Configuración de la autenticación de dos factores (2FA o MFA)
La autenticación de dos factores (conocida también como 2FA o MFA) agrega una capa adicional de seguridad a su instancia de Diligent One, ya que se solicita a los usuarios un código de acceso temporal, además de la contraseña. En caso de que la contraseña de Diligent One de un usuario se vea comprometida, ningún atacante podría iniciar sesión sin el acceso a la aplicación de autenticación 2FA de ese usuario, la que normalmente se encuentra en el teléfono celular del usuario.
Permisos
Solo los administradores del sistema pueden imponer la autenticación 2FA, desbloquear cuentas y deshabilitar dicha autenticación.
Cómo funciona
Los administradores del sistema pueden imponer la autenticación 2FA en su instancia de Diligent One. Una vez impuesta esa autenticación, para poder acceder a una instancia de Diligent One, todos los usuarios de su instancia deberán realizar los siguientes pasos:
- Descargar una aplicación de autenticación que admita códigos de acceso de un solo uso basados en el tiempo (TOTP)
- Activar la autenticación 2FA en su cuenta de Diligent One enlazándola a su aplicación de autenticación
- Introducir el código en Diligent One
Qué autenticadores 2FA admitimos
La autenticación 2FA de Diligent One es compatible con la mayoría de las aplicaciones de autenticación que pueden ofrecer un código de acceso de un solo uso basado en el tiempo (TOTP). Hemos probado las siguientes aplicaciones y sabemos que funcionan, pero otras también deberían funcionar.
- Google Authenticator
- Microsoft Authenticator
- Cisco Duo Mobile
- Okta Verify
- Auth0 Guardian
- LastPass Authenticator
Qué sucede cuando la gente trata de iniciar sesión de manera incorrecta
Para evitar los ataques de fuerza bruta, los usuarios de las instancias habilitadas para 2FA tienen un límite de intentos fallidos de 5 contraseñas y 3 códigos de autenticación. Luego de eso, Diligent One bloquea la cuenta. Para desbloquearla, deberá intervenir un administrador de sistemas.
No puede usar el SSO y la 2FA juntos
No puede usar la autenticación de dos factores con el inicio sesión único. Si necesita usar el SSO y la 2FA juntos, debería usar la función de 2FA de su proveedor de SSO. Si el SSO está activado, Diligent One no le permitirá activar la 2FA. Del mismo modo, si un usuario de su instancia utiliza la 2FA, Diligent One no le permitirá activar el SSO.
Si sus usuarios acceden a varias instancias
Cuando se habilite la autenticación 2FA en su instancia de Diligent One, todos los usuarios de esa instancia tendrán que utilizar la 2FA para acceder a cualquier instancia de Diligent One, incluidas las instancias que pertenezcan a otras empresas.
Imponer la autenticación 2FA
Siga los pasos a continuación a fin de habilitar la autenticación 2FA para todos los usuarios en su instancia de Diligent One.
Preparar a los usuarios para usar la autenticación 2FA
- La mayoría de las personas ya conocen la autenticación 2FA, pero es posible que no todas la hayan usado. Como este es un cambio global, lo ideal es advertirles a los usuarios que este cambio se va a realizar para que sepan qué esperar.
- Considere lo que quiere hacer para los casos extremos. Por ejemplo, ¿las personas que no tienen acceso a un dispositivo móvil deben autenticarse con una aplicación de autenticación en su equipo actual?
- Si trabaja para una organización grande, prepárese para los gastos adicionales que implica el soporte de los usuarios en caso de que Diligent One tenga que bloquear sus cuentas.
Cambiar a la autenticación 2FA
- Abra Launchpad.
- Si su empresa utiliza más de una instancia en Diligent One, asegúrese de que la instancia apropiada esté activa.
- Seleccione Configuración de la plataforma > Organización. Si no ve Organización entre las opciones, la cuenta que utilizó para iniciar sesión no tiene privilegios de administrador de sistema.
- Haga clic en Actualizar organización.
- Haga clic en la ficha Configuración de seguridad.
- En Autenticación de dos factores en toda la plataforma, marque Activar.
- Haga clic en Guardar cambios.
Ahora, la autenticación 2FA estará activada para toda persona que pueda acceder a esta instancia de Diligent One. La próxima vez que inicie sesión, deberá configurar la autenticación 2FA para su propia cuenta, como el resto de los usuarios. Por ahora, su sesión sigue abierta.
