Access Manager Plus » Características » Métodos de autenticación

La necesidad de autenticación de dos factores para el acceso remoto

La autenticación de un usuario antes de proporcionarle acceso a sistemas críticos es crucial para que las Enterprises se defiendan de los ataques cibernéticos. La combinación de nombre de usuario y contraseña ha sido durante mucho tiempo el método tradicional de autenticación de usuarios, aunque las contraseñas rara vez son únicas para el usuario. Sin embargo, cualquiera puede explotar las contraseñas comprometidas y débiles para acceder a una red corporativa, poniendo en riesgo a las organizaciones. Para contrarrestar tales riesgos, las Enterprises deben implementar un enfoque de defensa en profundidad de varias capas para la autenticación de usuarios.

Dada la naturaleza y el alcance de las actividades de acceso remoto y los derechos disponibles para un usuario privilegiado, las Enterprises deben incluir la autenticación de dos factores (2FA) en su estrategia de acceso remoto para mejorar la seguridad y la responsabilidad. Actualmente, muchos Standardes de cumplimiento como PCI-DSS, HIPAA y NERC-CIP requieren específicamente que las herramientas de acceso remoto implementen 2FA para otorgar acceso remoto a sistemas críticos. El incumplimiento de estos Standardes regulatorios por parte de cualquier organización podría arruinar su reputación e incurrir en multas significativas.

Access Manager Plus se integra con varias herramientas disponibles en el mercado para factores primarios y secundarios de autenticación, lo que ayuda a las organizaciones a adoptar una arquitectura 2FA fuerte y bien definida para cumplir con los requisitos de seguridad.

Factor principal de autenticación

Autenticación de Active Directory (AD)/Azure AD: Aproveche las capacidades de inicio de sesión único y autenticación de AD de Microsoft para sistemas basados ??en Windows para permitir que los usuarios inicien sesión en Access Manager Plus con sus credenciales de AD o Azure AD. Además, los usuarios que ya iniciaron sesión en sus aplicaciones de Windows con sus credenciales de directorio pueden iniciar sesión en Access Manager Plus sin proporcionar credenciales.

Configuración del Active Directory con Access Manager Plus
Importación de usuarios desde Active Directory

 

Autenticación del Protocolo ligero de acceso a directorios (LDAP): Cuando Access Manager Plus está instalado en un sistema Linux/Unix, los administradores pueden usar LDAP para autenticar a los usuarios desde cualquier directorio compatible con LDAP. LDAP es independiente del sistema operativo (SO); puede comunicarse con cualquier servicio de directorio independientemente del sistema operativo, incluido Windows AD.

?Autenticación basada en RADIUS: Los administradores que usan RADIUS como servicio de directorio dentro de su organización pueden usarlo como método de autenticación principal para iniciar sesión en Access Manager Plus. Pueden importar información de usuario desde el servidor RADIUS, sincronizar información de roles y también realizar la autenticación de usuario en tiempo real.

Inicio de sesión único (SSO): Un sistema SSO otorga acceso a múltiples sistemas con un solo conjunto de credenciales de inicio de sesión. Access Manager Plus admite SSO mediante autenticación basada en SAML para Okta, Azure AD y Active Directory Federation Services (ADFS), y mediante autenticación basada en NTLM para AD local. Tras la activación, los usuarios que ya iniciaron sesión en el sistema con sus credenciales de Okta, Azure AD, ADFS o AD se autenticarán automáticamente en Access Manager Plus utilizando los protocolos respectivos.

Autenticación de certificado/PKI de tarjeta inteligente: La interfaz web de Access Manager Plus es compatible con la tecnología de tarjetas inteligentes con autenticación de certificado de cliente SSL. Los administradores con un sistema de autenticación de tarjeta inteligente en su entorno pueden configurar Access Manager Plus para autenticar a un usuario con su tarjeta inteligente, obligándole a proporcionar su número de identificación personal (PIN) y certificado X.509 para iniciar sesión.

Autenticación local: Además de las opciones anteriores, Access Manager Plus incorpora una base de datos de autenticación, lo que lo convierte en un servidor de autenticación local. Por lo general, puede crear cuentas de usuario locales para usuarios temporales que no tienen cuentas en los servidores de su empresa y para administradores y usuarios privilegiados con fines de emergencia. El generador de contraseñas integrado se puede utilizar para generar contraseñas de acuerdo con la política aplicada por el administrador del sistema.

Factor secundario de autenticación

Contraseña única a través de correo electrónico: Envíe una contraseña única de un solo uso (OTP) a los usuarios por correo electrónico como factor secundario de autenticación. Esta OTP vence después de un período de tiempo estipulado.

Autenticación multifactor de Windows Azure: Anteriormente llamado PhoneFactor, este proveedor global líder de 2FA basado en teléfonos permite una seguridad simple y efectiva al realizar una llamada de confirmación al teléfono de un usuario durante el proceso de inicio de sesión.

Acceso a RSA SecurID: Esta aplicación genera un token de software, que suele cambiar cada 60 segundos. Después de proporcionar el primer factor de autenticación, el usuario debe ingresar un PIN y el código de token RSA SecurID correspondiente como factor secundario de autenticación.

Contraseña de un solo uso basada en el tiempo (TOTP): TOTP es parte de la arquitectura de seguridad de autenticación abierta (OAuth) y es una cadena numérica de caracteres generada automáticamente que autentica a un usuario y caduca después de un cierto período de tiempo. Access Manager Plus es compatible con cualquier autenticador basado en TOTP de terceros, como Google Authenticator, Microsoft Authenticator y Okta Verify.

2FA basado en RADIUS: Access Manager Plus se integra con cualquier sistema compatible con RADIUS, como Vasco Digipass, AuthAnvil o PingIdentity, para lograr 2FA. Tras una autenticación primaria exitosa, un usuario debe proporcionar el código RADIUS similar a un TOTP como factor secundario de autenticación.

Seguridad: Duo Security es un proveedor de servicios 2FA basados ??en la nube que permite a los usuarios iniciar sesión en Access Manager Plus a través de una aplicación móvil, un mensaje de texto o una llamada telefónica.

Clave Yubi: YubiKey es una clave de hardware que admite OTP, cifrado de clave pública y autenticación. Después de la autenticación primaria, un usuario debe insertar su YubiKey en el puerto USB de su computadora portátil o computadora para generar una OTP y proporcionarla como factor secundario para una autenticación exitosa.

Configuración de autenticación TFA - Access Manager Plus
Configurar la autenticación de dos factores