Specops uReset

El contenido aquí está destinado a clientes de uReset que utilizan el Authentication Gatekeeper (versión 8.0 o posterior).

Specops uReset aprovecha el modelo de identidad basado en declaraciones para proporcionar autenticación multifactor flexible para fortalecer la seguridad del restablecimiento de contraseñas, mientras minimiza el impacto en los usuarios finales. La solución extiende la funcionalidad de uReset con idiomas adicionales, redundancia de Gatekeeper, así como la capacidad de extender inscripciones al inicio de sesión de Office 365, si la función de O365 está habilitada.

Conceptos Centrales

Restablecimiento de Contraseña

El proceso de cambiar una contraseña olvidada. Un restablecimiento de contraseña puede ser realizado por un usuario que verificó su identidad usando autenticación multifactor. El usuario puede restablecer sus contraseñas usando el web de uReset, al que se puede acceder desde cualquier navegador web (no antiguo), incluidos los navegadores de teléfonos móviles.

Autenticación

La autenticación es el proceso de verificar la identidad de un usuario. Normalmente, esto requiere que el usuario haga una declaración sobre su identidad ingresando su nombre de usuario y contraseña.

Inscripción

Se requiere que los usuarios se inscriban con Specops Authentication. El proceso de inscripción variará para cada tipo de servicio de identidad. Para inscribirse con un servicio de identidad personal como Google, los usuarios deberán seguir el enlace desde la aplicación web de Specops a la página web de Google e iniciar sesión con la dirección de correo electrónico y la contraseña asociadas a su cuenta de Google. Cuando un usuario afectado por una política de uReset que utiliza Google se inscribe en el servicio, se almacena un identificador único en el objeto de usuario en Active Directory.

Autenticación multifactor

La autenticación multifactor requiere más de un método de autenticación de categorías independientes de credenciales: algo que sabes (es decir, contraseña), algo que tienes (es decir, dispositivo móvil) y algo que eres (es decir, huella digital). Specops uReset va más allá de la autenticación de dos factores al admitir una amplia gama de servicios de identidad que se pueden usar para aumentar la seguridad y la flexibilidad. La solución no solo admite autenticadores comunes, como preguntas y respuestas, y códigos de verificación móvil, sino también varios servicios de identidad digital que van desde servicios de identidad personal (por ejemplo, LinkedIn) hasta servicios de identidad de empresa (por ejemplo, salesforce.com), además de métodos de mayor confianza como las tarjetas inteligentes. El modelo de autenticación multifactor de Specops es dinámico. Los usuarios pueden elegir qué servicios de identidad desean combinar para la inscripción y la autenticación, siempre que cumplan con los requisitos de la política. Los usuarios inscritos con más servicios de identidad de los requeridos para su autenticación tendrán opción de autenticación. Esto garantiza que los usuarios finales siempre tendrán la capacidad de satisfacer la política de autenticación, incluso si un servicio de identidad no está disponible (por ejemplo, no tener su teléfono móvil cerca).

Los administradores pueden seleccionar, según el rol y la política de seguridad, qué servicios de identidad/autenticadores desean extender a los usuarios finales para verificar su identidad al restablecer o desbloquear sus cuentas. Tal flexibilidad puede asegurar que se cumplan las necesidades de seguridad y flexibilidad variables. Por ejemplo:

Para usuarios que tienen una autorización de seguridad de bajo nivel, pero una alta necesidad de flexibilidad, como estudiantes, los administradores de TI pueden permitirles autenticarse con algunos servicios de identidad personal como su ID de Google.
Para usuarios que tienen una autorización de seguridad de nivel superior, como administradores de ayuda financiera o ejecutivos de alto nivel, los administradores de TI pueden asignar políticas que impongan un mayor número o una combinación más fuerte de servicios de identidad. Este enfoque proporciona a los administradores la flexibilidad que necesitan para imponer políticas que se traduzcan en mayor seguridad y eficiencia.

Política

Una política contiene las reglas requeridas para la inscripción y la autenticación multifactor. Una política controla qué servicios de identidad se pueden usar y cuántos deben usarse para verificar la identidad de los usuarios finales. El administrador del sistema es responsable de configurar las reglas en las políticas.

Servicios de identidad

Los servicios de identidad permiten a los usuarios identificarse de manera segura al iniciar sesión. Los servicios de identidad se dividen en múltiples categorías, incluyendo: nombre de usuario y contraseña, social (LinkedIn, Tumblr) y de mayor confianza (Google Authenticator, Microsoft Authenticator, Duo Security).