Desactivar la autenticación 2FA en su instancia
Puede desactivar la autenticación 2FA en su instancia de Diligent One.
Nota
Esto no desactivará automáticamente la autenticación 2FA para sus usuarios. Cada persona puede decidir si continúa usando la autenticación 2FA, o bien usted puede anular su registro.
- Abra Launchpad.
- Si su empresa utiliza más de una instancia en Diligent One, asegúrese de que la instancia apropiada esté activa.
- Seleccione Configuración de la plataforma > Organización. Si no ve Organización entre las opciones, la cuenta que utilizó para iniciar sesión no tiene privilegios de administrador de sistema.
- Haga clic en Actualizar organización.
- Haga clic en la ficha Configuración de seguridad.
- En Autenticación de dos factores en toda la plataforma, borre Activar.
- Haga clic en Guardar cambios.
Desbloquear una cuenta bloqueada
Si alguien tiene demasiados intentos fallidos de inicio de sesión, Diligent One bloqueará la cuenta. Para restaurar el acceso, un administrador de sistemas debe desbloquearla.
- Abra Launchpad.
- Si su empresa utiliza más de una instancia en Diligent One, asegúrese de que la instancia apropiada esté activa.
- Seleccione Configuración de la plataforma > Usuarios. Si no ve Usuarios como una opción, la cuenta que utilizó para iniciar sesión no tiene privilegios de administrador del sistema.
- Encontrar el usuario que debe desbloquearse:
- Ingrese un nombre o correo electrónico en el cuadro de búsqueda.
- Use filtros para restringir la lista de usuarios a un subconjunto.
- Haga clic en las columnas Nombre, Estado o Fecha de inicio de sesión anterior para ordenar los usuarios.
- Haga clic en el nombre de ese usuario. Se abrirá el panel Detalles del usuario.
- Haga clic en Desbloquear.
El usuario bloqueado podrá iniciar sesión en Diligent One nuevamente.
Anular el registro de un usuario de la autenticación 2FA
Si alguien pierde o cambia su dispositivo móvil, un administrador del sistema puede anular su registro de la autenticación 2FA. Si se aplica la autenticación 2FA, la próxima vez que el usuario intente iniciar sesión, verá un mensaje de Diligent One para invitarlo a registrar su nuevo dispositivo en la autenticación 2FA. Si no se aplica la autenticación 2FA, esta persona ya no necesitará usar la autenticación 2FA.
- Abra Launchpad.
- Si su empresa utiliza más de una instancia en Diligent One, asegúrese de que la instancia apropiada esté activa.
- Seleccione Configuración de la plataforma > Usuarios. Si no ve Usuarios como una opción, la cuenta que utilizó para iniciar sesión no tiene privilegios de administrador del sistema.
- Encontrar el usuario que debe desbloquearse:
- Ingrese un nombre o correo electrónico en el cuadro de búsqueda.
- Use filtros para restringir la lista de usuarios a un subconjunto.
- Haga clic en las columnas Nombre, Estado o Fecha de inicio de sesión anterior para ordenar los usuarios.
- Haga clic en el nombre de ese usuario. Se abrirá el panel Detalles del usuario.
- Haga clic en Anular registro de 2FA.
Se ha anulado el registro de la autenticación 2FA de ese usuario.
Nota
Su aplicación de autenticación no sabe si la 2FA está o no activada. Cada persona debe quitar a Diligent One de su aplicación de autenticación si ya no desea que aparezca ahí.
Anular su propio registro de la autenticación 2FA
Si pierde o cambia su dispositivo móvil, puede anular su registro de la autenticación 2FA. Si se aplica la autenticación 2FA, la próxima vez que intente iniciar sesión, verá un mensaje de Diligent One en el que se lo invitará a registrar su nuevo dispositivo en la autenticación 2FA.
- Abra Launchpad.
- Desde la barra de navegación global, seleccione > Perfil.
- Haga clic en Anular el registro del dispositivo. Aparecerá una ventana emergente en la que se le informará que, si anula el registro, su sesión se cerrará automáticamente.
- Seleccione Anular el registro y cerrar la sesión para cerrar sesión inmediatamente.
- Vuelva a iniciar sesión en Diligent One y repita el proceso de registro para acceder a su cuenta.