Administración de usuarios: aprovisionamiento
La administración de usuarios se lleva a cabo en la sección Users de Web Console.
Aprovisionamiento es el proceso de proporcionarles a los usuarios la capacidad de autenticación con un segundo factor cuando se accede a dispositivos/servicios protegidos por ESET Secure Authentication On-Prem.
Desde la versión 3.0 de ESA ya no es esencial un número de teléfono para usar la aplicación móvil de ESA, a menos que se use el aprovisionamiento por SMS. El número de teléfono de cada usuario se ingresa manualmente al crear/editar un usuario en Web Console, o se importa junto con la información del usuario si utiliza la sincronización con LDAP o lo ingresa el usuario en caso de que la inscripción automática esté habilitada.
Cada usuario pertenece a un dominio (nombre de equipo, dominio, etc.). Los dominios y los usuarios se crean automáticamente cuando un usuario inicia sesión en equipo con un Componente ESA instalado, si inicia sesión en un servicio protegido por ESA, o si ESA se sincroniza con LDAP. También puede crear manualmente dominios personalizados.
La imagen siguiente muestra un dominio personalizado y un dominio automático. El dominio personalizado se creó manualmente (Custom Realm) y se le agregó un usuario Test User. El dominio automático y sus dos usuarios se crearon automáticamente (admin, Test). El nombre del dominio proviene del equipo en el que está instalada la Protección de inicio de sesión de Windows y desde donde iniciaron sesión los dos usuarios. La columna estado indica si el usuario tiene habilitada la autenticación 2FA (y ha utilizado 2FA al menos una vez) o si la configuración de 2FA está pendiente. La columna Display Name indica el valor del campo Display Name. Este puede ser definido manualmente por usuario o ser sincronizado automáticamente desde Active Directory (o LDAP) según los ajustes en Settings > Default Fields > seleccionar Default display name field como el Field type.
Crear un dominio personalizado manualmente
1.Haga clic en el ícono junto a Realms y luego haga clic en Create custom Re.
2.Ingrese la cadena deseada para Realm ID y Realm Name, seleccione Category y haga clic en Save.
Para crear un dominio correspondiente a un dominio de Active Directory manualmente, debe encontrar el GUID.
Obtener el GUID del dominio de ADUC
1.Abra Usuarios y equipos de Active Directory.
2.Haga clic derecho en el nombre de dominio y seleccione Propiedades.
3.Haga clic en la pestaña Editor de atributos y busque ObjectGUID.
4.Utilice el valor ObjectGUID en el campo ID del dominio cuando cree el dominio manualmente.
Obtener el GUID del dominio mediante PowerShell
1.Abra Windows PowerShell.
2.Ejecute uno de los siguientes comandos:
Get-ADDomain | select -Property ObjectGUID |
o
wmic ntdomain list full |
Para crear manualmente un dominio que corresponda a un equipo local (usuarios no pertenecientes al dominio), se necesita el SID.
2.Ejecute PsGetsid.EXE o PsGetsid64.EXE (según su versión de bits de Windows) desde el Símbolo del sistema de Windows o Windows PowerShell.
Agregar manualmente un usuario a un dominio
1.Seleccione el dominio en el que desee agregar un usuario.
2.Haga clic en Add user.
3.Ingrese el nombre y el número de teléfono, y opcionalmente la dirección de correo electrónico del usuario.
4.Haga clic en Create user.
Formato de número de teléfono Los teléfonos móviles deben tener el formato internacional "+421987654321", donde +421 es el código de país. Por ejemplo, un teléfono móvil eslovaco 0987654321 debe ingresarse como +421987654321, y se debe reemplazar el primer cero "0" con el código de país "+421". Un número de teléfono de los EE. UU. "201-321-4567" debería ingresarse como "12012314567", en el que +1 es el código de país. |
También puede importar usuarios a un dominio personalizado desde un archivo.
Enviar la aplicación móvil a los usuarios
El método de aprovisionamiento predeterminado es ESET servers, es decir, la entrega de SMS, que requiere un teléfono válido para enviar el enlace de instalación.
1.Seleccione la casilla de verificación junto a los usuarios que recibirán la aplicación móvil.
2.Haga clic en Send application.
3.Cierre la ventana de confirmación.
Validez del enlace de aprovisionamiento La validez de tiempo del enlace de aprovisionamiento es de 24 horas o hasta el primer uso. |
Habilitar 2FA por usuario
Haga clic en un usuario y habilite las opciones deseadas de autenticación. Las autenticaciones OTP y Push son las más convenientes. Si se habilitaron Hard Token OTPs y se importaron, entonces los tokens de hardware estarán disponibles en el menú desplegable, en la barra deslizante Hard Token. Haga clic en Save para guardar los cambios.
Si el método de autenticación requiere de información, se muestra una notificación. De todos modos, puede guardar el perfil del usuario y, si la opción Autoinscripción está habilitada, el usuario puede completar la información faltante una vez que se registre en 2FA.
Si se ha activado Mobile Application OTP o Mobile Application Push, aparecerá una notificación para recordarle que debe enviar el mensaje de inscripción/aprovisionamiento al usuario para activar la aplicación móvil.
Si hace clic en Do not send o Cancel, puede utilizar el botónActions para enviar el mensaje de inscripción/aprovisionamiento más tarde. Si hace clic en Send, una ventana de información le mostrará la URL única de la aplicación enviada al usuario.
Habilitar 2FA para múltiples usuarios de una sola vez
1.Seleccione la casilla de verificación junto a los usuarios para los cuales quiere habilitar 2FA.
2.Haga clic en 2FA, seleccione Enable y seleccione la opción de autenticación deseada.
3.Cierre la ventana de confirmación.
Para obtener instrucciones sobre la instalación y el uso de la aplicación móvil, haga clic en el sistema operativo móvil deseado para ser redirigido al artículo correspondiente: