usuarios seleccionados verán un nuevo código QR en el próximo inicio de sesión y deberán escanearlo en la aplicación de autenticación de su dispositivo.
También puedes modificar el número de teléfono del usuario, para que pueda recibir un código de verificación en su nuevo dispositivo.
Inscribir usuario para autenticación de dos factores
Una vez que un usuario esté habilitado para usar la autenticación de dos factores, se mostrará un mensaje de activación en su próximo inicio de sesión exitoso desde el portal web de TSplus.
Para completar los pasos necesarios, tienes dos opciones: generar los códigos a través de una aplicación de autenticación o hacer que el usuario reciba los códigos por SMS.
Recibir códigos con una aplicación autenticadora
El usuario debe instalar una aplicación de autenticación en un dispositivo portátil, como su teléfono inteligente.
Puedes usar una de las siguientes aplicaciones de autenticación para continuar. Estas aplicaciones están disponibles en una amplia gama de plataformas:
Utilice la documentación de cada aplicación para obtener más detalles sobre cómo proceder para agregar su cuenta TSplus.
Configurar SMS
Para que el usuario reciba códigos de verificación por SMS, primero debe habilitarlo. Haga clic en la pestaña "Configurar SMS" .
TSplus utiliza Twilio para enviar códigos de verificación por SMS. Twilio es una plataforma en la nube de terceros, no afiliada a TSplus.
- Simplemente crea una cuenta gratuita en Twilio haciendo clic en el botón "Comienza tu prueba gratuita con Twilio" debajo:
- En el panel de control de su cuenta Twilio , deberá activar su número de prueba:
- El siguiente paso solo es necesario para las versiones de prueba. Permite a Twilio verificar el número de teléfono al que se enviarán los SMS.
Ingrese este número en el menú “Números de teléfono” - pestaña “Identificadores de llamadas verificados”:
- Luego podrá ingresar el SID de su cuenta, el token de autenticación y el número de prueba como número de teléfono en la pestaña Configurar SMS de TSplus:
Luego, haz clic en Guardar. Se mostrará el siguiente mensaje:
Puedes administrar tu suscripción de Twilio en la sección "Administrar suscripción de Twilio" , en la parte inferior de la pestaña "Configurar SMS" . Administra tu cuenta, consulta el estado del servicio o contacta con el Centro de soporte de Twilio con solo hacer clic en los botones correspondientes.
Configurar CORREO ELECTRÓNICO
Para que el usuario reciba códigos de verificación por EMAIL, primero debe configurar su correo electrónico SMTP.
Iniciar sesión mediante autenticación de dos factores
Una vez que un usuario haya configurado su cuenta TSplus en su aplicación de autenticación, podrá conectarse usando su contraseña y el código proporcionado por su aplicación de autenticación, por SMS o correo electrónico.
Desde el portal web de acceso remoto de TSplus:
Desde el cliente generado por TSplus:
Los servidores de aplicaciones TSplus y los dispositivos cliente deben compartir la misma hora. Esto significa que la hora y la fecha del servidor deben estar sincronizadas con un servidor horario. Los dispositivos cliente también deben tener sincronización horaria, independientemente de la zona horaria en la que estén configurados.
Si una solicitud de autenticación proviene de un dispositivo cuya fecha y hora no están sincronizadas, o si la fecha y la hora del servidor no están sincronizadas, esta solicitud puede ser rechazada.
La validación de la información entre el Dispositivo y el servidor se relaciona con la hora UTC.
En la sección Configuración , el parámetro Discrepancia se utiliza para administrar el período de validez del código, en intervalos de 30 segundos.
Ejemplo de validación o autenticación válida:
- El servidor está sincronizado con un servidor horario, la zona horaria es UTC+2, son las 2:30 pm
- El dispositivo está sincronizado con un servidor horario, la zona horaria es UTC+1, son las 13:30 horas
- El parámetro Discrepancia está configurado en 60, es decir, un período de validez del código de 30 minutos
- Referido a la hora UTC, la hora del dispositivo y la hora del servidor son idénticas.
Ejemplo de validación o autenticación no válida:
- El servidor está sincronizado con un servidor horario, la zona horaria es UTC+2, son las 2:30 pm
- El dispositivo no está sincronizado con un servidor horario, la zona horaria es UTC-1, la hora se configura manualmente a la 1:30 pm
- El parámetro Discrepancia está configurado en 60, es decir, un período de validez del código de 30 minutos
- La hora del servidor referida en hora UTC es 12:30 am
- La hora comunicada por el Dispositivo, referida al horario UTC es las 2:30 pm
- La diferencia es de 120 minutos, por lo que el código de validación es rechazado.
Ajustes
La pestaña Configuración le permite incluir usuarios en la lista blanca para que puedan conectarse mediante un cliente RDP, sin necesidad de ingresar un código de autenticación doble.
Haga clic en el botón “Agregar” para agregar un usuario y eliminarlo seleccionándolo y haciendo clic en el botón “Eliminar”.
La pestaña Avanzada le permite configurar ajustes detallados de la autenticación de dos factores.
Discrepancia
Puede modificar el valor de Discrepancia, lo que le permite establecer el tiempo de validación de un código de verificación.
Una discrepancia de 3 significa que el mismo código de verificación conserva su validez durante 90 segundos, tanto hacia atrás como hacia adelante, respecto a su periodo de validez original de 30 segundos. El valor predeterminado es 480, lo que significa 480 x 30 segundos = 4 horas.
Editor
Una cadena que indica el nombre del servicio de autenticación de dos factores. El emisor se muestra en la aplicación móvil del cliente e identifica el servicio asociado con el código de verificación generado. Por defecto, se compone del nombre del servidor con TSplus.
Validez después de la primera sesión
Periodo durante el cual un usuario puede abrir una sesión sin tener que revalidar un código de autenticación de dos factores. Esta configuración permite a los usuarios abrir aplicaciones desde el portal de aplicaciones web sucesivamente. El valor predeterminado es 480 minutos.
Dígitos
El número de dígitos que se mostrarán al usuario. Tenga en cuenta que es posible que esta configuración no sea compatible con las aplicaciones de autenticación. Este número debe ser mayor o igual a 4 y menor o igual a 12. El valor predeterminado es 6.
Mensaje de código de verificación por SMS
Mensaje enviado a los usuarios solicitando un código de verificación si están configurados para recibirlo por SMS. Este mensaje debe contener el marcador %CODE%, que se reemplazará por el código de verificación real. El valor predeterminado es: Su código de verificación %ISSUER% es: %CODE%
Período de seguridad de SMS
El periodo comienza cuando un usuario solicita un código de autenticación por SMS. Durante este periodo, el usuario puede solicitar un nuevo código de autenticación por SMS hasta que el número de SMS solicitados alcance el umbral (en horas; el valor predeterminado es 24 horas).
Umbral de seguridad de SMS
El umbral define la cantidad máxima de códigos de autenticación de SMS que cada usuario puede solicitar durante un período de tiempo específico (el valor predeterminado es 6).
¿Le fue útil este artículo?
¡Qué bueno!
Gracias por sus comentarios
¡Sentimos mucho no haber sido de ayuda!
Gracias por sus comentarios
Comentarios enviados
Agradecemos su iniciativa, e intentaremos corregir el artículo