Para usar varios servicios de identidad para autenticar usuarios, el servicio de identidad debe estar configurado (habilitado) en Authentication Web, y el usuario afectado por la política debe inscribirse con el servicio de identidad. Una vez que un usuario se ha inscrito, puede usar el servicio de identidad para autenticarse. Specops Authentication utiliza datos de objetos de usuario en Active Directory para leer y escribir información utilizada en el sistema.

A continuación se muestra una lista de todos los servicios de identidad disponibles en Specops Authentication.

Estándar

Specops Fingerprint: Specops Fingerprint permite a los usuarios inscribirse y autenticarse usando dispositivos con escáneres de huellas digitales, como teléfonos inteligentes y tabletas. Los usuarios pueden presionar su dedo en el escáner de huellas digitales de su dispositivo para identificarse instantáneamente. Los usuarios también pueden usar Face ID para autenticarse, si poseen un iPhone X y superior. Para usar este servicio de identidad, los usuarios deben tener la aplicación instalada en su dispositivo móvil.
Specops Authenticator: Los usuarios pueden autenticarse usando la aplicación Specops Authenticator. Los usuarios escanean un código QR o ingresan una clave secreta. Specops Authenticator luego proporciona a los usuarios una contraseña de un solo uso de seis dígitos, que debe ingresarse para autenticarse con éxito.
Código Móvil (SMS): Los usuarios recibirán una contraseña de un solo uso de seis dígitos a través de un mensaje SMS, que debe ingresarse para autenticarse con éxito.
Correo Electrónico: el correo electrónico del usuario se utiliza como un servicio de identidad enviando un código a la dirección de correo electrónico registrada que el usuario luego debe ingresar en el campo en pantalla. Correo Electrónico no requiere inscripción, ya que hace referencia a la dirección de correo electrónico en el atributo de correo electrónico en AD (o cualquier otro atributo si se sobrescribe); solo se puede usar con dominios asociados con Specops Authentication.
Correo Electrónico Personal: el correo electrónico del usuario se utiliza como un servicio de identidad enviando un código a la dirección de correo electrónico registrada que el usuario luego debe ingresar en el campo en pantalla. Correo Electrónico Personal debe ser registrado en la inscripción por el usuario y pueden usar cualquier dirección de correo electrónico de su elección.
Ubicaciones de Red Confiables: Ubicaciones de Red Confiables es un servicio de identidad que permite a los administradores designar ciertos rangos de IP como Ubicaciones de Red Confiables.
Identificación del Gerente: Cuando un usuario se autentica usando Identificación del Gerente, se envía un correo electrónico o mensaje SMS a su gerente. Su gerente debe aprobar la solicitud de autenticación. Los administradores pueden personalizar la notificación que se envía, agregando información personalizada a la notificación de solicitud. Para hacer uso de la Identificación del Gerente, cada usuario debe tener un gerente asignado en Active Directory, y las cuentas de los gerentes deben tener una dirección de correo electrónico/número de teléfono móvil asociado con su perfil para recibir solicitudes de autenticación de los usuarios.
Preguntas Secretas: Los usuarios pueden seleccionar preguntas de una lista predeterminada y especificar las respuestas a ellas. Luego deben responder estas preguntas para autenticarse con éxito.

Terceros

Nota

En la mayoría de los casos, la inscripción con servicios de identidad de terceros debe ser manejada por los usuarios individualmente.

PingID: Con PingID, los usuarios pueden autenticarse usando la aplicación móvil PingID.
Duo Security: Con Duo Security, los usuarios pueden autenticarse usando la aplicación móvil Duo Security.
Freja: Con Freja, los usuarios pueden autenticarse usando la aplicación móvil Freja.
Okta: Los usuarios pueden inscribirse y autenticarse usando las credenciales de su cuenta de Okta. Esto se puede hacer a través de la aplicación de Okta y enviando códigos a través de mensajes de texto.
RSA SecurID: Los usuarios pueden usar su RSA Authenticator para autenticarse.
Symantec VIP: Los usuarios pueden autenticarse usando la aplicación móvil Symantec VIP.
Google Authenticator: Google Authenticator es una aplicación que genera contraseñas de un solo uso. Se genera una clave secreta y se presenta en forma de un código QR que el usuario escanea. Google Authenticator luego proporciona a los usuarios una contraseña de un solo uso de seis a ocho dígitos, que debe ingresarse para autenticarse con éxito.
Microsoft Authenticator: Microsoft Authenticator es una aplicación que genera contraseñas de un solo uso. Se genera una clave secreta y se presenta en forma de un código QR que el usuario escanea. Microsoft Authenticator luego proporciona a los usuarios una contraseña de un solo uso de seis a ocho dígitos, que debe ingresarse para autenticarse con éxito.
SITHS eID (Suecia): SITHS eID es un servicio de autenticación basado en tarjeta inteligente, que permite a los empleados (como profesionales médicos) de autoridades, municipios y consejos de condado en Suecia identificarse electrónicamente.
Mobile BankID (Suecia): Si los usuarios tienen la aplicación Mobile BankID, pueden usarla para verificar su identidad.

