.png)
Autenticación integrada de Windows
Autenticación integrada de Windows (IWA) permite a los usuarios autenticarse sin problemas utilizando sus credenciales de Windows. Este método aprovecha protocolos como NTLM (NT LAN Manager) o Kerberos para autenticar a los usuarios sin necesidad de que vuelvan a introducir sus credenciales al acceder a servicios o aplicaciones dentro del dominio de Windows.
MyQ X admite la autenticación mediante NTLM, utilizando un mecanismo de desafío-respuesta. En este proceso, el usuario proporciona una versión hash de su contraseña y el servidor la valida sin necesidad de conocer la contraseña real.
Si el ordenador cliente pertenece al dominio (por ejemplo, una aplicación de intranet), el usuario no necesita introducir credenciales.
Requisitos previos
Para utilizar la AIT deben cumplirse los siguientes requisitos:
Servicios de dominio de Active Directory (AD DS) debe estar instalado y configurado.
Los dispositivos y los servidores MyQ deben estar unidos en el mismo dominio local.
Una configuración DNS adecuada es vital para garantizar una resolución precisa de los nombres de dominio.
Los dispositivos funcionan con Windows.
Los usuarios deben sincronizarse desde Active Directory y utilizarlo como su servidor de autenticación en MyQ.
Configuración
La IWA suele estar activada por defecto y no requiere una configuración exhaustiva a menos que sea necesario aplicar políticas de seguridad específicas. La configuración se gestiona principalmente mediante directivas de grupo e IIS (si está ejecutando sus aplicaciones; IIS no es necesario para la autenticación con MyQ), y suele funcionar automáticamente en un entorno de dominio correctamente configurado.
En los clientes, hay que asegurarse de que la autenticación de Windows está activada en los navegadores web y de que el servidor MyQ está añadido como sitio web de la intranet en el mismo tono que los ordenadores cliente.
Controlador de dominio
La configuración de NTLM puede gestionarse fácilmente a través de la directiva de grupo. Para ello, abra la Consola de administración de directivas de grupo (GPMC) y vaya a
Configuración del equipo -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Opciones de seguridad. Dentro de esta sección, encontrará varias políticas relativas a NTLM, incluyendo Seguridad de la red: Nivel de autenticación de LAN Manager.
Por favor, compruebe que estos ajustes cumplen sus requisitos de seguridad. Por ejemplo, tiene la opción de configurar el nivel de autenticación de LAN Manager para permitir sólo respuestas NTLMv2, que es una opción más segura en comparación con NTLMv1.
Configuración de clientes
Asegúrese de que los clientes están configurados para utilizar la autenticación integrada de Windows (IWA). Esto suele requerir configurar los navegadores web (como Edge, Chrome o Firefox) para permitir el inicio de sesión automático utilizando el nombre de usuario y la contraseña actuales para los sitios de la intranet.
Microsoft Edge
Opciones de Internet → Avanzadas → Seguridad → Activar autenticación integrada de Windows.
Opciones de Internet -> Seguridad -> Intranet local -> Sitios -> Avanzado, añada aquí los sitios de la intranet. A continuación, vaya a Nivel personalizado -> Autenticación de usuarios -> Inicio de sesión -> Inicio de sesión automático sólo en la zona Intranet.
Experiencia de inicio de sesión
Autenticación de Windows en la Interfaz Web MyQ
La autenticación de Windows puede activarse en Ajustes → Autenticación de usuarios. Una vez hecho esto, se muestra un nuevo método de inicio de sesión en la pantalla de inicio de sesión. Esto garantiza que los usuarios puedan seguir utilizando otras formas de autenticación si la IWA no se aplica a ellos (por ejemplo, usuarios invitados, usuarios BYOD, cuenta *admin).
Si la Autenticación de Windows falla para el usuario, se le redirige de nuevo a la experiencia de inicio de sesión estándar y puede continuar con otro método de inicio de sesión. El mensaje de error Credenciales no válidas se mostrará.
Autenticación de Windows en MyQ Desktop Client
La autenticación de Windows puede activarse en Ajustes → Cliente de escritorio MyQ para perfiles de configuración específicos. De este modo, puede habilitar esta opción sólo para determinados ordenadores mientras selecciona el inicio de sesión estándar con credenciales MyQ o credenciales validadas mediante LDAP contra un directorio de usuarios remoto (por ejemplo, AD) en otro conjunto de ordenadores.
Si la autenticación de Windows falla para el usuario, se le redirige de nuevo a la experiencia de inicio de sesión estándar y puede introducir las credenciales MyQ o iniciar sesión con credenciales validadas a través de LDAP contra un directorio de usuarios remoto (por ejemplo, AD).