Configurar la autenticación en dos fases en Skype Empresarial Server 2015

Skype for Business Server 2015
 

Última modificación del tema:2016-12-20

Resumen: configure la autenticación en dos fases en Skype Empresarial Server 2015.

En las siguientes secciones se describen los pasos necesarios para configurar la autenticación en dos fases para la implementación. Para obtener más información acerca de la autenticación de dos factores, consulte habilitación de Office 365 autenticación con varios factores para los administradores en línea - cuadrícula usuario Post.

En los siguientes pasos, se describe cómo configurar una CA raíz empresarial para admitir la autenticación de tarjeta inteligente:

Para obtener información sobre cómo instalar una entidad emisora de certificados raíz de empresa, consulte instalar una entidad de certificación raíz de empresa.

  1. Inicie sesión en el equipo de la CA empresarial usando una cuenta de administrador de dominio.

  2. Inicie el Administrador del sistema y compruebe que está instalado el rol Inscripción web de entidad de certificación.

  3. En el menú Herramientas administrativas , abra la consola de administración de Entidad de certificación .

  4. En el panel de navegación, expanda Entidad de certificación .

  5. Haga clic con el botón derecho en Plantillas de certificado , elija Nueva y, luego, elija Plantilla de certificado que se va a emitir .

  6. Elija Enrollment Agent , Usuario de tarjeta inteligente e Inicio de sesión de Tarjeta inteligente .

  7. Haga clic en Aceptar .

  8. Haga clic con el botón derecho en Plantillas de certificado .

  9. Elija Administrar .

  10. Abra las propiedades de la plantilla Usuario de tarjeta inteligente.

  11. Haga clic en la pestaña Seguridad .

  12. Cambie los permisos como se indica a continuación:

    • Agregue cuentas de usuario individuales de AD con los permisos Leer/Inscribir (permitir), o

    • Agregue un grupo de seguridad que contenga los usuarios de tarjeta inteligente con permisos Leer/Inscribir (permitir), o

    • Agregue el grupo Usuarios del dominio con los permisos Leer/Inscribir (permitir)

Un factor que se necesita considerar al implementar la autenticación en dos fases y la tecnología de tarjetas inteligentes es el costo de la implementación. Windows 8 proporciona varias funciones de seguridad nuevas y una de las características nuevas más interesantes es la compatibilidad con tarjetas inteligentes virtuales.

Para los equipos que vienen con el chip del Módulo de plataforma segura (TPM) que cumple la especificación versión 1.2, las organizaciones ahora pueden obtener beneficios del inicio de sesión con tarjeta inteligente sin hacer inversiones adicionales en hardware. Para obtener más información, vea utilizar Virtual las tarjetas inteligentes con Windows 8.

Para configurar Windows 8 para las tarjetas inteligentes virtuales
  1. Inicie sesión en el equipo con Windows 8 por medio de las credenciales de un usuario habilitado en Skype Empresarial.

  2. En la pantalla de inicio de Windows 8, mueva el cursor a la esquina inferior derecha de la pantalla.

  3. Seleccione la opción Buscar y, luego, busque Command Prompt .

  4. Haga clic con el botón derecho en Símbolo del sistema y, luego, seleccione Ejecutar como administrador .

  5. Abra la consola de administración del Módulo de plataforma segura (TPM) ejecutando el siguiente comando:

    Tpm.msc
    
  6. Desde la consola de administración de TPM, compruebe que la versión de la especificación de TPM sea al menos 1.2

    noteNota:
    Si recibe un diálogo que indique que no se encuentra un Módulo de plataforma segura (TPM) compatible, compruebe que el equipo tenga un módulo TPM compatible y que esté habilitado en el sistema BIOS.
  7. Cierre la consola de administración de TPM

  8. Desde el símbolo del sistema, cree una tarjeta inteligente virtual por medio del siguiente comando:

    TpmVscMgr create /name MyVSC /pin default /adminkey random /generate
    
    noteNota:
    Para proporcionar un valor PIN personalizado al crear la tarjeta inteligente virtual, use en su lugar la solicitud de PIN.
  9. Desde el símbolo del sistema, abra la consola de administración del equipo ejecutando el siguiente comando:

    CompMgmt.msc
    
  10. En la consola de administración del equipo, seleccione Administración de dispositivos .

  11. Expanda Lectores de tarjetas inteligentes .

  12. Compruebe que el nuevo lector de tarjetas inteligentes virtuales se haya creado correctamente.

En general, existen dos métodos para inscribir a los usuarios en la autenticación de tarjeta inteligente. El método más sencillo consiste en que los usuarios se inscriban directamente en la autenticación de tarjeta inteligente a través de la inscripción web; el más complejo consiste en usar un Enrollment Agent. Este tema se centra en la autoinscripción para usar certificados de tarjeta inteligente.

Para obtener más información sobre la inscripción en nombre de usuarios como agente de inscripción, consulte inscripción de certificados en nombre de otros usuarios.

Para inscribir a usuarios en la autenticación de tarjeta inteligente
  1. Inicie sesión en la estación de trabajo de Windows 8 con las credenciales de un usuario habilitado para Skype Empresarial.

  2. Inicie Internet Explorer.

  3. Vaya a la página Inscripción web de entidad de certificación (p. ej., https://MiCA.contoso.com/certsrv).

    noteNota:
    Si usa Internet Explorer 10, puede que tenga que ver este sitio web en modo de compatibilidad.
  4. En la página principal , elija Solicitar un certificado .

  5. Luego elija Solicitud avanzada .

  6. Elija Crear y enviar una solicitud a esta CA .

  7. Seleccione Usuario de tarjeta inteligente en la sección Plantilla de certificado y complete la solicitud de certificado avanzada con los siguientes valores:

    • En Opciones de clave , confirme la siguiente configuración:

      • Active el botón de radio Crear conjunto de claves nuevo .

      • En CSP , seleccione Proveedor base de cifrado para tarjetas inteligentes de Microsoft .

      • En Uso de la clave , seleccione Exchange (es la única opción disponible).

      • En Tamaño de la clave , escriba 2048 .

      • Confirme que está activado Nombre automático de contenedor de claves .

      • Deje las demás casillas desactivadas.

    • En Opciones adicionales , confirme los siguientes valores:

      • En Formato de la solicitud , seleccione CMC .

      • En Algoritmo hash , seleccione sha1 .

      • En Nombre descriptivo , escriba Smardcard Certificate .

  8. Si utiliza un lector de tarjetas inteligentes físico, inserte la tarjeta inteligente en el dispositivo.

  9. Haga clic en Enviar para enviar la solicitud de certificado.

  10. Cuando se le pida, escriba el PIN que se usó para crear la tarjeta inteligente virtual.

    noteNota:
    El valor del PIN de tarjeta inteligente virtual predeterminado es “12345678”.
  11. Una vez emitido el certificado, haga clic en Instalar este certificado para completar el proceso de inscripción.

    noteNota:
    Si la solicitud de certificado presenta el error “Este explorador web no es compatible con la creación de solicitudes de certificados”, hay tres formas de resolver el problema:
    1. Habilitar la Vista de compatibilidad en Internet Explorer

    2. Habilitar la opción Activar configuración de Intranet en Internet Explorer

    3. Activar la opción Restablecer todas las zonas al nivel predeterminado en la pestaña Seguridad del menú de opciones de Internet Explorer.

En la siguiente sección se describe cómo configurar los servicios de federación de Active Directory (AD FS 2.0) para admitir autenticación multifactor. Para obtener información sobre cómo instalar AD FS 2.0, consulte AD FS 2.0 Step y cómo guías.

noteNota:
Al instalar AD FS 2.0, no use Windows Server Manager para agregar el rol de los servicios de federación de Active Directory. En su lugar, descargue e instale el paquete de Active Directory federación Services 2.0 RTW.
Para configurar AD FS para la autenticación en dos fases
  1. Inicie sesión en el equipo con AD FS 2.0 por medio de una cuenta de administrador de dominio.

