GlobalProtect: Autenticación de dos factores basada en contraseña única - Always-On
Resolution
Requerir OTP- autenticación basada en el modo Always-On
Cuando GlobalProtect se configura en el modo Aways-On, el agente se conecta automáticamente tan pronto como el usuario inicia sesión en el punto de GlobalProtect
GlobalProtect conexión. En un modo Always-On, el GlobalProtect agente se conecta al portal cuando el usuario selecciona manualmente las
opciones Conectar o Redescubrir red inalámbricas o periódicamente
a intervalos configurados (por defecto 24 horas). En cualquier otro momento, como dormir / despertar o cerrar sesión / iniciar sesión, el
GlobalProtect agente habla con la puerta de enlace solamente.
Caso de uso 1: Requerir OTP autenticación para en modo GlobalProtect Always-On usando RADIUS
Requerir OTP autenticación para en modo GlobalProtect Always-on es aún más doloroso para un usuario final.
Enduser recibiría una pregunta por OTP cada vez que intenta GlobalProtect conectarse, que es cada vez que hay
un sueño / activación o cambio de red o cerrar sesión / iniciar sesión. El uso GlobalProtect de la función De anulación de autenticación minimiza el número de veces que se solicita al usuario
y proporciona una mejor experiencia de OTP usuario.
Configuración recomendada para este caso de uso:
Opción 1:
- Requerir OTP autenticación tanto para el portal como para la puerta de enlace
- En el portal,
- Configurar guardar credenciales de usuario en "Yes"
- Habilitar la anulación de autenticación y habilitar tanto el reemplazo de cookies de autenticación como la aceptación de cookies para la autenticación.
- Establezca la duración de la cookie en N ' horas. ' N ' horas es cuánto tiempo el usuario no se le pedirá credenciales de nuevo. Elija ' N ' en función de la experiencia de usuario que desea proporcionar. Típicamente 24 horas podrían ser un buen valor para la vida de la galleta.
- Consideración:
- En caso de que el RADIUS / servidor esté configurado para requerir nombre de usuario & contraseña y todo a la vez sin OTP tener que esperar a un OTP desafío, entonces en el Portal
- Configure guardar credenciales de usuario en "guardar sólo el nombre" y
- En Componentes que requieren contraseñas dinámicas, habilite esos componentes GlobalProtect de los que requieren OTP . Por ejemplo, habilite las casillas de verificación Portal y External gateways-auto discovery si las puertas de enlace de detección automática y portal son los únicos componentes que requieren OTP .
- En caso de que el RADIUS / servidor esté configurado para requerir nombre de usuario & contraseña y todo a la vez sin OTP tener que esperar a un OTP desafío, entonces en el Portal
- En la pasarela,
- Habilitar la anulación de autenticación y habilitar tanto el reemplazo de cookies de autenticación como la aceptación de cookies para la autenticación.
- Establezca la duración de la cookie en N ' horas. Típicamente 24 horas podrían ser un buen valor para la vida de la galleta.
- Asegúrese de utilizar el mismo certificado para cifrar/descifrar cookies tanto en portal como en Gateway.
- Nota: El uso de un certificado dedicado para el cifrado y descifrado de la cookie de autenticación proporciona flexibilidad si alguna vez es necesario revocar el certificado utilizado para la invalidación de autenticación.
Con esta GlobalProtect configuración y con el servidor configurado para OTP requerir que el usuario proporcione el nombre de usuario / contraseña primero, y después requiere OTP solamente después de ser desafiado, la experiencia del usuario final sería:
Opción 2:
- Requerir OTP para el portal y las puertas de enlace manuales solamente
- Requerir credenciales de certificado y Active Directory para las pasarelas de descubrimiento automático
- En el portal,
- Configurar guardar credenciales de usuario en "Yes"
- Habilitar la anulación de autenticación y habilitar tanto el reemplazo de cookies de autenticación como la aceptación de cookies para la autenticación.
- Establezca la duración de la cookie en N ' días. ' ' días es cuánto tiempo no se le pedirá al N usuario credenciales de nuevo. Elija ' N ' en función de la experiencia de usuario que desea proporcionar. Típicamente 14 días podrían ser un buen valor para la vida de la galleta.
- Consideración:
- En caso de que el RADIUS / servidor esté configurado para requerir nombre de usuario & contraseña y todo a la vez sin OTP tener que esperar a un OTP desafío, entonces en el Portal
- Configure guardar credenciales de usuario en "guardar sólo el nombre" y
- En Componentes que requieren contraseñas dinámicas, habilite esos componentes GlobalProtect de los que requieren OTP . Por ejemplo, habilite las casillas de verificación Portal y External gateways-auto discovery si las puertas de enlace de detección automática y portal son los únicos componentes que requieren OTP .
- Si el certificado de cliente necesario para la autenticación en puertas de enlace de detección automática aún no se ha distribuido, considere la posibilidad de usar SCEP .
- Este SCEP certificado emitido se puede utilizar como certificado de cliente para puertas de enlace de detección automática.
- Establezca el SCEP período de renovación del certificado en 10 días.
- En caso de que el RADIUS / servidor esté configurado para requerir nombre de usuario & contraseña y todo a la vez sin OTP tener que esperar a un OTP desafío, entonces en el Portal
- En las pasarelas de descubrimiento automático,
- Requerir certificado y AD / LDAP autenticación
- Habilitar la anulación de autenticación y habilitar tanto el reemplazo de cookies de autenticación como la aceptación de cookies para la autenticación.
- Establezca la duración de la cookie en N ' horas. Típicamente 24 horas podrían ser un buen valor para la vida de la galleta.
- Asegúrese de utilizar el mismo certificado para cifrar/descifrar cookies tanto en portal como en Gateway.
- En las pasarelas manuales,
- Requerir OTP autenticación
- No habilite generar cookie para anular la autenticación y no habilite aceptar cookie para anular la autenticación.
Con esta configuración y con el GlobalProtect servidor configurado OTP para requerir que el usuario proporcione el nombre de usuario / contraseña primero y luego requerir OTP solamente después de ser desafiado, la experiencia del usuario final sería:
Caso de uso 2: Requerir OTP autenticación para en modo bajo demanda GlobalProtect usando SAML
El uso SAML es otra forma de lograr la autenticación basada para OTP GlobalProtect . Para obtener más detalles sobre
SAML el soporte técnico y las GlobalProtect configuraciones recomendadas, consulte aquí: GlobalProtect: Autenticación de dos factores basada en contraseña única
Mientras que RADIUS o soporte en le permite lograr la autenticación basada en el momento de conectarse a SAML GlobalProtect OTP GlobalProtect , Multi-Factor Authentication ( MFA ) proporciona una manera de requerir OTP en el momento de acceder a recursos específicos. Más sobre esto en el próximo artículo.