Specops Authentication for O365

Specops Authentication for O365 es la solución ideal para organizaciones que requieren un enfoque simple y automatizado para la gestión de usuarios de O365 y autenticación. Specops Authentication se instala dentro de su Active Directory. Esto le permite usar las políticas de grupo existentes para configurar el aprovisionamiento y asignar licencias a los usuarios a medida que inician sesión en O365.

El potente motor de autenticación multifactor de la solución admite una amplia gama de factores de autenticación que pueden ayudar a mejorar la seguridad general de su organización. Con más de 15 proveedores de identidad disponibles durante la autenticación, los usuarios siempre tendrán una forma segura de acceder a recursos importantes.

Specops Authentication for O365 se puede usar sin necesidad de una amplia experiencia por parte del administrador. No importa en qué etapa se encuentre en su implementación de O365, Specops Authentication puede disminuir el tiempo de administración de O365 y aumentar la seguridad sin interrumpir la experiencia del usuario.

Conceptos centrales

Autenticación

La autenticación es el proceso de verificar la identidad de un usuario. Normalmente, esto requiere que el usuario haga una declaración sobre su identidad ingresando su nombre de usuario y contraseña.

Inscripción

Se requiere que los usuarios se inscriban con Specops Authentication. El proceso de inscripción variará para cada tipo de servicio de identidad. Para inscribirse con un servicio de identidad personal como Google, los usuarios deberán seguir el enlace desde la aplicación web de Specops a la página web de Google e iniciar sesión con la dirección de correo electrónico y la contraseña asociadas con su cuenta de Google.

Autenticación multifactor

La autenticación multifactor requiere más de un método de autenticación de categorías independientes de credenciales: algo que sabes (es decir, contraseña), algo que tienes (es decir, dispositivo móvil) y algo que eres (es decir, huella digital). Specops uReset va más allá de la autenticación de dos factores al admitir una amplia gama de servicios de identidad que se pueden usar para aumentar la seguridad y la flexibilidad. La solución no solo admite autenticadores comunes, como preguntas y respuestas, y códigos de verificación móvil, sino también varios servicios de identidad digital que van desde servicios de identidad personal (por ejemplo, LinkedIn) hasta servicios de identidad de la empresa (por ejemplo, salesforce.com), además de métodos de mayor confianza como las tarjetas inteligentes. El modelo de autenticación multifactor de Specops es dinámico. Los usuarios pueden elegir qué servicios de identidad quieren combinar para la inscripción y autenticación, siempre que cumplan con los requisitos de la política. Los usuarios inscritos con más servicios de identidad de los requeridos para su autenticación tendrán opción de autenticación. Esto garantiza que los usuarios finales siempre tendrán la capacidad de satisfacer la política de autenticación, incluso si un servicio de identidad no está disponible (por ejemplo, no tener su teléfono móvil cerca).

Los administradores pueden seleccionar, según el rol y la política de seguridad, qué servicios de identidad/autenticadores quieren extender a los usuarios finales para verificar su identidad al restablecer o desbloquear sus cuentas. Tal flexibilidad puede garantizar que se satisfagan las necesidades variables de seguridad y flexibilidad. Por ejemplo:

Para usuarios que tienen una autorización de seguridad de bajo nivel, pero una alta necesidad de flexibilidad, como estudiantes, los administradores de TI pueden permitirles autenticarse con algunos servicios de identidad personal como su ID de Google.
Para usuarios que tienen una autorización de seguridad de nivel superior, como administradores de ayuda financiera o ejecutivos de alto nivel, los administradores de TI pueden asignar políticas que exijan un mayor número o una combinación más fuerte de servicios de identidad. Este enfoque proporciona a los administradores la flexibilidad que necesitan para aplicar políticas que se traduzcan en mayor seguridad y eficiencia.

Política

Una política contiene las reglas requeridas para la inscripción y la autenticación multifactor. Una política controla qué servicios de identidad se pueden usar y cuántos deben usarse para verificar la identidad de los usuarios finales. El administrador del sistema es responsable de configurar las reglas en las políticas.

Servicios de identidad

Los servicios de identidad permiten a los usuarios identificarse de manera segura al iniciar sesión. Los servicios de identidad se dividen en múltiples categorías, incluyendo: nombre de usuario y contraseña, social (LinkedIn, Tumblr) y de mayor confianza (Google Authenticator, Microsoft Authenticator, Duo Security).

Para usar varios servicios de identidad para autenticar usuarios, el servicio de identidad debe configurarse (habilitarse) en Authentication Web, y el usuario afectado por la política debe inscribirse con el servicio de identidad. Una vez que un usuario se ha inscrito, puede usar el servicio de identidad para autenticarse. Specops Authentication utiliza datos de objetos de usuario en Active Directory para leer y escribir información utilizada en el sistema.

A continuación se muestra una lista de todos los servicios de identidad disponibles en Specops Authentication.

Estándar

Specops Fingerprint: Specops Fingerprint permite a los usuarios inscribirse y autenticarse utilizando dispositivos con escáneres de huellas digitales, como teléfonos inteligentes y tabletas. Los usuarios pueden presionar su dedo en el escáner de huellas digitales de su dispositivo para identificarse instantáneamente. Los usuarios también pueden usar Face ID para autenticarse, si poseen un iPhone X y superior. Para usar este servicio de identidad, los usuarios deben tener la aplicación instalada en su dispositivo móvil.
Specops Authenticator: Los usuarios pueden autenticarse utilizando la aplicación Specops Authenticator. Los usuarios escanean un código QR o ingresan una clave secreta. Specops Authenticator luego proporciona a los usuarios una contraseña de un solo uso de seis dígitos, que debe ingresarse para autenticarse con éxito.
Código móvil (SMS): Los usuarios recibirán una contraseña de seis dígitos de un solo uso a través de un mensaje SMS, que debe ingresarse para autenticarse con éxito.
Correo electrónico: el correo electrónico del usuario se utiliza como un servicio de identidad enviando un código a la dirección de correo electrónico registrada que el usuario luego debe ingresar en el campo en pantalla. El correo electrónico no requiere inscripción, ya que hace referencia a la dirección de correo electrónico en el atributo de correo electrónico en AD (o cualquier otro atributo si se anula); solo se puede usar con dominios asociados con Specops Authentication.
Correo electrónico personal: el correo electrónico del usuario se utiliza como un servicio de identidad enviando un código a la dirección de correo electrónico registrada que el usuario luego debe ingresar en el campo en pantalla. El correo electrónico personal debe registrarse en la inscripción por el usuario y pueden usar cualquier dirección de correo electrónico de su elección.
Ubicaciones de red confiables: Ubicaciones de red confiables es un servicio de identidad que permite a los administradores designar ciertos rangos de IP como ubicaciones de red confiables.
Identificación del gerente: Cuando un usuario se autentica utilizando la identificación del gerente, se envía un correo electrónico o mensaje SMS a su gerente. Su gerente debe aprobar la solicitud de autenticación. Los administradores pueden personalizar la notificación que se envía, agregando información personalizada a la notificación de solicitud. Para hacer uso de la identificación del gerente, cada usuario debe tener un gerente asignado en Active Directory, y las cuentas de los gerentes deben tener una dirección de correo electrónico/número de teléfono móvil asociado con su perfil para recibir solicitudes de autenticación de los usuarios.
Preguntas secretas: Los usuarios pueden seleccionar preguntas de una lista predeterminada y especificar las respuestas a ellas. Luego deben responder estas preguntas para autenticarse con éxito.

Terceros

Nota

En la mayoría de los casos, la inscripción con servicios de identidad de terceros debe ser manejada por los usuarios individualmente.

PingID: Con PingID, los usuarios pueden autenticarse utilizando la aplicación móvil PingID.
Duo Security: Con Duo Security, los usuarios pueden autenticarse utilizando la aplicación móvil Duo Security.
Freja: Con Freja, los usuarios pueden autenticarse utilizando la aplicación móvil Freja.
Okta Los usuarios pueden inscribirse y autenticarse utilizando las credenciales de su cuenta de Okta. Esto se puede hacer a través de la aplicación Okta y enviando códigos a través de mensajes de texto.
RSA SecurID Los usuarios pueden usar su autenticador RSA para autenticarse.
Symantec VIP: Los usuarios pueden autenticarse utilizando la aplicación móvil Symantec VIP.
Google Authenticator: Google Authenticator es una aplicación que genera contraseñas de un solo uso. Se genera una clave secreta y se presenta en forma de un código QR que el usuario escanea. Google Authenticator luego proporciona a los usuarios una contraseña de un solo uso de seis a ocho dígitos, que debe ingresarse para autenticarse con éxito.
Microsoft Authenticator: Microsoft Authenticator es una aplicación que genera contraseñas de un solo uso. Se genera una clave secreta y se presenta en forma de un código QR que el usuario escanea. Microsoft Authenticator luego proporciona a los usuarios una contraseña de un solo uso de seis a ocho dígitos, que debe ingresarse para autenticarse con éxito.
SITHS eID (Suecia): SITHS eID es un servicio de autenticación basado en tarjeta inteligente, que permite a los empleados (como profesionales médicos) de autoridades, municipios y consejos de condado en Suecia identificarse electrónicamente.
Mobile BankID (Suecia): Si los usuarios tienen la aplicación Mobile BankID, pueden usarla para verificar su identidad.