  2. Inicie Windows PowerShell.

  3. Desde la línea de comandos de Windows PowerShell, ejecute el siguiente comando:

    add-pssnapin Microsoft.Adfs.PowerShell
    
  4. Establezca una asociación con cada uno de los servidores que estarán habilitados para la autenticación pasiva ejecutando el siguiente comando, sustituyendo el nombre del servidor específico para su implementación:

    Add-ADFSRelyingPartyTrust -Name SfBPool01-PassiveAuth -MetadataURL https://SfBpool01.contoso.com/passiveauth/federationmetadata/2007-06/federationmetadata.xml
    
  5. Desde el menú Herramientas administrativas, inicie la consola de administración de AD FS 2.0.

  6. Expanda Relaciones de confianza > Relaciones de confianza para usuario autenticado .

  7. Compruebe que se ha creado una confianza para su Skype Empresarial Server.

  8. Cree y asigne una regla de autorización de emisión para la relación de confianza para usuario autenticado por medio de Windows PowerShell ejecutando los siguientes comandos:

    $IssuanceAuthorizationRules = '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");'
    
    Set-ADFSRelyingPartyTrust -TargetName SfBPool01-PassiveAuth 
    -IssuanceAuthorizationRules $IssuanceAuthorizationRules
    
  9. Cree y asigne una regla de transformación de emisión para la relación de confianza para usuario autenticado por medio de Windows PowerShell ejecutando los siguientes comandos:

    $IssuanceTransformRules = '@RuleTemplate = "PassThroughClaims" @RuleName = "Sid" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"]=> issue(claim = c);'
    
    Set-ADFSRelyingPartyTrust -TargetName SfBPool01-PassiveAuth -IssuanceTransformRules $IssuanceTransformRules
    
  10. Desde la consola de administración de AD FS 2.0, haga clic con el botón secundario en la relación de confianza para el usuario autenticado y seleccione Editar reglas de notificaciones .

  11. Seleccione la pestaña Reglas de autorización de emisión y compruebe que la nueva regla de autorización se haya creado correctamente.

  12. Seleccione la pestaña Reglas de transformación de emisión y compruebe que la nueva regla de transformación se haya creado correctamente.

Hay dos tipos de autenticación posibles que se pueden configurar para permitir que AD FS 2.0 admita autenticación con tarjetas inteligentes:

  • Autenticación basada en formularios (FBA)

  • Autenticación de cliente de seguridad de capa de transporte

Al usar la autenticación basada en formularios, puede desarrollar una página web que permita a los usuarios autenticarse ya sea por medio de su nombre de usuario/contraseña o por medio de su tarjeta inteligente y PIN. Este tema se enfoca en cómo implementar la autenticación de cliente de seguridad de capa de transporte con AD FS 2.0. Para obtener más información acerca de los tipos de autenticación 2.0 de AD FS, consulte AD FS 2.0: cómo cambiar el tipo de autenticación Local.

Para configurar AD FS 2.0 para admitir la autenticación de cliente
  1. Inicie sesión en el equipo con AD FS 2.0 por medio de una cuenta de administrador de dominio.

  2. Inicie Windows Explorer.

  3. Vaya a C:\inetpub\adfs\ls.

  4. Haga una copia de seguridad del archivo web.config existente.

  5. Abra el archivo web.config existente con el Bloc de notas.

  6. Desde la barra de menús, seleccione Editar y, luego, seleccione Buscar .

  7. Busque <localAuthenticationTypes> .

    Tenga en cuenta que hay cuatro tipos de autenticación enumerados, uno por línea.

  8. Mueva la línea que contiene el tipo de autenticación TLSClient hacia la parte superior de la lista en la sección.

  9. Guarde y cierre el archivo web.config.

  10. Inicie un símbolo del sistema con privilegios elevados.

  11. Reinicie IIS ejecutando el siguiente comando:

    IISReset /Restart /NoForce
    

En la siguiente sección, se describe cómo configurar Skype Empresarial Server 2015 para admitir la autenticación pasiva. Una vez habilitada, los usuarios que tengan habilitada la autenticación en dos fases tendrán que usar una tarjeta inteligente física o virtual y un PIN válido para iniciar sesión usando el cliente Skype Empresarial.

noteNota:
Se recomienda encarecidamente a los clientes que habiliten la autenticación pasiva del registrador y los servicios web en el nivel de servicios. Si se habilita la autenticación pasiva del registrador y los servicios web en el nivel global, lo más probable es que se produzcan errores de autenticación en toda la organización cuando los usuarios no inicien sesión con el cliente de escritorio compatible.

En los siguientes pasos, se describe cómo crear una configuración de servicios web personalizada para los Directores, grupos de servidores Enterprise y servidores Standard Edition que estarán habilitados para la autenticación pasiva.

Para crear una configuración de servicios web personalizada
  1. Inicie sesión en el servidor front-end de Skype Empresarial Server 2015 con una cuenta de administrador de Skype Empresarial.

  2. Inicie el Shell de administración de Skype Empresarial Server.

  3. Desde la línea de comandos del Shell de administración de Skype Empresarial Server, cree una nueva configuración de servicios web para cada Director, grupo de servidores Enterprise y servidor Standard Edition que estará habilitado para la autenticación pasiva. Para crearla, ejecute este comando:

    New-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" -UseWsFedPassiveAuth $true -WsFedPassiveMetadataUri https://dc.contoso.com/federationmetadata/2007-06/federationmetadata.xml
    
    warningAdvertencia:
    El valor del FQDN WsFedPassiveMetadataUri es el Nombre del servicio de federación de su servidor AD FS 2.0. El valor de Nombre del servicio de federación se puede consultar en la consola de administración de AD FS 2.0 al hacer clic en Servicio en el panel de navegación y, luego, elegir Editar propiedades del servicio de federación .
  4. Para comprobar que los valores de UseWsFedPassiveAuth y WsFedPassiveMetadataUri se configuraron correctamente, ejecute el siguiente comando:

    Get-CsWebServiceConfiguration -identity "Service:WebServer:SfBPool01.contoso.com" | format-list UseWsFedPassiveAuth, WsFedPassiveMetadataUri
    
  5. En los clientes, la autenticación pasiva es el método de autenticación menos preferido para la autenticación de WebTicket. En todos los Directores, grupos de servidores Enterprise y servidores Standard Edition que estarán habilitados para la autenticación pasiva, se necesitan deshabilitar todos los demás tipos de autenticación en los servicios web de Skype Empresarial ejecutando el siguiente cmdlet:

    Set-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" -UseCertificateAuth $false -UsePinAuth $false -UseWindowsAuth NONE
    
  6. Para comprobar que se han deshabilitado correctamente todos los demás tipos de autenticación, ejecute el siguiente cmdlet:

    Get-CsWebServiceConfiguration -Identity "Service:WebServer:SfBPool01.contoso.com" | format-list UseCertificateAuth, UsePinAuth, UseWindowsAuth
    

Cuando la autenticación de certificado esté deshabilitada para los servicios web de Skype Empresarial, el cliente Skype Empresarial usará un tipo de autenticación menos preferido, como Kerberos o NTLM, para autenticarse en el servicio registrador. La autenticación de certificado se sigue necesitando para permitir al cliente que recupere un WebTicket, pero Kerberos y NTLM tienen que estar deshabilitados en el servicio registrador.

En los siguientes pasos, se describe cómo crear una configuración de proxy personalizada para los grupos de servidores perimetrales, grupos de servidores Enterprise y servidores Standard Edition que estarán habilitados para la autenticación pasiva.

Para crear una configuración de proxy personalizada
  1. Desde la línea de comandos del Shell de administración de Skype Empresarial Server, cree una configuración de proxy para cada grupo de servidores perimetrales, grupo de servidores Enterprise y servidor Standard Edition de Skype Empresarial Server 2015 que estará habilitado para la autenticación pasiva. Para crearla, ejecute los siguientes comandos:

    New-CsProxyConfiguration -Identity "Service:EdgeServer:EdgePool01.contoso.com" 
    -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False
    
    New-CsProxyConfiguration -Identity "Service:Registrar:SfBPool01.contoso.com" 
    -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False
    
  2. Para comprobar que se han deshabilitado correctamente todos los demás tipos de autenticación de proxy, ejecute el siguiente comando:

    Get-CsProxyConfiguration -Identity "Service:Registrar:SfBPool01.contoso.com"
     | format-list UseKerberosForClientToProxyAuth, UseNtlmForClientToProxyAuth, UseCertifcateForClientToProxyAuth
    
 
Mostrar: