Administrar la autenticación en dos fases en Skype Empresarial Server
Resumen: Administre la autenticación en dos fases en Skype Empresarial Server.
La autenticación en dos fases proporciona seguridad mejorada al exigir a los usuarios que proporcionen dos formas de autenticación o identificación, específicamente una combinación de nombre de usuario/contraseña y un token o certificado. Esto también se conoce como "algo que tienes, algo que sabes".
Un ejemplo típico de autenticación en dos fases con un certificado es el uso de tarjetas inteligentes. Una tarjeta inteligente contiene un certificado asociado con la cuenta del usuario y se puede validar con información de certificado y usuario almacenada en un servidor. Al comparar la información del usuario (nombre de usuario y contraseña) con el certificado proporcionado, el servidor valida las credenciales y autentica al usuario.
Tenga en cuenta los siguientes asuntos al configurar un entorno de Skype Empresarial Server para admitir la autenticación en dos fases.
Compatibilidad con clientes
La Novedades acumulativa para Lync Server 2013: el cliente de escritorio de julio de 2013 y el cliente de Skype Empresarial son los únicos clientes que actualmente admiten la autenticación en dos fases.
Requisitos de topología
Se recomienda a los clientes implementar la autenticación en dos fases con Skype Empresarial Server dedicados con Grupos de usuarios, Director y Edge. Para habilitar la autenticación pasiva para los usuarios, es necesario deshabilitar otros métodos de autenticación para otros roles y servicios, incluidos los siguientes:
| Tipo de configuración | Tipo de servicio | Rol de servidor | Tipo de autenticación para deshabilitar |
|---|---|---|---|
| Servicio web |
WebServer |
Director |
Kerberos, NTLM y certificado |
| Servicio web |
WebServer |
Front-end |
Kerberos, NTLM y certificado |
| Proxy |
EdgeServer |
Perimetral |
Kerberos y NTLM |
| Proxy |
Registrador |
Front-end |
Kerberos y NTLM |
A menos que estos tipos de autenticación se deshabiliten en el nivel de servicio, ninguna de las demás versiones del cliente podrá iniciar sesión correctamente una vez que la autenticación en dos fases esté habilitada dentro de la implementación.
Detección de servicios de Skype Empresarial
Los registros DNS que usan los clientes internos y/o externos para detectar servicios de Skype Empresarial deben configurarse para resolverse en un servidor de Skype Empresarial que no está habilitado para la autenticación de dos factores. Con esta configuración, los usuarios de los grupos de Skype Empresarial que no están habilitados para la autenticación de dos factores no serán necesarios para introducir un PIN para autenticar, mientras que los usuarios de los grupos de Skype Empresarial que están habilitados para la autenticación de dos factores serán necesarios para introducir su PIN para autenticar.
Autenticación de Exchange
Es posible que los clientes que hayan implementado la autenticación en dos fases para Microsoft Exchange encuentren que determinadas características del cliente no están disponibles. Este comportamiento se debe al diseño, ya que el cliente de Skype Empresarial no admite la autenticación en dos fases para las características que dependen de la integración de Exchange.
Contactos
Skype Empresarial usuarios configurados para usar la característica almacenamiento de contactos unificados verán que sus contactos ya no están disponibles después de iniciar sesión con la autenticación en dos fases.
Debe usar el cmdlet Invoke-CsUcsRollback para quitar los contactos de usuario existentes del almacenamiento de contactos unificado y almacenarlos en Skype Empresarial Server antes de habilitar la autenticación en dos fases.
Búsqueda de aptitudes
Los clientes que hayan configurado la característica de búsqueda de aptitudes en su entorno de Skype Empresarial descubrirán que esta característica no funciona cuando Skype Empresarial está habilitada para la autenticación de dos factores. Esto sucede por diseño, ya que Microsoft SharePoint no admite actualmente la autenticación en dos fases.
Credenciales
Hay una serie de consideraciones de implementación que implican credenciales de Skype Empresarial guardadas que pueden afectar a los usuarios que están configurados para usar la autenticación en dos fases.
Eliminación de credenciales guardadas
Los usuarios deben usar la opción Eliminar mi información de inicio de sesión en el cliente de Skype Empresarial y eliminar su carpeta de perfil SIP de %localappdata%\Microsoft\Office\15.0\Skype Empresarial antes de intentar iniciar sesión por primera vez con la autenticación en dos fases.
DisableNTCredentials
Con el método de autenticación Kerberos o NTLM, las credenciales de Windows del usuario se usan automáticamente para la autenticación. En una implementación típica de Skype Empresarial Server en la que Kerberos y/o NTLM están habilitados para la autenticación, los usuarios no deben tener que escribir sus credenciales cada vez que inicien sesión.
Si se les solicitan de manera no intencionada las credenciales a los usuarios antes de que se les pida especificar su PIN, la clave del Registro DisableNTCredentials puede configurarse de manera no intencionada en los equipos cliente, posiblemente a través de la directiva de grupo.
Para evitar que se le soliciten credenciales adicionales, cree la siguiente entrada del Registro en la estación de trabajo local o use la plantilla administrativa Skype Empresarial para aplicarla a todos los usuarios de un grupo determinado mediante directiva de grupo:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync
REG_DWORD: DisableNTCredentials
Valor: 0x0
SavePassword
Cuando un usuario inicia sesión en Skype Empresarial por primera vez, se le pide que guarde su contraseña. Si se selecciona, esta opción permite almacenar el certificado de cliente del usuario en el almacén de certificados personal y almacenar las credenciales de Windows del usuario en el Administrador de credenciales del equipo local.
La configuración del Registro SavePassword debe deshabilitarse cuando Skype Empresarial esté configurado para admitir la autenticación en dos fases. Para evitar que los usuarios guarden sus contraseñas, cambie la siguiente entrada del Registro en la estación de trabajo local o use la plantilla administrativa Skype Empresarial para aplicarla a todos los usuarios de un grupo determinado mediante directiva de grupo:
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync
REG_DWORD: SavePassword
Valor: 0x0
Reproducción de tokens de AD FS 2.0
AD FS 2.0 proporciona una característica que se conoce como detección de reproducción de tokens, con la cual varias solicitudes de tokens que usan el mismo token se pueden detectar y descartar. Cuando esta característica está habilitada, la detección de reproducción de tokens protege la integridad de las solicitudes de autenticación en el perfil pasivo de la federación WS y el perfil de SAML WebSSO asegurándose de que el mismo token nunca se use más de una vez.
Esta característica necesita habilitarse en situaciones donde la seguridad es extremadamente preocupante como cuando se usan quioscos. Para obtener más información sobre la detección de reproducción de tokens, vea Procedimientos recomendados para la planeación e implementación seguras de AD FS 2.0.
Acceso de usuario invitado
En estos temas no se describe la configuración de un proxy ADFS o un proxy inverso para admitir Skype Empresarial autenticación de dos factores desde redes externas.
Vea también
Configurar la autenticación en dos fases en Skype Empresarial Server