Nota

Los usuarios tendrán que escanear un código QR en la aplicación Mobile BankID para autenticarse con este servicio de identidad.
Yubikey: La Yubikey es un dispositivo de autenticación de hardware. Los usuarios pueden autenticarse generando contraseñas de un solo uso (OTP) con su Yubikey (solo si la Yubikey admite Yubico OTP como función de seguridad). Para obtener más información sobre Yubikey, consulte la página de Yubikey.
Passkeys: Los usuarios pueden autenticarse con passkeys que ya han configurado en su dispositivo. Las passkeys son credenciales digitales (autenticadores), vinculadas a una cuenta de usuario y un sitio web o aplicación. Algunos ejemplos de passkeys son Windows Hello, Yubikey, Bitwarden y cualquier aplicación de autenticación como Google Authenticator.
Entra ID: permite que Specops Authentication se integre con las bibliotecas de autenticación de Microsoft. Microsoft Authenticator se puede usar para autenticarse con Specops Authentication sin usar una contraseña.

Federado

Google: Los usuarios pueden inscribirse y autenticarse utilizando las credenciales de su cuenta de Google.
Microsoft Live: Los usuarios pueden inscribirse y autenticarse utilizando las credenciales de su cuenta de Microsoft Live. Las credenciales de Microsoft Live se utilizan para iniciar sesión en la nube de Microsoft, incluyendo: Outlook, Office Online, OneDrive, Skype, Xbox Live y la tienda de Microsoft.
LinkedIn: Los usuarios pueden inscribirse y autenticarse utilizando sus credenciales de LinkedIn.

Arquitectura y diseño

Specops Authentication consta de los siguientes componentes y no requiere recursos adicionales en su entorno. El backend de autenticación, la web y los servicios de identidad están alojados en la nube. Solo necesitará instalar el componente Gatekeeper.

Texto alternativo para esta imagen

El usuario intenta acceder a su O365
El usuario es redirigido a Specops Authentication a través de Federated Trust
Las opciones de autenticación se obtienen y se presentan al usuario
El usuario selecciona servicios de identidad para la autenticación
Los servicios de identidad devuelven la identidad del usuario a Specops Authentication
La identidad del usuario se valida contra Active Directory
Specops Authentication crea un token para que el usuario lo presente a O365
Specops Authentication devuelve al usuario autenticado a O365 (si se cumple la política de autenticación)

Nube de autenticación: El componente global en la nube de Specops Authentication, la nube de autenticación contiene la web (interfaz para los usuarios finales) y los servicios de backend.

Web de autenticación: Contiene la interfaz para los usuarios finales, así como para los administradores. Permite la creación de configuraciones de Specops Authentication así como la configuración de aprovisionamiento.

Backend de autenticación: Para leer información del usuario desde Active Directory, el backend se comunica con el Gatekeeper. La web y los servicios de identidad también se comunican con el backend. El backend de autenticación valida la identidad de un usuario en Specops Authentication, basado en los tokens de servicios de identidad individuales.

Gatekeeper: El Gatekeeper necesita ser instalado en un servidor en su dominio. El Gatekeeper lee información del usuario desde Active Directory y gestiona todas las operaciones contra Active Directory, como leer/escribir datos de inscripción.

Servicios de identidad: Una entidad que puede validar la identidad de un usuario en Specops Authentication. Los tokens de servicios de identidad individuales son utilizados por el backend para validar la identidad de un usuario.

Algunos de los servicios de identidad que se utilizan durante la autenticación, como Google, son externos. Cuando se utiliza un servicio de identidad externo, el usuario es enviado al servicio de identidad y se le pide que dé su consentimiento a Specops Authentication para acceder a su información personal, como su nombre de usuario. La información del consentimiento permite la creación del token que se utiliza para la autenticación.

Política de autenticación: Una política que establece cómo debe autenticarse un usuario para poder acceder a un recurso.

Token: Un token o un token de seguridad es un portador de información sobre un usuario y sobre el emisor del token. La información sobre un usuario es un conjunto de declaraciones. Las afirmaciones sobre un usuario pueden ser, por ejemplo, el nombre del usuario, el ID del cliente al que pertenece y qué roles tiene un usuario en su organización.

Nota: No se incluyen datos personales identificables ni contraseñas en los tokens.

Características y capacidades

Características de soporte de consola

Identidad de Windows federada

Cuando un usuario intenta iniciar sesión en O365, Specops Authentication puede otorgar acceso SSO con las credenciales de autenticación integrada de Windows existentes, a menos que se especifiquen requisitos de autenticación adicionales en la política.

Asignación de confianza del servicio de identidad

Specops Authentication permite al administrador asignar un valor de confianza/peso para cada servicio de identidad, decidiendo en última instancia que un servicio de identidad vale el doble que otro durante la autenticación. En las interfaces de usuario, tanto para los usuarios finales como para el administrador, los pesos se representan con estrellas.

Personalizaciones

La aplicación web contiene varias características de personalización que le dan control sobre la interfaz de usuario final de Specops Authentication. Puede personalizar varios elementos gráficos, incluyendo el logotipo principal y el estilo principal (permitiéndole establecer sus propios estilos utilizando un CSS bootstrap personalizado).

Autenticación multifactor para administradores

Los usuarios que forman parte del grupo de administradores de Specops Authentication pueden usar la autenticación multifactor para verificar su identidad al acceder a las páginas de administrador en la aplicación web.

Aplicaciones móviles

Specops Authenticator

La aplicación Specops Authenticator es un servicio de identidad de alta confianza, que convierte el dispositivo móvil en un dispositivo de token seguro. La aplicación genera un código secreto que los usuarios deben proporcionar además de su nombre de usuario durante la autenticación. Los códigos generados se basan en tokens de seguridad del Algoritmo de Contraseña de Un Solo Uso Basado en Tiempo estándar de la industria. Como tal, Specops Authenticator puede trabajar con ambos, Google y Microsoft Authenticators.

Specops Fingerprint Authenticator

La aplicación Specops Fingerprint Authenticator le permite autenticarse en O365 utilizando la función de reconocimiento de huellas digitales Touch ID integrada en su iOS, o la función de escaneo de huellas digitales API integrada en su sistema operativo Android 6.0 o más reciente.

Clientes compatibles

Specops Authentication admite los siguientes clientes para acceder a O365.

Versiones basadas en web de O365 en todos los navegadores modernos, por ejemplo, https://portal.office.com
Office 365 para Windows
Office 2016 para Windows
Office 2013 para Windows (Requiere configuraciones adicionales implementadas en la organización).
Outlook para iPhone
Outlook para Android
OneDrive para empresas
Skype para empresas

Escenarios comunes de configuración

A continuación se presentan tres escenarios comunes de configuración para Specops Authentication con O365.

No usar O365 y su dominio principal no está registrado en Microsoft Entra ID

Puede comprar una cuenta de O365 o registrarse para una cuenta de prueba gratuita de Enterprise desde: https://www.microsoft.com/en-ca/microsoft-365/business/office-365-enterprise-e3-business-software
Cree su cuenta de cliente de Specops Authentication desde: https://login.specopssoft.com/Authentication/Account/Signup
Siga los pasos en la Guía de instalación y Guía de administración de Specops Authentication.

Usar O365 con su cliente de producción/Active Directory para pruebas en nombre de dominio secundario

Su nombre de dominio principal está en uso y desea configurar un nombre de dominio secundario para pruebas.

Cree un nuevo dominio DNS público (por ejemplo: test.contoso.com). Se le pedirá que verifique su dominio agregando un registro TXT al registro DNS de su host de dominio durante la configuración.
Asegúrese de tener usuarios de prueba con sufijos UPN que estén bajo el nuevo dominio, user@test.contoso.com.
Cree su cuenta de cliente de Specops Authentication con el dominio secundario, test.contoso.com.
Instale el componente Gatekeeper. Consulte la Guía de instalación de Specops Authentication.
Configure la federación con el dominio (test.contoso.com) y O365. Consulte la Guía de administración > Office 365.
- Si ya está utilizando Microsoft Entra Connect para el aprovisionamiento, puede omitir el aprovisionamiento de usuarios > Configurar. Si se configuran los pasos restantes, los usuarios podrán iniciar sesión en O365 con inicio de sesión único o autenticación multifactor, utilizando sus UPN, por ejemplo: Jane.Doe@test.contoso.com.
- Si ya está utilizando Microsoft Entra Connect y desea probar Specops Authentication para el aprovisionamiento, asegúrese de que Microsoft Entra Connect no esté sincronizando sus usuarios de prueba. Establezca el alcance de Microsoft Entra Connect para excluir la OU donde están sus usuarios de prueba.
- Si estos usuarios han sido aprovisionados por Microsoft Entra Connect antes, serán eliminados de su cliente de Microsoft Entra por Microsoft en el próximo ciclo de sincronización. Una vez que se eliminen, Specops Authentication no podrá recrearlos. Para restaurar usuarios eliminados, vaya a "Usuarios eliminados" en el portal de administración de O365. Esto también se puede hacer usando PowerShell.
Etiquete un GPO que afecte a estos usuarios en la herramienta de administración de Gatekeeper y habilite el aprovisionamiento de usuarios para el GPO en la web de Specops Authentication. Estos usuarios ahora pueden iniciar sesión con inicio de sesión único y serán aprovisionados.

