Autenticación de Doble Factor

La autenticación de dos factores añade una capa adicional de seguridad e impide el acceso a la sesión de sus usuarios incluso si alguien conoce su contraseña.

Se utiliza una combinación de dos factores diferentes para lograr un mayor nivel de seguridad:

1) algo que conocen, una contraseña.
2) algo que tienen, un dispositivo -como un smartphone- con una aplicación de autenticación instalada.

Puedes utilizar una de las siguientes aplicaciones de autenticación para proceder. Estas aplicaciones están disponibles en una amplia gama de plataformas:
– Authy
– Google Authenticator
– Microsoft Authenticator

Cada vez que un usuario inicie su sesión remota necesitará su contraseña y un código de verificación disponible desde su teléfono móvil. Una vez configurada, la aplicación del Autenticador mostrará un código de verificación que le permitirá iniciar la sesión en cualquier momento. Funciona incluso si su dispositivo está desconectado.

También puede decidir recibir los códigos de verificación por SMS. En este caso, tendrá que crear una cuenta gratuita en Twilio.

La autenticación de dos factores está disponible con conexiones HTML5 y Remoteapp sólo en el portal web de TSplus, en TSplus Mobile Web y en las ediciones Enterprise. Este modo de autenticación no admite el inicio de sesión a través del cliente de Escritorio Remoto.

Para proporcionar una solución aún más segura, las conexiones RDP se deniegan a los usuarios con 2FA activado.

Como requisito previo, el servidor TSplus y los dispositivos deben estar en hora. Consulte más adelante las secciones Sincronización de la hora y Ajustes para obtener más información sobre la configuración.

También se requiere el framework .NET versión 3.5 o superior.

Activación de la licencia del complemento de autenticación de dos factores (2FA)

La función de autenticación de doble factor se encuentra en la pestaña de complementos (Add-Ons) de la herramienta de administración:

Está disponible como prueba de 15 días. Para activar su licencia el procedimiento es el mismo que para activar cualquier otro producto de TSplus.

A continuación, vaya a la pestaña Licencia y haga clic en el botón “Activar su licencia”:

Habilitar la autenticación de Doble factor

Realice los siguientes pasos para habilitar la autenticación de doble factor para su servidor o despliegue de TSplus. Si su despliegue de TSplus está configurado para utilizar varios servidores, realice esta tarea en el servidor de TSplus expuesto como punto único de entrada para los usuarios o que tenga el “rol de proxy inverso”.

1) Abra la aplicación de administración de la autenticación de dos factores. Se muestra el estado de la autenticación de dos factores y el estado de la licencia:

Por defecto, el complemento está habilitada para la pasarela TSplus y los servidores de aplicaciones independientes. “Enable 2FA for the gateway and stand-alone application servers”.

2) Puede habilitarlo sólo para los servidores de aplicaciones TSplus, de esta manera cualquier conexión que no provenga del Gateway indicado será rechazada. Deberá introducir la URL del servidor de autenticación:

3) O desactivarlo “Disable two-factor authentication on this server”:

Añadir Usuarios y Grupos

Una vez habilitada, puede configurar los usuarios para la Autenticación de Doble Factor.

1) Desde la aplicación de administración de la autenticación de dos factores, haga clic en la pestaña “Manage Users“.

2) A continuación, haga clic en “Add User” o en “Add Group” para seleccionar usuarios y/o grupos de usuarios.

3) Añada tantos usuarios y grupos como necesite y haga clic en Aceptar. Los usuarios y grupos se añaden a la lista y se habilitan para la autenticación de Doble Factor.

Editar Usuarios

En el mismo apartado, puede editar la forma en que los usuarios reciben los códigos de verificación seleccionando un usuario y haciendo clic en el botón “Editar”:

El usuario recibe los códigos de verificación en la Aplicación de Autenticación por defecto. Puede elegir también que lo reciba por SMS seleccionando la opción y añadiendo el número de teléfono del usuario en el campo inferior.

Eliminar Usuarios y Grupos

Para eliminar usuarios o grupos, seleccione el usuario o el grupo y haga clic en Eliminar. Aparecerá un mensaje de confirmación.

Haga clic en “Yes”. El usuario o el grupo se elimina de su lista y ya no se conectará utilizando la autenticación de dos factores.

Restablecer la Configuración de los Usuarios

En caso de pérdida del dispositivo de autenticación para un usuario, o si el usuario necesita volver a mostrar el código QR secreto, debe restablecer la configuración de autenticación del usuario.

1) Desde la aplicación de administración de la Autenticación de Doble Factor, haga clic en la pestaña “Manage Users”.

2) Seleccione uno o varios usuarios activados y haga clic en “Reset”. Aparecerá un mensaje de confirmación:

3) Haga clic en “Yes”. Los usuarios seleccionados recibirán un nuevo código QR en el próximo inicio de sesión y tendrán que escanearlo en la aplicación de Autenticación de su dispositivo.
También puede modificar el número de teléfono del usuario para que pueda recibir un código de verificación en su nuevo dispositivo.

Inscribir al usuario en la Autenticación de Doble Factor

Una vez que un usuario ha sido habilitado para utilizar la Autenticación de Doble Factor, se mostrará un mensaje de activación en su próximo inicio de sesión exitoso desde el portal web de TSplus.

Recibir códigos con una Aplicación de Autenticación

El usuario debe instalar una aplicación de Autenticación en un dispositivo portátil, como su smartphone.

Puede utilizar una de las siguientes Aplicaciones para proceder. Estas aplicaciones están disponibles en una amplia gama de plataformas:
– Google Authenticator
– Microsoft Authenticator
– Authy

Utilice la documentación de cada aplicación para obtener más detalles sobre cómo proceder para añadir su cuenta TSplus. También por favor revise este video y este artículo de nuestra Base de Conocimiento.

