FIDO
Desde la versión 2.8 ESET Secure Authentication On-Prem (ESA) se ofrece compatibilidad para la autenticación de dos factores (2FA) en dispositivos compatibles con FIDO2 (y estándares de autenticación FIDO U2F)). Para más información sobre FIDO, ingrese aquí.
Requisitos
•Navegador web compatible con Web Authentication API
oMozilla Firefox
oGoogle Chrome
oMicrosoft Edge
Para obtener información actualizada sobre los navegadores compatibles, visite https://platform-status.mozilla.org/ y busque "Web Authentication API".
•Conexión segura (HTTPS) (también pueden utilizarse certificados de firma propia)
•.NET Framework 4.7.2 instalado en la máquina en la que está instalado ESA Authentication Server
Entorno compatible
•Entorno de inicio de sesión basado en la web protegido por ESA:
oIIS
oConector de proveedor de identidad
•Protección de inicio de sesión de Windows
|
NOTA La implementación FIDO en ESET Secure Authentication On-Prem todavía no cuenta con la certificación de la alianza FIDO. |
Configuración en ESA Web Console
La configuración en Settings > FIDO es para administradores avanzados de FIDO. No es necesario implementar cambios aquí.
•Verificación del usuario
oObligatorio: el autenticador compatible con FIDO debe admitir la verificación del usuario (por ejemplo, datos biométricos versus código PIN). Si no hay verificación del usuario, no puede utilizarse el autenticador compatible con FIDO como segundo factor de autenticación.
oPreferido: se recomienda que el autenticador compatible con FIDO admita la verificación del usuario. No obstante, no es fundamental.
oDesaconsejado: no importa si el autenticador compatible con FIDO admite la verificación del usuario o no.
•Tipo de autenticador
oPlataforma (Dentro de los límites): el autenticador FIDO es una solución incorporada (hardware, software) del dispositivo cuando se utiliza como segundo factor de autenticación.
oPlataformas cruzadas (Roaming): el autenticador FIDO puede extraerse y utilizarse con varios dispositivos.
oNo especificado: No importa si el autenticador FIDO es extraíble o no.
Registrar origen de FIDO
Si utiliza FIDO como segundo factor de autenticación para acceder a ESA Web Console disponible en https://my-web-console.com:8001, entonces https://my-web-console.com:8001 debe estar registrado como el origen.
1.En ESA Web Console, vaya a Components > Web Console.
2.Encender FIDO
3.Ingrese la URL de ESA Web Console en la ventana FIDO Origin. En nuestro ejemplo, https://my-web-console.com:8001.
4.Haga clic en Apply > Save.
|
Origen de FIDO Todos los componentes de ESA en los que se utilizará FIDO como el segundo factor de autenticación deben registrarse como el origen. Para usar FIDO con otro componente de ESA además de ESA Web Console, se debe habilitar la autoinscripción de FIDO, para que el origen de FIDO pueda establecerse automáticamente. |
Activar FIDO para un administrador de Web Console
En nuestro ejemplo, activamos FIDO como segundo factor para un administrador de ESA Web Console que quiere usar una clave USB de FIDO como autenticador de hardware.
1.Vaya a Settings > Web Console Administrators, haga clic en el nombre del administrador.
2.En el perfil del usuario, active FIDO.
3.Conecte la clave USB de FIDO en el equipo desde el que accedió a ESA Web Console.
4.Haga clic en Actions > Register FIDO credentials y, a continuación, haga clic en Apply.
5.Cuando la clave USB titile, toque el sensor táctil en la clave USB de FIDO.
6.ESA Web Console confirmará el registro exitoso de las credenciales de FIDO.
A partir de ahora, cuando intente acceder a ESA Web Console, el administrador deberá aprobar la autenticación. Para ello, deberá pulsar la tecla USB de FIDO una vez ingresadas las credenciales correctas de inicio de sesión.
Activar FIDO para un usuario
1.Vaya a Settings > Enrollment.
2.Habilite FIDO, haga clic en Save.
3.Vaya a Users y seleccione el usuario pertinente.
4.Active FIDO, haga clic en Save.
5.El usuario deberá finalizar la configuración durante la autoinscripción.