Habilite el método de autenticación Aplicación de autenticador en Workspace ONE Access para la autenticación en dos fases de cara a solicitar a los usuarios que introduzcan un código de acceso de un solo uso basado en tiempo (TOTP) como segunda credencial cuando inicien sesión en la aplicación Workspace ONE Intelligent Hub o en cualquier aplicación que requiera autenticación en dos fases.

La autenticación en dos fases es una mejora de seguridad que requiere que se presenten dos formas distintas de identificación para iniciar sesión. Los usuarios utilizan una aplicación de autenticador instalada en su dispositivo para generar un código de acceso TOTP y utilizarlo junto con su primera credencial de autenticación para iniciar sesión en una aplicación. Los usuarios pueden aprovechar su aplicación de autenticador preferida en su dispositivo móvil personal o de trabajo para generar el código de acceso TOTP. No es necesario que el dispositivo sea un dispositivo administrado o registrado con Workspace ONE UEM.

Al habilitar la autenticación de Aplicación de autenticador en el servicio de Workspace ONE Access, puede configurar el número de veces que los usuarios pueden introducir un código de acceso incorrecto dentro de un período de reintento antes de que se imponga un período de espera de cinco minutos. Las configuraciones predeterminadas permiten un máximo de cinco intentos fallidos durante un período de cinco minutos. Cuando se produce un quinto intento en un período de cinco minutos, la cuenta de usuario no puede volver a autenticarse con Aplicación de autenticador durante cinco minutos. La implementación de un período de espera después de introducir un número predefinido de códigos de acceso incorrectos permite una protección más sólida contra elementos potencialmente perjudiciales y se puede adaptar a los requisitos de seguridad de su organización.

Puede configurar mensajes personalizados que se muestran en la pantalla de inicio de sesión para explicar cómo registrar la aplicación y qué hacer si el usuario no puede iniciar sesión.

En la directiva de acceso predeterminada o en una directiva de acceso de aplicaciones, las reglas se configuran para que requieran una autenticación de aplicación de autenticador como segundo formulario de autenticación.

Una aplicación de autenticador está integrada en la aplicación Workspace ONE Intelligent Hub para dispositivos iOS y Android. Los usuarios finales pueden tocar el icono de su perfil para abrir la pantalla Cuenta y hacer clic en Autenticación en dos fases para configurar la funcionalidad del autenticador.

Los usuarios finales también pueden descargar una aplicación de autenticador compilada en función del algoritmo TOTP RFC 6238 desde Apple App Store o Google Play Store. También pueden utilizar un administrador de contraseñas basado en navegador que pueda generar un código de acceso TOTP para iniciar sesión.

Cuando los usuarios inician sesión por primera vez, inician sesión con la primera credencial de autenticación requerida y se les pide que registren su aplicación de autenticador. El mensaje de registro personalizado que se crea aparecerá en la pantalla Registrar aplicación de autenticador. Para registrarse, se utiliza el escáner integrado en la aplicación de autenticador para escanear el código QR e introducir el código de acceso de seis dígitos que se muestra en la aplicación de autenticador. Si la cámara no está disponible para escanear el código QR, los usuarios tienen la opción de introducir manualmente el código secreto en la aplicación de autenticador para obtener el código de acceso de seis dígitos. Los usuarios pueden ver el código secreto que deben introducir en su aplicación de autenticador haciendo clic en la opción para usar un código alternativo en la pantalla de registro. No se almacena ninguna información de identificación personal en las cuentas de usuario de la consola de Workspace ONE Access, solo se guarda la fecha de registro.

Figura 1. Pantalla Registrar aplicación de autenticador mediante el código QR
Captura de pantalla del mensaje de registro de la aplicación de autenticador, el código QR y el código de acceso del dispositivo

Cuando los usuarios inician sesión después de registrar su aplicación de autenticador, se les solicita que introduzcan el código de acceso de seis dígitos que la aplicación de autenticador muestra en el dispositivo. Los usuarios tienen un tiempo limitado para introducir el código de acceso, por lo general 30 segundos, antes de que se muestre un nuevo código de acceso.

Configurar la aplicación de autenticador y habilitar en el proveedor de identidades integrado

Procedimiento

  1. En la página de la consola de Workspace ONE Access Integraciones > Métodos de autenticación, haga clic en Aplicación de autenticador.
  2. Haga clic en CONFIGURAR.
    Opción Descripción
    Habilitar autenticación de aplicaciones de autenticador Habilite la opción Habilitar autenticación del adaptador con aplicación de autenticador.
    Número de reintentos permitidos Introduzca el número de veces que un usuario puede introducir un código de acceso incorrecto antes de que se produzca un error en el intento de inicio de sesión y se deniegue el acceso.

    El valor se puede establecer entre 1 y 15.

    El valor predeterminado es 5 veces.
    Volver a intentar el período Introduzca el número de minutos que un usuario tiene para volver a intentar introducir un código de acceso antes de que se bloquee.

    El valor de reintento se puede establecer entre 5 y 60 minutos.

    El valor predeterminado es 5 minutos.

    Tiempo de bloqueo Introduzca el número de minutos que un usuario debe esperar cuando se alcance el valor de reintento antes de que pueda intentar iniciar sesión de nuevo.

    El valor de bloqueo se puede establecer entre 5 y 60 segundos.

    El valor predeterminado es 5 minutos.
    Introduzca el texto personalizado para el registro Describa al usuario cómo iniciar sesión, incluidos qué instalar y qué hacer.

    Texto de ejemplo. 

    Instale una aplicación de autenticador en el dispositivo y escanee este código QR. Introduzca el código de acceso de un solo uso que se muestra en la aplicación del autenticador.
    Introduzca el texto personalizado para la recuperación Describa qué hacer si el usuario no puede iniciar sesión desde su aplicación de autenticador.

    El escenario predeterminado para iniciar sesión permite a un usuario volver a intentar introducir un código de acceso 5 veces en un plazo de 5 minutos antes de que se bloquee durante 5 minutos, después del cual puede volver a intentarlo.

  3. Haga clic en GUARDAR.
  4. Vaya a Integraciones > Proveedores de identidades y seleccione el proveedor de identidades integrado.
    1. En la sección Métodos de autenticación, seleccione Aplicación de autenticador.
    2. Haga clic en Guardar.

Pasos siguientes

Cree la regla de directiva de acceso para utilizar Aplicación de autenticador como segundo método de autenticación para la autenticación en dos fases. Consulte Agregar reglas de autenticación para la directiva de acceso predeterminada de Workspace ONE Access.

Restablecer el registro de aplicaciones del autenticador para un usuario

Si un usuario se pone en contacto con usted porque no puede utilizar su aplicación de autenticador para iniciar sesión en la aplicación Workspace ONE Intelligent Hub o en una aplicación del catálogo de Hub que requiera autenticación en dos fases, debe restablecer la aplicación de autenticador registrada desde la consola. Al hacer clic en Restablecer, se elimina la aplicación de autenticador registrada. Se solicita a los usuarios que registren la aplicación de autenticador de nuevo la próxima vez que inicien sesión.

  1. En la página de la consola de Workspace ONE Access Cuentas > Usuarios, seleccione el nombre de usuario que solicita el restablecimiento.
  2. En la pestaña Autenticación en dos fases, sección Aplicación de autenticador, haga clic en RESTABLECER.
  3. En el cuadro de diálogo que se muestra, haga clic en RESTABLECER para confirmar la acción.