Configurar los SMS

Para que el usuario reciba los códigos de verificación por SMS, primero debe habilitarlo. Haga clic en la pestaña Configurar SMS:

TSplus aprovecha “Twilio” para enviar los códigos de verificación por SMS. “Twilio” es una plataforma en la nube de terceros, no afiliada a TSplus.

1) Cree una cuenta gratuita en Twilio haciendo clic en el botón “Comience su prueba gratuita con Twilio”:

2) En el Tablero de su cuenta Twilio, tendrá que activar su número de prueba:

3) El siguiente paso sólo es necesario para las versiones de prueba. Permite a “Twilio” verificar el número de teléfono real en el que se enviarán los SMS.
Introduzca este número en el menú “Phone Numbers” pestaña – “Verified Caller IDs” :

4) A continuación, podrá introducir el SID de su cuenta, el token de autenticación y el número de prueba como número de teléfono en la pestaña Configurar SMS de TSplus::

A continuación, haga clic en Guardar. Aparecerá el siguiente mensaje:

Puede gestionar su suscripción a “Twilio” en la sección “Manage Twilio subscription”, en la parte inferior de la pestaña “Configure SMS”. Administre su cuenta, vea el estado del servicio o llegue al Centro de soporte de “Twilio” con sólo hacer clic en los botones correspondientes.

Iniciar sesión con la Autenticación de Doble Factor

Una vez que un usuario ha configurado su cuenta TSplus en su app autentificadora, podrá conectarse utilizando su contraseña y el código proporcionado por su app autentificadora o por SMS.

Sincronización horaria

El servidor TSplus y los dispositivos deben estar sincronizados. Esto significa que la hora y fecha del servidor deben estar sincronizadas con un servidor horario. Los dispositivos también deberán tener la hora sincronizada, independientemente de la zona horaria en la que estén configurados.

Si una solicitud de autenticación proviene de un Dispositivo cuya fecha y hora no están sincronizadas, o si la fecha y hora del servidor no están sincronizadas, esta solicitud puede ser rechazada.

La validación de la información entre el Dispositivo y el servidor se refiere a la hora “UTC“.
En la sección de “Settings“, dentro del apartado “Advanced” el parámetro “Discrepancy” se utiliza para gestionar el periodo de validez del código, en intervalos de 30 segundos.

Ejemplo de validación o autentificación válida:

• el Servidor está sincronizado con un servidor horario, la zona horaria es UTC + 2, son las 14:30
• el Dispositivo está sincronizado con un servidor horario, la zona horaria es UTC + 1, son las 13:30
• el parámetro “Discrepancy” está configurado a 60, es decir, un período de validez del código de 30 minutos
• referido a la hora UTC, la hora del dispositivo y la del servidor son idénticas.

Ejemplo de validación o autentificación no válida:

• el Servidor está sincronizado con un servidor horario, la zona horaria es UTC + 2, son las 14:30
• el Dispositivo no está sincronizado con un servidor horario, la zona horaria es UTC-1, la hora se ajusta manualmente a las 13:30
• el parámetro “Discrepancy” está configurado a 60, es decir, un período de validez del código de 30 minutos
• la hora del Servidor referida a la hora UTC es 12:30 am
• la hora comunicada por el Dispositivo, referida a la hora UTC, es las 14:30 horas
• la diferencia es de 120 minutos, por lo que el código de validación es rechazado.

Ajustes

La pestaña “Settings” le permite poner en lista blanca a los usuarios para que puedan conectarse mediante un cliente RDP, sin necesidad de introducir un código de doble autenticación.

Haga clic en el botón “Add” para añadir un usuario y elimine un usuario seleccionándolo y haciendo clic en el botón “Remove”.

La pestaña “Advanced” le permite configurar la autenticación de Doble factor en profundidad.

“Discrepancy”

Puede modificar el valor de Discrepancia, que le permite establecer el tiempo de validación de un código de verificación.
Una discrepancia de 3 significa que el mismo código de verificación sigue siendo válido 90 segundos hacia atrás y hacia delante de su periodo de validez original de 30 segundos. El valor por defecto es 480, lo que significa que 480 x 30 segundos= 4 horas.

“Issuer” -Emisor

Cadena que indica el nombre del servicio de Autenticación de Doble factor. El emisor se muestra en la aplicación móvil del cliente e identifica el servicio asociado al código de verificación generado. Por defecto, está compuesto por el nombre del servidor con TSplus.

“Validity After First Session” Validez después de la primera sesión

Período durante el cual un usuario puede abrir una sesión sin tener que revalidar un código de autenticación de dos factores anterior. Este ajuste permite a los usuarios abrir aplicaciones desde el portal de aplicaciones web sucesivamente. El valor predeterminado es de 480 minutos.

“Validity Before First Session” Validez antes de la primera sesión

Período durante el cual un usuario puede abrir una sesión después de validar un código de autenticación de dos factores desde el portal web o desde la aplicación móvil, en segundos. El valor predeterminado es 3600 segundos.

“Digits” Dígitos

El número de dígitos que se mostrarán al usuario. Tenga en cuenta que esta configuración puede no ser compatible con las aplicaciones de autenticación. Este número debe ser mayor o igual a 4 y menor o igual a 12. El valor por defecto es 6.

“SMS Verification Code Message” Mensaje de código de verificación por SMS

Mensaje enviado a los usuarios solicitando un código de verificación si están configurados para recibirlo por SMS. Este mensaje debe contener el marcador de posición %CODE% que será sustituido por el código de verificación real. Por defecto es: Su código de verificación %ISSUER% es: %CODE%