Configure el servicio de autenticación de usuarios en Workspace ONE Access Connector para utilizar el método de autenticación RADIUS (implementación en la nube) basado en el conector cuando los usuarios inicien sesión en Workspace ONE. Tanto la habilitación del método de autenticación RADIUS como la configuración de RADIUS se realizan en la consola de Workspace ONE Access.

Requisitos previos

  • Instale y configure el software de RADIUS en un servidor de administrador de autenticación. Debido a que las soluciones de autenticación en dos fases RADIUS funcionan con los administradores de autenticación instalados en servidores independientes, el servidor RADIUS debe estar configurado para el servicio de Workspace ONE Access y se debe poder acceder a él. Para una autenticación RADIUS, siga la documentación sobre la configuración del proveedor.

    Se requiere la siguiente información del servidor RADIUS para configurar RADIUS en el servicio de Workspace ONE Access.

    • Dirección IP o nombre DNS del servidor RADIUS.
    • Números de puertos de autenticación. El puerto de autenticación suele ser el 1812.
    • Tipo de autenticación. Entre los tipos de autenticación, se incluyen Protocolo de autenticación de contraseña (Password Authentication Protocol, PAP), Protocolo de autenticación por desafío mutuo (Challenge Handshake Authentication Protocol, CHAP) y Protocolo de autenticación por desafío mutuo de Microsoft, versiones 1 y 2 (Microsoft Challenge Handshake Authentication Protocol, v1 y 2; MSCHAP1 y MSCHAP2).
    • Secreto compartido de RADIUS que se utiliza para cifrar y descifrar en los mensajes de protocolo de RADIUS.
    • Tiempo de espera específico y valores de reintento necesarios para la autenticación RADIUS.
  • El servicio de autenticación de usuarios instalado como un componente de Workspace ONE Access Connector.

Procedimiento

  1. En la página Integraciones > Métodos de autenticación del conector de la consola de Workspace ONE Access, haga clic en NUEVO y seleccione RADIUS (implementación en la nube).
  2. Para configurar este método de autenticación, seleccione Directorio y Host de servicios y haga clic en SIGUIENTE.
  3. Configure el método de autenticación RADIUS.
    Opción Acción
    Número de intentos de autenticación permitidos Introduzca el número máximo de intentos de inicio de sesión fallidos cuando se utiliza RADIUS para iniciar sesión. El valor predeterminado es cinco intentos.
    Sugerencia de frase de contraseña de la página de inicio de sesión Introduzca la cadena de texto que se muestra como el mensaje de la página de inicio de sesión del usuario para indicar a los usuarios que introduzcan el código de acceso de RADIUS correcto. La cadena de texto predeterminada es Código de acceso de RADIUS. El mensaje predeterminado es Introduzca el código de acceso de RADIUS.
    Sugerencia de frase de contraseña personalizada para la página de inicio de sesión Si introduce una sugerencia de frase de contraseña personalizada en este cuadro de texto, dicha sugerencia se mostrará como el mensaje en la página de inicio de sesión del usuario en vez de la sugerencia de frase de contraseña de la página de inicio de sesión. Por ejemplo, si este cuadro de texto está configurado con Introduzca primero su contraseña de AD y luego el código de acceso de SMS, el mensaje de la página de inicio de sesión sería Introduzca primero su contraseña de AD y luego el código de acceso de SMS.
    Habilitar la autenticación directa en el servidor RADIUS Cambie de NO a para habilitar la autenticación de usuario directa. No es necesario que los usuarios vuelvan a introducir sus credenciales. En este caso, se utiliza el mismo nombre de usuario para la contraseña.

    Habilite esta opción solo cuando la comprobación de acceso esté configurada en el servidor RADIUS.

    Para usar la autenticación directa en el servidor RADIUS, el nombre de usuario debe estar configurado del mismo modo tanto en el servidor RADIUS como en Active Directory. Tenga en cuenta que un nombre de usuario JSmith en Active Directory no coincide con jsmith en el servidor RADIUS.
    Número de intentos en el servidor de RADIUS Introduzca el número total de reintentos. Si el servidor principal no responde, el servicio espera a la hora configurada antes de volver a intentarlo.
    Tiempo de espera del servidor en segundos

    Introduzca el tiempo de espera del servidor RADIUS en segundos, después del cual se envía un reintento si el servidor RADIUS no responde.

    Nombre de host/dirección del servidor de RADIUS (Opcional) Introduzca el nombre de host o la dirección IP del servidor RADIUS.
    Puerto de autenticación Introduzca el número de puerto de autenticación RADIUS. El puerto suele ser el 1812.
    Puerto de contabilidad Escriba 0 como número de puerto. El puerto de contabilidad no se utiliza actualmente.
    Tipo de autenticación Introduzca el protocolo de autenticación que es compatible con el servidor RADIUS. Puede ser PAP, CHAP, MSCHAP1 o MSCHAP2.
    Secreto compartido Escriba el secreto compartido que se usa entre el servidor RADIUS y el servicio Workspace ONE Access.
    Prefijo de territorio (Opcional) La ubicación de la cuenta de usuario se denomina territorio. Introduzca el prefijo de territorio que se va a utilizar.

    Si introduce una cadena de prefijo de territorio, esta se colocará al comienzo del nombre de usuario cuando el nombre se envíe al servidor RADIUS. Por ejemplo, si el nombre de usuario introducido es jdoe y se especifica el prefijo de territorio DOMAIN-A\, el nombre de usuario DOMAIN-A\jdoe se envía al servidor RADIUS. Si no configura los cuadros de texto de territorio, solo se envía el nombre de usuario que introduzca.

    Sufijo de territorio (Opcional) Si especifica un sufijo de territorio, la cadena se coloca al final del nombre de usuario. Por ejemplo, si el sufijo es @myco.com, se enviará el nombre de usuario [email protected] al servidor RADIUS.
    Habilitar validación MSCHAPv2 básica Cambie de NO a para habilitar la validación MSCHAPv2 básica. Si esta opción está establecida en SÍ, se omitirá la validación de respuesta adicional del servidor RADIUS. Se realizará la validación completa de forma predeterminada.
  4. Puede habilitar un servidor RADIUS secundario para lograr una alta disponibilidad.
    Configure el servidor secundario tal y como se describe en el paso 4.
  5. Haga clic en SIGUIENTE para revisar la configuración y, a continuación, haga clic en GUARDAR.
    Captura de pantalla de la página de configuración del servidor

Qué hacer a continuación

Agregue RADIUS como método de autenticación a la página de configuración del proveedor de identidades integrado.

Agregue el método de autenticación RADIUS a la directiva de acceso predeterminada. En la consola, vaya a la página Recursos > Directivas y edite las reglas de la directiva predeterminada para agregar el método de autenticación RADIUS a la regla. Consulte Administrar directivas de acceso en el servicio de Workspace ONE Access.

Para tener alta disponibilidad, asocie este método de autenticación RADIUS a otras instancias de Workspace ONE Access Connector registradas en las que esté instalado el componente de autenticación del usuario del servicio empresarial.