Página web
Insight09.03.2023

Autenticación multifactor

¿Qué es la autenticación multifactor y para qué se necesita?

La autenticación multifactor, o MFA por sus siglas en inglés, es un mecanismo de seguridad que requiere que los usuarios introduzcan al menos dos factores de verificación independientes para identificarse de forma única al acceder a una aplicación. El acceso no autorizado no es posible gracias al método de autenticación adicional, por lo que el nivel de seguridad aumenta considerablemente.

MFA y Relution

Relution permite a los usuarios LDAP y locales activar los métodos de autenticación adicionales "E-Mail Token" y "Authenticator App" en el Portal Relution, además del nombre de usuario y la contraseña. La versión 5.16 tiene en cuenta el requisito de la Oficina Federal Alemana de Seguridad (BSI) para que los proveedores de MDM implementen la provisión de un nivel de seguridad adicional.

¿Cómo se configura la MFA en Relution?

La nueva función MFA debe ser habilitada por un administrador de la organización o del sistema "Configuración" -> "Política de contraseña" antes de que pueda utilizarse.

Insight_MFA_01_EN.png

En la opción del submenú "Autenticación multifactor", puede seleccionar "Autenticación por correo electrónico" y especificar el periodo de validez del código de un solo uso que se enviará o seleccionar la opción "Aplicaciones de autenticador". También es posible activar ambas variantes en paralelo.

Forzar login MFA

The Relution Permission system has been extended by the "Multi-factor authentication" option. It can be defined for a role whether the MFA logon is required or not. If the role with activated MFA logon is assigned to a user or a group, an MFA logon is mandatory for a LogIn.

Insight_MFA_02_EN.png

Si aún no se ha configurado ningún método MFA, el usuario deberá hacerlo la primera vez que inicie sesión.

Insight_MFA_03_EN.jpg

Métodos de autenticación multifactor

E-mail token

Cada Usuario, independientemente de un Administrador, tiene la posibilidad de activar la MFA individualmente en el Portal Relution. En la barra de menú "Perfil", se pueden añadir nuevos tokens para la autenticación de dos factores en "Tokens MFA". Si se selecciona la primera opción "Correo electrónico", se abre una nueva pestaña para introducir la dirección de correo electrónico.

Insight_MFA_04_EN.png

Las direcciones de correo electrónico privadas, así como las direcciones de correo electrónico distintas de las del usuario, pueden almacenarse en el sistema, lo que resulta útil en el contexto escolar.

Insight_MFA_05_EN.png

Tras introducirlo, se enviará un código de verificación único a la dirección de correo electrónico introducida. Este código sigue siendo válido durante el periodo especificado por el administrador. En cuanto se introduce el pin correcto, consistente en cualquier combinación numérica, se configura la autenticación multifactor.

Insight_MFA_06_EN.png

Aplicación(es) de autenticación

En el Relution Portal se puede almacenar cualquier número de factores MFA. Además de la variante de correo electrónico, se admite el uso de varias "Authenticator Apps". Si se selecciona la segunda variante "Authenticator App" como nuevo "token MFA" en la barra de menú "Perfil", se abre una nueva ventana con un código QR que debe escanearse con la app de autenticación previamente instalada en el dispositivo final. También existe la opción de volver a una clave de configuración para la verificación.

Insight_MFA_07_EN.png

Si se utilizan varias aplicaciones Authenticator en varios dispositivos al mismo tiempo, se comprueba la validez de al menos una aplicación para garantizar un inicio de sesión correcto.

Si se utilizan ambos métodos de autenticación multifactor, se consulta principalmente la app Authenticator; la variante de correo electrónico almacenada sirve como copia de seguridad.

Insight_MFA_08_EN.png

Si sólo se utiliza la aplicación Authenticator, no hay alternativa de correo electrónico.

Borrar tokens MFA manualmente

Los tokens MFA pueden ser eliminados manualmente por el usuario en la barra de menú "Perfil" en la opción de menú "Token MFA". Si todas las variantes de MFA se han eliminado manualmente, pero la aplicación ha sido forzada por el administrador, la autenticación multifactor debe almacenarse de nuevo la próxima vez que el usuario inicie sesión en el Relution Portal.

¿Qué ocurre en caso de pérdida del MFA?

Si el usuario no tiene acceso al correo electrónico y/o a la aplicación Authenticator cuando MFA está activado, ya no es posible iniciar sesión en el Relution Portal - es obligatorio acudir al administrador. En "Usuarios" -> "Usuarios", el administrador tiene la opción de eliminar manualmente el token MFA bloqueado.

En la versión 5.16, MFA está disponible para la consola Relution. Las aplicaciones se completarán en breve con el nuevo procedimiento y se publicarán.