Deployment
Deployment
Breadcrumbs

Autenticación integrada de Windows

La autenticación integrada de Windows (IWA) permite a los usuarios de un dominio de Windows iniciar sesión en MyQ sin tener que volver a introducir sus credenciales. Cuando tanto el servidor MyQ como el dispositivo cliente están unidos al dominio, la autenticación puede realizarse automáticamente utilizando la identidad de Windows del usuario.

MyQ es compatible con los protocolos de autenticación utilizados por IWA: Kerberos y NTLM. Se intenta primero Kerberos cuando las condiciones lo permiten (dispositivo unido al dominio, configuración correcta de DNS/SPN). NTLM se utiliza solo cuando no se puede aplicar Kerberos (por ejemplo, para dispositivos que no pertenecen al dominio, entornos heredados o debido a SPN mal configurados). Opcionalmente, puede aplicar la autenticación exclusiva de Kerberos en el servidor MyQ.

Comparación de protocolos

Característica / Comportamiento

Kerberos

NTLMv2

Nivel de seguridad

Alta (autenticación mutua, tickets)

Moderada (desafío-respuesta)

Se requiere pertenencia a un dominio

Recomendado, pero puede funcionar en otros escenarios

Requiere SPN

No

Acceso al servidor

FQDN

FQDN, dirección IP, nombre de host

Compatible con dispositivos que no pertenecen a un dominio

No

Sí (alternativa)

Recomendado para MyQ

Solo cuando Kerberos no está disponible

Se puede desactivar

Sí (mediante política)

Sí, mediante GPO o parámetro de configuración de MyQ
[Security]
KerberosOnly=true

Requisitos previos

  • Active Directory Domain Services (AD DS) está en ejecución.

  • El DNS resuelve correctamente el FQDN de su servidor MyQ.

  • El servidor MyQ y los dispositivos cliente están unidos al mismo dominio (o a dominios de confianza).

  • AD está configurado como servidor de autenticación en MyQ y los usuarios están sincronizados.

  • La opción «Iniciar sesión con autenticación de Windows» está habilitada en MyQ > Configuración > Autenticación de usuario.

  • La sincronización horaria es precisa entre los controladores de dominio, los servidores y los clientes.

IWA solo funciona en entornos de dominio o de dominios de confianza. Los dispositivos fuera del dominio no pueden autenticarse de forma silenciosa.

Configuración del servidor

MyQ no requiere IIS; MyQ se basa en Windows (http.sys) para la autenticación basada en SPN a través de la API del servidor HTTP de Windows. Por este motivo, el SPN debe registrarse en la cuenta de equipo del servidor MyQ, en lugar de en una cuenta de servicio.

Si se requiere NTLM para sistemas heredados, aplique NTLMv2. De lo contrario, desactive NTLM por completo.

Configuración del cliente

Configure los navegadores (Edge, Chrome, Firefox) para que consideren de confianza el FQDN del servidor MyQ como un sitio de intranet y habilite IWA.

Ejemplo: Microsoft Edge

  • Opciones de Internet > Avanzadas > Seguridad > Habilitar autenticación integrada de Windows.

  • Opciones de Internet > Seguridad > Intranet local > Sitios > Avanzadas; añada aquí los sitios de intranet. A continuación, vaya a Nivel personalizado > Autenticación de usuario > Inicio de sesión > Inicio de sesión automático solo en la zona de intranet.

Para habilitar la autenticación de Windows (SSO sin interrupciones) en el Desktop Client para dispositivos unidos a un dominio, modifique su perfil de configuración en el servidor MyQ.

Política de grupo y aplicación de Kerberos

Utilice la configuración de la Política de grupo de Windows para gestionar de forma centralizada el comportamiento de autenticación de todos los sistemas unidos al dominio. MyQ también ofrece una opción a nivel de servidor para aplicar Kerberos sin afectar a otros servicios.

Ámbito

Ubicación de la configuración

Propósito

Notas

Solo MyQ

config.ini

Aplica la autenticación Kerberos para MyQ

No afecta al uso de NTLM por parte de otros servicios

En todo el dominio (Kerberos)

Computer Configuration → Policies → Windows Settings → Security Settings → Account Policies → Kerberos Policy

Controla la duración de los tickets de Kerberos, las renovaciones y la desviación horaria

Se aplica a todos los servidores y clientes unidos al dominio

En todo el dominio (NTLM)

Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Security Options

Restringe o deshabilita la autenticación NTLM

La desactivación de NTLM impone el uso de Kerberos en todo el dominio

Flujo de trabajo de Kerberos

  1. Adquisición del Ticket Granting Ticket (TGT): Los clientes unidos al dominio obtienen un TGT del Centro de Distribución de Claves (KDC).

