Two-Factor Authentication

Two-factor authentication adds an extra layer of security and impide el acceso a la sesión de sus usuarios incluso si alguien conoce su contraseña .

Una combinación de dos factores diferentes se utiliza para lograr un mayor nivel de seguridad:

1. algo que ellos conocen, un mot de passe .

2. algo que tienen, un device - such as a smartphone - with an authentication app installed. .

Puedes usar una de las siguientes aplicaciones de autenticación para continuar. Estas aplicaciones están disponibles en una amplia gama de plataformas:

• Authy

• Google Authenticator

• Microsoft Authenticator

Cada vez que un usuario inicie sesión en su sesión remota, necesitará su contraseña y un código de verificación disponible en su teléfono móvil. Una vez configurada, la aplicación de autenticación mostrará un código de verificación para permitirle iniciar sesión en cualquier momento. Funciona incluso si su dispositivo está desconectado.

OU puedes decidir recibir códigos de verificación por SMS En este caso, tendrás que crear una cuenta gratuita en Twilio .

El 2FA codes generated are TOTP (time-based one time password), and therefore are for single use.

Therefore, it is not possible to reuse a 2FA code that has already been used. This prevents the theft and then the use of a 2FA code by observing the user while he enters his code.

Requisitos

Two-factor authentication requires TSplus Remote Access Web mobile ou Entreprise Éditions.

Two-factor authentication is supported by:

• TSplus Remote Access Portail web , tanto para conexiones HTML5 como para Remoteapp

• TSplus Connection Client, for clients generated since version 15.30.3.15, with 2FA support explicitly enabled. See Support du générateur de client portable pour l'authentification à deux facteurs

• 2FA está relacionado con usuarios de Windows y no con credenciales web.

Este modo de autenticación no admite el inicio de sesión a través del cliente estándar de Microsoft Remote Desktop (mstsc.exe).

Um eine noch sicherere Lösung zu bieten, werden RDP-Verbindungen für Benutzer mit aktivierter Zwei-Faktor-Authentifizierung verweigert.

As a prerequisite, TSplus server and Devices must be on time. See the Synchronisation du temps y Paramètres sections pour plus d'informations de configuration.

Activar la licencia del complemento de autenticación de dos factores

La fonction d'authentification à deux facteurs se trouve dans l'onglet Add-On de l'AdminTool :

Perform the following steps to enable two-factor authentication for your TSplus server or deployment. If your TSplus deployment is configured to use multiple servers, perform this task on the TSplus server exposed as the single point of entry for users or having the reverse proxy role.

1. Open the two-factor authentication administration application. The two-factor authentication status and the license status are displayed:

By default, 2FA is enabled for the TSplus gateway and stand-alone application servers.

You can enable it for TSplus application servers only, by entering the authentication server URL:

Ou désactivez-le :

Ajouter des utilisateurs et des groupes

Once two-factor authentication is enabled, you can configure users for two-factor authentication.

1. Desde la aplicación de administración de la autenticación de dos factores, haga clic en el Gérer les utilisateurs tab.

2. Luego, haga clic en Ajouter to select users and/or groups of users. The Seleccionar usuarios o grupos box opens.

3. Ajoutez autant d'utilisateurs et de groupes que nécessaire, puis cliquez. OK Los usuarios y grupos se añaden a la lista y se habilitan para la autenticación de dos factores.

Aquí están los comandos para agregar usuarios/grupos
3 types of possible arguments:

just the domainName
TwoFactor.Admin.exe /addusers domainName1

• adds the user with the default values (reception method = app, email and telephone fields not entered)

el nombre de dominio y el método de recepción
TwoFactor.Admin.exe /addusers domainName1;SMS

• adds the user with the desired receive method, but does not attempt to activate it

el nombre de dominio, el método de recepción, el campo de teléfono (incluso si está vacío), el campo de correo electrónico (incluso si está vacío)
*TwoFactor.Admin.exe /addusers domainName1;SMS;+33606060606; [email protected] domainName2;Email;; [email protected] domainName3;SMS;+33606060607;domainName4

• Same behavior as in the HMI, when we add a user, then edit it with correct information: we try to activate the user

As shown in the last example, several users can be indicated (separated by a space). The different fields of a user are separated by a semicolon.

