Base de conocimientos

Inicio » ¿Cómo crear reglas basadas en la IP para omitir el MFA en ubicaciones específicas de los clientes en ADSelfService Plus?

¿Cómo crear reglas basadas en la IP para omitir el MFA en ubicaciones específicas de los clientes en ADSelfService Plus?

En este artículo encontrará:

Objetivo:

Para configurar una regla que permita a los usuarios de un área específica (basada en la IP) omitir la autenticación multifactor (MFA), siga estas directrices para establecer el MFA adaptable mediante el acceso condicional.

Nota: Los nombres de las directivas utilizados en este artículo son meramente ilustrativos.

Prerrequisitos:

  • ADSelfService Plus Professional Edition
  • Licencia del add-on de MFA para endpoints
  • La aplicación ADSelfService Plus debe estar alojada en Internet con X-Forwarded-For habilitado

Nota sobre X-Forwarded-For:
La seguridad perimetral es esencial para este entorno. Cuando los usuarios se conectan desde una dirección IP pública, la solicitud llega inicialmente al firewall perimetral antes de pasar al servidor de ADSelfService Plus. Esto significa que el servidor ve la dirección IP del firewall, no la IP original del usuario. Si la IP del firewall se encuentra dentro del rango interno, no se aplicará el MFA. Para solucionarlo, asegúrese de que X-Forwarded-For está habilitado en cada salto de red. Esto garantiza que la IP de origen se incluya en la solicitud, lo que permite un acceso condicional preciso basado en la IP.

Pasos para habilitar X-Forwarded-For:

  • Para habilitar X-Forwarded-For en ADSelfService Plus, vaya a la carpeta conf del directorio de instalación y abra el archivo security.xml.
  • Actualice la siguiente configuración de :

    <Valve className="org.apache.catalina.valves.RemoteIpValve" remoteIpHeader="x-forwarded-for" proxiesHeader="x-forwarded-by" requestAttributesEnabled="true" internalProxies="172\.16\.10\.20"/>, reemplazando 172\.16\.10\.20 por la IP de su servidor proxy.

  • Guarde el archivo y reinicie el servicio ADSelfService Plus para aplicar los cambios.

Pasos que debe seguir

Paso 1: Crear directivas

  1. Cree una directiva llamada "Directiva interna", aplicándola a los usuarios pertinentes y configurando el MFA para los endpoints necesarios.
  2. Duplique la directiva interna haciendo clic en la opción Copiar de la columna Acciones y cámbiele el nombre a "Directiva externa".
  3. Edite la directiva interna y deshabilite el MFA para los endpoints.
    • Navegue hasta Configuración > Autenticación multifactor, y seleccione la directiva llamada Directiva interna. Seleccione la pestaña MFA para endpoints y luego, en la sección MFA para el inicio de sesión en el equipo, deshabilite la casilla Habilitar autenticación de factor N para el inicio de sesión en el equipo.

      • Creating policies for MFA configuration, including Internal and External policies for targeting relevant users and endpoints.

Paso 2: Configurar el acceso condicional

  1. Vaya a Configuración > Autoservicio > Acceso condicional.
  2. Cree una regla llamada Acceso interno. Esta regla definirá el rango IP interno, garantizando que a los usuarios dentro de este rango se les asigne la directiva interna recién creada, donde el MFA está deshabilitada.

    3. Configuring Conditional Access rules to define the internal IP range and assign the Internal Policy where MFA is disabled

    Assigning Conditional Access rules for the Internal Policy where MFA is disabled.

  3. Copie la regla Acceso interno y cámbiele el nombre por Acceso externo. Modifique los criterios de esta regla a "NO 1", es decir, todas las direcciones IP fuera del rango interno definido.
  4. Navegue hasta la pestaña Asignación de reglas y luego seleccione Externa en el menú desplegable Elegir regla de CA. En la sección Controles de acceso, habilite la casilla Asignar directivas y asigne la Directiva externa.

    5. Configuring a Conditional Access rule for the external IP range by modifying the criteria to 'NOT 1' and assigning the External Policy.

Validación y confirmación:

  • Si el equipo de un usuario se conecta desde una red pública (es decir, la IP no está en el rango interno), se aplica la regla Externa, que activa la directiva Externa en la que se requiere MFA.
  • Si el equipo de un usuario está en la LAN de la oficina (es decir, la IP está en el rango interno), se aplica la regla Interna, que activa la directiva Interna en la que el MFA está deshabilitada, lo que permite al usuario iniciar sesión sin MFA.

Cómo contactar a soporte

Para obtener más ayuda, póngase en contacto con nuestro equipo de soporte aquí.

Solicite asistencia

¿Necesita más ayuda? Llene este formulario y nos pondremos en contacto de inmediato.

  • Nombre
  •  
  • Correo de negocios *
  •  
  • Teléfono *
  •  
  • Descripción del problema *
  •  
  • País
  •  
  • Al hacer clic en "Enviar", usted acepta que sus datos personales sean tratados de acuerdo con la política de privacidad.
Funciones destacadas de ADSelfService Plus

Autoservicio de contraseña

Permita que los usuarios de Active Directory realicen por sí mismos las tareas de restablecimiento de contraseña y desbloqueo de cuenta, para que no tengan que llamar a la mesa de ayuda.

Una identidad con un inicio de sesión único

Obtenga acceso con un solo clic a más de 100 aplicaciones en la nube. Con el inicio de sesión único empresarial, los usuarios pueden acceder a todas sus aplicaciones en la nube con sus credenciales de Active Directory.

Notificaciones de caducidad de la contraseña y la cuenta

Informe a los usuarios de Active Directory sobre la inminente caducidad de sus contraseñas y cuentas mediante notificaciones por correo electrónico y SMS.

Sincronización de contraseñas

Sincronice los cambios de la cuenta y usuario de Windows Active Directory en múltiples sistemas automáticamente, incluyendo Microsoft 365, Google Workspace, IBM iSeries y más.

Controlador de la directiva de contraseña

Las contraseñas seguras resisten varias amenazas de hackeo. Exija a los usuarios de Active Directory usar contraseñas seguras mostrando los requisitos de complejidad de las contraseñas.

Auto-actualización de directorio and búsqueda en el directorio corporativo

Permita que los usuarios de Active Directory actualicen ellos mismos su información más reciente. Las funciones de búsqueda rápida ayudan a los administradores a buscar información utilizando claves de búsqueda como los números de contacto.

« Inicio

Grandes compañías de latinoamérica confían en ADSelfService Plus

ArusBanistmoIndra
BantrapCanal De PanamaSwiss Medical
CarloCNDTeleperformance
EDUK GroupEntelUmiversity of Peurto Rico
GapmxDPWorld

Para una gestión de activos fácil y efectiva en la que confían las siguientes empresas

Emprenda un viaje hacia la seguridad de identidad y Zero Trust
Gestión de contraseñasMFA adaptable SSO para empresasAutoservicio y seguridadProductos relacionados