  2. Solicitud de ticket de servicio: el cliente solicita un ticket de servicio HTTP/<FQDN> al KDC.

  3. Validación del token: el servidor MyQ valida el ticket de servicio con el SPN registrado.

Experiencia de inicio de sesión del usuario

IWA en la interfaz web de MyQ

La autenticación de Windows se puede habilitar en MyQ > Configuración > Autenticación de usuario. Una vez habilitada, aparece un método de inicio de sesión IWA en la pantalla de inicio de sesión, mientras que otros métodos siguen estando disponibles para los usuarios no cubiertos por IWA (por ejemplo, usuarios BYOD, invitados o administradores).

Cuando un usuario accede a la interfaz web de MyQ desde un dispositivo Windows unido a un dominio, MyQ intenta primero la autenticación mediante Kerberos, con NTLM como alternativa, a menos que la alternativa NTLM esté desactivada.

Si falla la autenticación de Windows, se redirige al usuario a la pantalla de inicio de sesión estándar con el mensaje de error «Credenciales no válidas».

MyQ X Login Screen

IWA en el Desktop Client de MyQ

La autenticación de Windows se puede habilitar para perfiles de configuración específicos en Configuración > Desktop Client MyQ.

Cuando un usuario inicia el Desktop Client en un dispositivo Windows unido a un dominio, MyQ intenta primero la autenticación mediante Kerberos. Si Kerberos no está disponible o falla, MyQ recurre a NTLM, a menos que la alternativa de NTLM esté desactivada.

Si falla la autenticación de Windows, los usuarios son redirigidos a la pantalla de inicio de sesión estándar para utilizar las credenciales de MyQ o la validación LDAP con un directorio de usuarios remoto.

Solución de problemas

Registros de autenticación y verificación

Al utilizar IWA, la autenticación la gestionan Windows y Active Directory. Por este motivo, no hay registros específicos de MyQ que indiquen explícitamente el protocolo utilizado para un inicio de sesión concreto.

Puede inspeccionar la actividad de autenticación en el Registro de eventos de seguridad de Windows en el controlador de dominio:

  • Los eventos de autenticación de Kerberos suelen incluir:

    • Inicio de sesión correcto: ID de evento 4624 (tipo de inicio de sesión 3 o 10)

    • Solicitud de TGT: 4768

    • Solicitud de ticket de servicio: 4769

    • Errores de autenticación: 4771, 4775

  • Los intentos de autenticación NTLM se registran como eventos de seguridad, lo que indica el uso de NTLM.

Estos eventos muestran si se utilizó Kerberos o NTLM e identifican el equipo de origen (nombre de host o dirección IP). Estos eventos no identifican a MyQ como la aplicación que inició la solicitud.

Asignación de dominios

En entornos Windows, el nombre de dominio utilizado durante la autenticación puede aparecer en diferentes formatos, normalmente como un nombre NetBIOS (nombre corto) o un nombre de dominio DNS (FQDN). Para que la autenticación IWA se realice correctamente, el dominio presentado por el cliente debe coincidir con el dominio configurado en el servidor de autenticación de MyQ.

La autenticación puede fallar si estos formatos difieren; por ejemplo, el usuario inicia sesión como ACME\jdoe pero MyQ está configurado para acme.example.com. Esto es especialmente común con NTLM, donde el valor del dominio se evalúa de forma estricta.

Para admitir este tipo de entornos, MyQ proporciona el domainsMapping , que permite asignar nombres de dominio NetBIOS a sus nombres de dominio DNS correspondientes. Para obtener información sobre cómo utilizar este parámetro, consulte Advanced Configuration.

Registro de SPN

Para registrar el SPN requerido en la cuenta del equipo del servidor MyQ:

  1. Abra el símbolo del sistema como administrador en un controlador de dominio.

  2. Ejecute:
    setspn -S HTTP/myqserver.domain.com MYQSERVER

  3. Compruebe el registro:
    setspn -L MYQSERVER

  4. Confirme que aparece la entrada HTTP/myqserver.domain.com.

Recursos