2FA: Guía de Uso

Estas aquí:
Tiempo estimado de lectura: 2 min

Guía complemento 2FA

1. Descripción

2FA es un complemento integrado en TSplus, que protege las conexiones HTML5 con una capa extra de seguridad. Todo usuario para el que se active el 2FA, deberá escribir un código adicional de validez temporal mediante una app de autenticación como Google Authenticator, Microsoft Authenticator o Authy.

De este modo, para que un usuario inicie sesión en el servidor se le requerirán dos cosas:

  1. Algo que sabe (su usuario/contraseña)
  2. Algo que tiene (su smartphone)

2. Activación

AdminTool > Add-ons > Two Factor Authentication > Enable 2FA:

  • Opción A: Para servidores independientes o bien para el servidor Gateway de una granja.
  • Opción B: Para los servidores de aplicaciones de una granja.

3. Alta de usuarios

Two Factor Authentication > Manage users. Se añaden los grupos/usuarios para los que se desea activar la protección 2FA:

4. Autenticación de usuarios

La próxima vez que un usuario dado de alta vaya a iniciar sesión en el portal web, le aparecerá un mensaje en pantalla mostrando un código QR, el cual contiene su clave privada:

Esta clave privada será capturada por el usuario mediante su aplicación de autenticación, escaneando el código QR con la cámara. El siguiente ejemplo es de Google Authenticator:

Una vez hecho, la aplicación le genera un código válido cada 30 segundos:

A partir de ese momento, además de las credenciales habituales, el portal web le exigirá un segundo factor de autenticación para iniciar sesión:

5. Reinicio de la clave privada

En caso de pérdida o rotura del dispositivo de autenticación de un usuario, se deberá reiniciar su clave privada. Para ello:

  1. Two Factor Authentication > Manage users
  2. Una vez seleccionado el usuario se pulsa el botón Reset
  3. A continuación, el usuario deberá volver a capturar su clave privada como se describe en el punto 4.

6. Ajustes adicionales

Lista blanca de usuarios:
Por defecto, a todo usuario dado de alta en 2FA, se le deniega el acceso vía RDP. Es posible hacer excepciones a este comportamiento añadiéndolos a Lista blanca.

Avanzados:

  • Discrepancy:
    Se trata del tiempo, en ambos sentidos y medido en ciclos de vida (30s), que el servidor acepta un código desde el momento de su generación. La intención de esta configuración es paliar desajustes en la hora entre el servidor y los dispositivos de autenticación. Se aconseja reducirla a sus necesidades.
  • Issuer:
    El nombre del servicio 2FA, el cual aparecerá en la aplicación móvil.
  • Los siguientes ajustes solo afectan al uso con el Portal de aplicaciones (en el cual cada aplicación abierta conlleva un inicio de sesión):
    • Validity After First Session:
      Es el periodo de tiempo, medido en minutos y contando a partir de la primera aplicación abierta, que se permite al usuario seguir abriendo aplicaciones sin requerirse un nuevo código 2FA
    • Validity Before First Session:
      Es el periodo de tiempo, medido en segundos y contando a partir de la autenticación, que se permite al usuario abrir una aplicación
  • Digits:
    Longitud del código de autenticación en número de dígitos.
Was this article helpful?
Dislike 0
Views: 21
Menú