MFA para Active Directory con Protectimus DSPA
Protectimus DSPA (Dynamic Strong Password Authentication) es la primera solución de autenticación multifactor para bases de datos que proporciona autenticación sin contraseña para Active Directory, LDAP y otros directorios de usuarios, aplicando MFA directamente a las cuentas de usuario
Redefina la autenticación con OTP dinámicas
Olvídese de las contraseñas débiles, reutilizadas o comprometidas.
Implemente Protectimus DSPA y transforme el inicio de sesión tradicional en un flujo de autenticación sin contraseña basado en OTP dinámicas.
Los usuarios se autentican mediante contraseñas de un solo uso temporales en lugar de credenciales permanentes, lo que reduce drásticamente el riesgo de phishing, robo de credenciales y ataques basados en contraseñas, manteniendo al mismo tiempo un acceso rápido y cómodo.
Rotación programada de OTP
El componente Protectimus DSPA para Active Directory sustituye las contraseñas estáticas tradicionales por OTP dinámicas generadas mediante el algoritmo TOTP. Las OTP se actualizan automáticamente según los intervalos definidos por el administrador, lo que garantiza que los usuarios siempre se autentiquen con credenciales temporales en lugar de contraseñas permanentes. Gracias a este enfoque, las organizaciones pueden implementar contraseñas dinámicas para Active Directory sin modificar los flujos de trabajo habituales de los usuarios.
Administración sin complicaciones
A diferencia de las soluciones MFA tradicionales, Protectimus DSPA elimina la complejidad de implementar y mantener software adicional en los equipos cliente. Tras la integración con Active Directory, LDAP o cualquier otro directorio de usuarios o base de datos, la autenticación basada en OTP se aplica automáticamente a todos los sistemas conectados, incluidos Protectimus Winlogon, RDP, OWA, ADFS y otros.
¿Qué problemas resuelve Protectimus DSPA?
1. Las soluciones MFA existentes solo protegen una parte de la infraestructura
Las soluciones MFA tradicionales añaden autenticación multifactor únicamente a los endpoints. Esto permite que los atacantes accedan directamente al directorio de usuarios y eludan la protección MFA. Por ejemplo, es posible interactuar con Active Directory mediante la línea de comandos de Windows. En muchos casos, basta con conocer el nombre de usuario y la contraseña para actuar en nombre de otro usuario. Con Protectimus DSPA, puede garantizar que nadie acceda a Active Directory, LDAP o a las cuentas almacenadas en sus bases de datos sin una OTP dinámica, independientemente del origen o destino de la solicitud.
2. Los administradores deben instalar y mantener plugins 2FA en múltiples plataformas
Para implementar autenticación multifactor para todos los empleados y servicios corporativos, los administradores suelen tener que desplegar varios plugins 2FA en distintas plataformas e instalar software adicional en cada equipo cliente. Además, todo este software requiere mantenimiento y actualizaciones constantes. Tras integrar Protectimus DSPA con Active Directory, la autenticación basada en OTP se aplica automáticamente a todos los servicios conectados a AD, incluidos Protectimus Winlogon, RDP, ADFS, OWA y muchos otros.
¿Cómo funciona?
Protectimus se integra directamente con Microsoft Active Directory o cualquier otro directorio de usuarios para sustituir las contraseñas estáticas tradicionales por OTP dinámicas generadas mediante el algoritmo TOTP. Estas OTP cambian automáticamente según la política definida por el administrador, transformando la autenticación estándar de Active Directory en una experiencia de autenticación sin contraseña.
El administrador define el intervalo de rotación de las OTP, a partir de 30 segundos y con incrementos configurables. Las políticas de rotación pueden configurarse individualmente para cada usuario, y los administradores pueden seleccionar qué grupos deben utilizar Protectimus Dynamic Strong Password Authentication (DSPA).