Nota

Los usuarios tendrán que escanear un código QR en la aplicación Mobile BankID para autenticarse con este servicio de identidad.
Yubikey: La Yubikey es un dispositivo de autenticación de hardware. Los usuarios pueden autenticarse generando Contraseñas de Un Solo Uso (OTP) con su Yubikey (solo si la Yubikey admite Yubico OTP como función de seguridad). Para obtener más información sobre Yubikey, consulte la página de Yubikey.
Passkeys: Los usuarios pueden autenticarse con passkeys que ya han configurado en su dispositivo. Las passkeys son credenciales digitales (autenticadores), vinculadas a una cuenta de usuario y a un sitio web o aplicación. Algunos ejemplos de passkeys son Windows Hello, Yubikey, Bitwarden y cualquier aplicación de autenticación como Google Authenticator.
Entra ID: permite que Specops Authentication se integre con las Bibliotecas de Autenticación de Microsoft. Microsoft Authenticator se puede usar para autenticarse con Specops Authentication sin usar una contraseña.

Federado

Google: Los usuarios pueden inscribirse y autenticarse usando las credenciales de su cuenta de Google.
Microsoft Live: Los usuarios pueden inscribirse y autenticarse usando las credenciales de su cuenta de Microsoft Live. Las credenciales de Microsoft Live se utilizan para iniciar sesión en la nube de Microsoft, incluyendo: Outlook, Office Online, OneDrive, Skype, Xbox Live y la tienda de Microsoft.
LinkedIn: Los usuarios pueden inscribirse y autenticarse usando sus credenciales de LinkedIn.

Arquitectura y Diseño

Specops uReset está integrado de forma nativa con Active Directory. La configuración del sistema se realiza utilizando la Política de Grupo, sin introducir complejidad adicional en su entorno. Esto significa que no se requiere una base de datos externa para almacenar información relacionada con contraseñas. Los datos de usuario se almacenan directamente en los objetos de usuario de la Política de Grupo, minimizando el riesgo de seguridad mientras se asegura una provisión de contraseñas en tiempo real inherente.

Specops uReset consta de los siguientes componentes y no requiere recursos adicionales en su entorno. El backend de autenticación, web y servicios de identidad están alojados en la nube. Solo necesitará instalar el componente Gatekeeper.

Texto alternativo para esta imagen

Nube de Autenticación: El componente global en la nube de uReset, la nube de autenticación contiene el web (front-end para usuarios finales) y los servicios de backend.

Web de Autenticación: Contiene el front-end para usuarios finales y administradores. El Web de Autenticación se puede usar para ver información del sistema y gestionar varios aspectos del producto, incluidas configuraciones a nivel de sistema y políticas de autenticación multifactor para varios recursos, incluido uReset.

Backend de Autenticación: Para leer información de usuario de Active Directory, el backend se comunica con el Gatekeeper. El web y los servicios de identidad también se comunican con el backend. El backend de autenticación valida la identidad de un usuario basado en los tokens de servicios de identidad individuales.

Gatekeeper: El Gatekeeper necesita ser instalado en un servidor en su dominio. El Gatekeeper lee información de usuario de Active Directory y gestiona todas las operaciones contra Active Directory, como leer/escribir datos de inscripción.

Servicios de identidad: Una entidad que puede validar la identidad de un usuario en uReset. Los tokens de servicios de identidad individuales son utilizados por el backend para validar la identidad de un usuario.

Algunos de los servicios de identidad que se utilizan durante la autenticación, como Google, son externos. Cuando se utiliza un servicio de identidad externo, se envía al usuario al servicio de identidad y se le pide que dé su consentimiento a Specops para acceder a su información personal, como su nombre de usuario. La información del consentimiento permite la creación del token que se utiliza para la autenticación.

Token: Un token o un token de seguridad es un portador de información sobre un usuario y sobre el emisor del token. La información sobre un usuario es un conjunto de declaraciones. Las declaraciones sobre un usuario pueden ser, por ejemplo, el nombre del usuario, el ID del cliente al que pertenece y qué roles tiene un usuario en su organización.

Nota

No se incluye ningún dato personal identificable ni contraseñas en los tokens.

Funciones y capacidades

Informes

La función de Informes de uReset le permite rastrear su proceso de inscripción y proporciona varios informes sobre inscripciones, eventos y utilización de servicios de identidad.

Personalizaciones

La aplicación web de uReset contiene varias funciones de personalización que le dan control sobre la interfaz de usuario final de Specops uReset. Puede personalizar los elementos gráficos de la aplicación web de Specops uReset, incluido el logotipo principal. También puede personalizar el texto mostrado al usuario final, para todos los idiomas compatibles.

Notificaciones de Eventos

Specops uReset contiene varias opciones de notificación para recordar a los usuarios que se inscriban y fomentar el autoservicio. El método de notificación se controla a través de la configuración de GPO. Specops uReset admite notificaciones por correo electrónico y SMS cuando ocurren ciertos eventos del sistema, como cuando un usuario se inscribe en el sistema. Specops uReset tiene la capacidad de generar y enviar correos electrónicos a los usuarios finales para confirmar que la operación fue exitosa.

Servicios de Identidad Ponderados

El motor de autenticación multifactor de uReset permite al administrador asignar un peso específico para cada servicio de identidad, decidiendo en última instancia que un servicio de identidad vale el doble que otro durante la autenticación. En las interfaces de usuario, tanto para los usuarios finales como para el administrador, los pesos se representan con estrellas.

Autenticación Multifactor para Administradores y usuarios del Helpdesk

Los usuarios que forman parte del grupo de Administradores y Helpdesk pueden usar la autenticación multifactor para verificar su identidad al acceder a las páginas de Administración de Usuarios en el Web de Autenticación.

Credenciales en Caché: Restablecer una contraseña de forma remota

Si un usuario está fuera de la oficina y olvida su contraseña, necesita poder restablecerla sin regresar a la oficina.

En circunstancias normales, cuando un usuario inicia sesión en una computadora unida al dominio mientras está en la oficina, se almacena localmente una copia en caché de su hash de contraseña. Esto permite que la computadora verifique al usuario, incluso si no se puede alcanzar un Controlador de Dominio para la autenticación.

Sin embargo, si el usuario está fuera de la oficina, restablece su contraseña de Active Directory y no se puede alcanzar un Controlador de Dominio, la nueva contraseña no estará presente en la caché en la computadora local. En este escenario, un usuario que ha olvidado su contraseña antigua quedará bloqueado de su computadora.

Specops uReset y Specops Password Reset pueden actualizar las credenciales en caché incluso cuando no se puede alcanzar un Controlador de Dominio. Esto se puede hacer desde el enlace Restablecer Contraseña en la pantalla de inicio de sesión de una máquina donde está instalado el Specops Client.

Aplicaciones Móviles

Specops Authenticator

La aplicación Specops Authenticator es un servicio de identidad de alta confianza, que convierte el dispositivo móvil en un dispositivo de token seguro. La aplicación genera un código secreto que los usuarios deben proporcionar además de su nombre de usuario al autenticar su identidad durante un restablecimiento de contraseña. Los códigos generados se basan en tokens de seguridad del Algoritmo de Contraseña de Un Solo Uso Basado en Tiempo estándar de la industria, por lo que Specops Authenticator puede trabajar con ambos, Google y Microsoft Authenticators.

Specops Password Reset

uReset contiene una aplicación móvil, disponible en Windows Store, Google Play y App Store, que se puede usar como una alternativa segura para restablecer contraseñas y desbloquear cuentas. La aplicación móvil está disponible para cualquier organización que permita a los usuarios restablecer su contraseña de forma remota.

Specops Fingerprint Authenticator

La aplicación Specops Fingerprint Authenticator le permite autenticarse en el servicio de restablecimiento de contraseña de uReset usando la función de reconocimiento de huellas digitales Touch ID integrada en su iOS, o la función de escaneo de la API de huellas digitales integrada en su sistema operativo Android 6.0 o más reciente.