Für einzelne Gruppen:
TwoFactor.Admin.exe /addgroups group1 group2 group3

Editar usuarios

On the same tile, you can edit the way users receive verification codes by selecting a user and clicking on the “Edit” button:

El usuario recibe códigos de verificación en la aplicación de autenticación por defecto. Puede elegir que los reciba por SMS o CORREO ELECTRÓNICO seleccionando la opción.

Selected SMS and added the user’s phone number in the field or selected EMAIL and added the user’s email.

Remove Users and Groups

Pour supprimer des utilisateurs ou des groupes, sélectionnez l'utilisateur ou le groupe, puis cliquez sur Remove Se muestra un mensaje de confirmación.

Clic Oui El usuario o el grupo se elimina de su lista y ya no podrá conectarse utilizando la autenticación de dos factores.

Reset Configuration for Users

In the event of the loss of the authenticating device for a user, or if the user needs to display the secret QR code again, you must reset the user authentication settings.

1. Desde la aplicación de administración de la autenticación de dos factores, haga clic en el Gérer les utilisateurs tab.

2. Selecciona uno o varios usuarios activados y luego haz clic en Réinitialiser Un mensaje de confirmación se muestra:

3. Clic Oui Los usuarios seleccionados recibirán un nuevo código QR en el próximo inicio de sesión y deberán escanearlo en la aplicación de autenticación de su dispositivo.

You can also modify the user’s phone number, so that he can receive a verification code on his new device.

Enroll User for Two-Factor Authentication

Once a user has been enabled for using two-factor authentication, an activation message will be displayed at his next successful logon from the TSplus Web portal.

Pour compléter les étapes requises, vous avez deux choix : soit générer des codes via une application d'authentification, soit faire en sorte que l'utilisateur reçoive des codes par SMS.

Receive codes with an Authenticator Application

El usuario debe instalar una aplicación de autenticación en un dispositivo portátil, como su teléfono inteligente.

Puedes usar una de las siguientes aplicaciones de autenticación para continuar. Estas aplicaciones están disponibles en una amplia gama de plataformas:

• Authy

• Google Authenticator

• Microsoft Authenticator

Please use each app documentation for more details on how to proceed to add your TSplus account.

Configure SMS

Para que el usuario reciba códigos de verificación por SMS, primero debe habilitarlo. Haga clic en el Configure SMS tab:

TSplus utilise Twilio pour envoyer des codes de vérification par SMS. Twilio est une plateforme cloud tierce, non affiliée à TSplus.

1. Just create a free account on Twilio by clicking on the button below “Start your free trial with Twilio”:

2. En su Tablero de cuenta de Twilio , necesitarás activar tu número de prueba:

3. El siguiente paso solo es necesario para las versiones de prueba. Permite a Twilio verificar el número de teléfono real al que se enviarán los SMS.

Entrez ce numéro sous le “Numéros de téléphone” menu - “Identifiants d'appel vérifiés” tab :

4. Vous pourrez alors entrer votre SID de compte, votre jeton d'authentification et Numéro d'essai como el número de teléfono en el Configure SMS tab de TSplus:

Then, click on Save. The following message will be displayed:

Puedes gestionar tu suscripción de Twilio en el Gérer l'abonnement Twilio sección, en la parte inferior de la Configure SMS Administrar su cuenta, ver el estado del servicio o contactar con el centro de soporte de Twilio simplemente haciendo clic en los botones correspondientes.

Configurer EMAIL

Para que el usuario reciba códigos de verificación por CORREO ELECTRÓNICO, primero debe configurar su correo SMTP.

Login using Two-Factor Authentication

Once a user has configured his TSplus account in his authenticator app, he or she will be able to connect using its password and the code provided by its authenticator app, by SMS or Email.

Desde el portal web de TSplus Remote Access:

From the TSplus generated client:

TSplus application servers and client devices must share the same time. This means that the time and date of the server must be synchronized with a time server. Client devices must also have time synchronization, regardless of the time zone on which they are configured.

If an authentication request comes from a Device whose date and time are not synchronized, or if the server’s date and time are not synchronized, this request may be rejected.

La validación de la información entre el dispositivo y el servidor se relaciona con la hora UTC.

Dans le Paramètres section, the Discrepency parameter is used to manage the period of validity of the code, in intervals of 30 seconds.

Ejemplo de validación o autenticación válida:

• el servidor está sincronizado con un servidor de tiempo, la zona horaria es UTC + 2, son las 2:30 p. m.
• the Device is synchronized with a time server, the time zone is UTC + 1, it is 1:30 pm
• the Discrepency parameter is configured at 60, i.e. a code validity period of 30 minutes
• referred to UTC time, the Device time and the server time are identical.

Ejemplo de validación o autenticación no válida:

• el servidor está sincronizado con un servidor de tiempo, la zona horaria es UTC + 2, son las 2:30 p. m.
• the Device is not synchronized with a time server, the time zone is UTC-1, the time is manually set to 1:30 pm
• the Discrepency parameter is configured at 60, i.e. a code validity period of 30 minutes
• the server time referred to UTC time is 12:30 am
• the time communicated by the Device, referred to UTC time is 2:30 pm
• la différence est de 120 minutes, le code de validation est donc refusé.

Paramètres

The Settings tab allows you to whitelist users, in order for them to connect using an RDP client, without the need to enter a two-authentication code.

Click on the “Add” button to add a user and remove a user by selecting it and clicking on the “Remove” button.

The Advanced tab allows you to configure Two-Factor Authentication in-depth settings.

Discrepancia

Puedes modificar el valor de Discrepancia, lo que te permite establecer el tiempo de validación de un código de verificación.

Une différence de 3 signifie que le même code de vérification reste valide 90 secondes en arrière et en avant de sa période de validité originale de 30 secondes. La valeur par défaut est 480, ce qui signifie 480 x 30 secondes = 4 heures.

Emisor

Una cadena que indica el nombre del servicio de autenticación de dos factores. El emisor se muestra en la aplicación móvil del cliente e identifica el servicio asociado con el código de verificación generado. Por defecto, está compuesto por el nombre del servidor con TSplus.

Validez après la première session

Period during which a user can open a session without having to revalidate a previous two-factor authentication code. This setting allows users to open applications from the Web application portal successively. Default is 480 minutes.

Validez antes de la primera sesión

Période pendant laquelle un utilisateur peut ouvrir une session après avoir validé un code d'authentification à deux facteurs depuis le portail Web ou depuis l'application mobile, en secondes. La valeur par défaut est de 3600 secondes.

Digits

El número de dígitos que se mostrarán al usuario. Tenga en cuenta que esta configuración puede no ser compatible con las aplicaciones de autenticación. Este número debe ser mayor o igual a 4 y menor o igual a 12. El valor predeterminado es 6.

SMS-Verifizierungscode-Nachricht

Message sent to users requesting a verification code if they are configured to receive it via SMS. This message must contain the %CODE% placeholder which will be replaced by the actual verification code. Default is: Your %ISSUER% verification code is: %CODE%

SMS-Sicherheitszeitraum

The Period begins when a user requests an authentication code via SMS. During this Period, the user is able to request a new authentication code via SMS until the number of requested SMS reaches the Threshold value (in hours, default is 24 hours).

Seuil de sécurité SMS

The Threshold defines the maximum number of SMS authentication codes each user is able to request during a specified Period of time (default is 6).