Usar O365 con su cliente de producción/Active Directory para pruebas en producción (no recomendado)

Su dominio principal está en uso y no desea configurar un dominio secundario. Esto configurará Specops Authentication para todos los usuarios en producción.

Cree su cuenta de cliente de Specops Authentication con su dominio principal, contoso.com.
Instale el componente Gatekeeper. Consulte la Guía de instalación de Specops Authentication.
Cree y etiquete un GPO que afecte a todos los usuarios que necesiten iniciar sesión en O365, o use un GPO existente.
Cree y etiquete un GPO que afecte a los usuarios de prueba que desee que prueben Specops Authentication, o use un GPO existente.
Configure la federación con el dominio (contoso.com) y O365. Consulte la Guía de administración > Office 365.

Nota

Complete los pasos de configuración, pero omita la configuración de aprovisionamiento de usuarios y licencias.
En la web de Specops Authentication, configure la política que afecta a todos los usuarios para que solo requiera la identidad de Windows durante la autenticación. También necesitará configurar la autenticación integrada.
En la web de Specops Authentication, configure la política que afecta a los usuarios de prueba.
Los usuarios podrán iniciar sesión en O365 con inicio de sesión único o autenticación multifactor usando sus UPNs, por ejemplo: Jane.Doe@contoso.com.

Preguntas frecuentes

¿Se pueden configurar las políticas de Specops Authentication para que solo se apliquen a grupos específicos?

Sí. Puede crear políticas para los Objetos de Política de Grupo deseados o el ámbito seleccionado.

¿Specops Authentication admite múltiples nombres de dominio?

Sí, siempre que los dominios de todas las direcciones de correo electrónico estén registrados con Microsoft Entra ID/O365.

¿Specops Authentication admite redundancia?

Sí, puede configurar y configurar Gatekeepers adicionales para redundancia.

¿Specops Authentication almacena algún dato personal o confidencial de negocios?

Los datos relacionados con la autenticación, incluidos los datos de registro, se almacenan directamente en sub-objetos de la cuenta de usuario en Active Directory. Specops Authentication no almacena una copia de su directorio. Los usuarios se aprovisionan directamente desde su Active Directory local a Microsoft Entra ID.

¿Cómo se autentican los usuarios con Specops Authentication?

Specops Authentication utiliza Tokens de Seguridad para autenticar a los usuarios. Cuando un usuario se registra con Specops Authentication, sus datos de registro se almacenan en un sub-objeto de su cuenta de usuario. Cuando un usuario intenta iniciar sesión en O365, Specops Authentication otorgará acceso de inicio de sesión único a través del token de Windows Integrated Authentication, o solicitará al usuario autenticarse con servicios de identidad adicionales de su registro. Esto dependerá de la política de autenticación configurada por el Administrador.

¿Se puede usar Specops Authentication con Microsoft Entra Connect?

Sí. Puede usar Microsoft Entra Connect para el aprovisionamiento; y Specops Authentication para la gestión de licencias, inicio de sesión único y autenticación multifactor.

¿Cómo se aloja Specops Authentication?

Specops Authentication se entrega como un servicio en la nube alojado, ejecutándose en Amazon Web Services, con el centro de datos ubicado en el este de EE. UU.

¿Se utiliza cifrado de datos para los datos en tránsito desde el Gatekeeper hasta Specops Authentication Cloud?

Sí, cifrado de doble capa entre el Gatekeeper y Specops Authentication Cloud. Todos los datos enviados desde los usuarios finales o Gatekeeper se verifican criptográficamente, tanto firmados como sellados.

¿Qué servicios de identidad/factores de autenticación admite nuestro producto?

Specops Authentication admite los siguientes servicios de identidad:
Identidad de Windows
Preguntas
Código móvil (SMS)
Specops Authenticator
Identificación del gerente
Specops Fingerprint
Google Authenticator
Microsoft Authenticator
Symantec VIP
Duo Security
Mobile Bank ID (Suecia)
Opciones sociales y de correo electrónico: Gmail, Yahoo, Twitter, Flickr, Live