Como resultado, los usuarios de Active Directory se autentican mediante OTP dinámicas en lugar de credenciales estáticas permanentes. Para generar OTP, los usuarios pueden utilizar la aplicación autenticadora Protectimus SMART OTP o los chatbots Protectimus BOT para Telegram, Viber y Facebook Messenger. El acceso a la aplicación o al chatbot puede protegerse adicionalmente mediante un PIN o autenticación biométrica, añadiendo una capa extra de seguridad al proceso de autenticación.
Elija su método de autenticación OTP
El componente Protectimus DSPA para la protección de bases de datos permite a los administradores definir cualquier intervalo de rotación de OTP en múltiplos de 30 segundos. La misma funcionalidad está disponible en Protectimus SMART OTP y Protectimus BOT
Protectimus SMART OTP
La aplicación gratuita Protectimus SMART OTP para autenticación multifactor está disponible para iOS y Android. Al crear un nuevo token TOTP, los usuarios pueden configurar el intervalo de tiempo deseado en múltiplos de 30 segundos. Esto permite utilizar Protectimus SMART OTP para implementar autenticación sin contraseña para Active Directory, MFA para LDAP y autenticación multifactor para bases de datos mediante Protectimus DSPA.
Chatbots de mensajería
La entrega de OTP está disponible a través de los chatbots Protectimus BOT para Telegram, Viber y Facebook Messenger. Este método MFA basado en software también está disponible sin coste adicional. Permite a los administradores configurar la generación de OTP basadas en TOTP con cualquier intervalo de tiempo, lo que convierte a estos chatbots en una excelente opción de autenticación para Protectimus DSPA.
Plataforma MFA on-premise o nube privada
Antes de implementar Protectimus Dynamic Strong Password Authentication, es necesario instalar Protectimus On-Premise Platform en su infraestructura o en una nube privada
Plataforma MFA
on-premise
Implementación en nube privada
El servidor de autenticación de Protectimus también puede desplegarse en la nube privada del cliente. Independientemente de si la plataforma se instala en su infraestructura o en una nube privada, seguirá ofreciendo compatibilidad con entornos multidominio, clustering, replicación y copias de seguridad, además de un control total sobre los datos sensibles y los procesos de autenticación. Antes de instalar Protectimus On-Premise Platform en una nube privada, asegúrese de que la infraestructura cumple los siguientes requisitos técnicos: 2 vCPU, 8 GB RAM Linux, 100 GB de almacenamiento por instancia, 1000 GB de tráfico de red al mes, Equilibrador de carga.
Cómo configurar la autenticación multifactor para Active Directory
Instrucciones de configuración de MFA para Active Directory con Protectimus DSPA
Instale la plataforma con el componente DSPA
Instale Protectimus On-Premise Platform mediante el instalador para Windows disponible en esta página o utilizando una imagen Docker. El componente Protectimus DSPA se instalará automáticamente.
Añada un recurso
En la pestaña «Recursos», haga clic en «Añadir recurso». Introduzca un nombre para el recurso y haga clic en «Guardar». El resto de los parámetros son opcionales.
Configure un proveedor de usuarios y la sincronización
En Protectimus Platform, inicie sesión en su cuenta, vaya a la pestaña «DSPA» y seleccione «Añadir tarea» → «Añadir proveedor de usuarios LDAP». Introduzca los datos de su directorio de usuarios, configure los atributos de sincronización, importe los usuarios a Protectimus Platform y sincronícelos con su directorio.
Active el componente Protectimus DSPA
Abra la pestaña «DSPA», seleccione la instancia correspondiente y cambie el parámetro «Enabled» al estado activo.
Active el portal de autoservicio para usuarios
Para que Protectimus DSPA funcione correctamente, necesita un proveedor de usuarios configurado, usuarios sincronizados, una contraseña configurada para cada usuario y tokens asignados. Para permitir que los usuarios configuren sus contraseñas y registren sus propios tokens, active el portal de autoservicio para usuarios: seleccione el recurso, abra la pestaña «Self-Service», habilite el autoservicio y configure la dirección del portal.