Saltar a contenido

Configurar la autenticación de dos factores con el autenticador de Google

Crear un nuevo token TOTP en la consola de administración

Abrir el generador de tokens OTP desde una cuenta de administrador:

Añadir un nuevo token TOTP y seleccionar TOTP (Google authenticator, FreeOTP, ...):

Luego configure su token TOTP:

  • Defina un nombre. Tenga en cuenta que este nombre se mostrará al usuario en Google Authenticator si se selecciona el método de inscripción de código QR.
  • El Expiration Time y Number of Digits Para Google Authenticator, estos valores deben establecerse en 30 segundos y 6 las cifras, respectivamente.
  • El Key size (bits) está configurado en 32 por defecto, que es el valor recomendado, aunque también son posibles ajustes de 16 o 64 bits.

Hay dos métodos para almacenar las claves TOTP:

  1. (Método recomendado) El almacenamiento de claves en cyberelements.io o cyberelements Cleanroom, se pueden utilizar 3 modos de funcionamiento:

    1. Marcando la opción Display a QR Code on the user portal, cuando el usuario se autentica por primera vez, se le dará un código QR para escanear con Google Authenticator para registrar su TOTP.
    2. En combinación con o sin la opción anterior, la clave TOTP puede enviarse por correo electrónico al usuario, que tendrá que realizar un registro manual:
    3. Si no se activa ninguna opción, los administradores serán responsables de importar manualmente las claves TOTP y de comunicarlas a los usuarios.

    Ejemplo

    Aquí hay un ejemplo de una configuración de token TOTP:

    En este ejemplo, la clave secreta se almacenará en cibernéticoelementos. cibernéticoLos elementos Cleanroom y se mostrará al usuario cuando inicie sesión por primera vez con un código QR para escanear en Google Authenticator.

  2. Ahorrar la clave en un atributo de usuario: deberá especificar el nombre del atributo (sensible a mayúsculas y minúsculas) que contendrá la clave TOTP.

    Warning

    Este método es compatible sólo para usuarios pertenecientes a un dominio LDAP.

    Además, como el acceso por cibernéticoelementos. cibernéticoLos elementos Cleanroom Si el atributo de acceso a un servidor LDAP es de solo lectura, corresponde al administrador completar el contenido del atributo configurado con la clave TOTP del usuario.
    Por lo tanto, este método no puede configurarse con las opciones para mostrar la clave TOTP a través de un código QR o para enviar la clave por correo electrónico.

Habilitar TOTP en un dominio de autenticación

En los dominios de autenticación, edite el dominio para el que desea habilitar TOTP MFA:

El tiempo de expiración le permite definir si el usuario tendrá que introducir su TOTP (valor en 0) después de un cierto número de horas o días para cada autenticación:

Importar las claves TOTP manualmente

La clave TOTP se basa en el estándar RFC3548 base 32.

Por lo tanto:

  • Los caracteres admitidos son los de RFC3548: letras de A a Z y números de 2 a 7
  • La clave sólo debe contener letras mayúsculas
  • La clave debe contener 32 caracteres (si está configurada de esta manera en el token TOTP)

Ejemplo

¿Qué es lo que está pasando?

La importación se basa en un archivo CSV con dos columnas:

1
user,key

La primera columna debe contener el nombre del usuario y la segunda la clave TOTP asociada.

Tip

Si se especifica una clave vacía, la clave del usuario se restablecerá y se generará una nueva la próxima vez que inicie sesión.

Example

Para tener la asociación entre el usuario y la siguiente clave TOTP (el tercer usuario tiene su clave TOTP restablecido):

  • user1 / AHGXZFGCNWOD2X7YT6KI5JMXCUYKDN6P
  • user2 / PIHYCEG2374V76523EVXAMZOUT36F3FG
  • user3 /

El archivo CSV deberá contener: 

1
2
3
4
user,key
user1,AHGXZFGCNWOD2X7YT6KI5JMXCUYKDN6P
user2,PIHYCEG2374V76523EVXAMZOUT36F3FG
user3,

Una vez preparado el archivo CSV, debe importarse para un dominio específico y el token TOTP: