Esta guía explica cómo configurar Notakey Windows Credential Provider (WCP) para autenticar el acceso por escritorio remoto con un segundo factor basado en el teléfono.
Configuración del appliance
Cree la aplicación. En el Notakey Authentication Appliance, cree una nueva aplicación con el nombre Windows Remote Desktop: los gráficos correspondientes se cargan de forma automática. Active la verificación biométrica y, si el inicio de sesión debe exigir siempre huella dactilar o reconocimiento facial, active además la opción force biometric check.
Defina los usuarios. Créelos directamente o conecte una fuente de usuarios externa: lo habitual es usar Active Directory, cuya configuración se describe en la documentación del appliance. A los usuarios sincronizados desde AD se les pueden asignar más adelante políticas de escalado o de aprobación por varias personas.
Configure los requisitos de registro para que la aplicación aparezca en Notakey Authenticator. Si en AD constan números de teléfono, dispone del registro por SMS o WhatsApp. Si utiliza credenciales sencillas verificadas contra AD, edite el requisito y marque Authenticate against remote AUTH user sources.
Genere las credenciales de API. Cree un nuevo cliente de API dejando el campo de scopes vacío: el sistema genera un Client ID y un secreto para el proveedor de credenciales.
Configuración del equipo Windows
Cree un archivo de registro con las credenciales de acceso a su appliance,
guárdelo como wcp_notakey.reg y haga doble clic para importarlo:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey]
[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey\WindowsCP]
"ServiceURL"="https://your-appliance.example.com/api/"
"ServiceID"="29afa6c0-907d-40f4-898f-8a96fcdf7230"
"ClientID"="c6df76db-10a7-4349-8e05-8b3656a4d404"
"ClientSecret"="pZ5lSo1Rz_ftCDg4h302794ZlmjMO64sVtiAvHop6dI"
"MessageTtlSeconds"=dword:0000001e
"MessageActionTitle"="Winlogin"
"MessageDescription"="Proceed as {0} on server {1}?"
"AuthCreateTimeoutSecs"=dword:00000014
"AuthWaitTimeoutSecs"=dword:0000003c
Sustituya los cuatro primeros valores por los suyos: ServiceURL es el
endpoint de API de su appliance, ServiceID es el identificador de la
aplicación y ClientID/ClientSecret son las credenciales de API generadas
antes. Los demás valores son ajustes por defecto razonables, en hexadecimal:
MessageTtlSeconds (0x1e = 30 s) indica cuánto tiempo se puede aprobar la
notificación push, AuthCreateTimeoutSecs (0x14 = 20 s) cuánto espera WCP
para crear la solicitud y AuthWaitTimeoutSecs (0x3c = 60 s) cuánto espera
la respuesta del usuario. En MessageDescription, {0} es el nombre de
usuario y {1} el nombre del equipo.
Instale la versión más reciente de Windows Credential Provider desde la
página de descargas, reinicie Windows e inicie sesión una vez
de la forma habitual. A continuación, compruebe LastLoggedOnProvider en
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI.
Bloquee el equipo y seleccione Notakey Credential Provider. Introduzca el nombre de usuario y la contraseña: Notakey pide permiso para cifrar la contraseña y, a partir de ese momento, el inicio de sesión se reduce al nombre de usuario más la aprobación en el teléfono.
Paso a la autenticación exclusivamente sin contraseña
Para que Notakey sea la única vía de acceso, desactive el proveedor de
credenciales predeterminado: busque su CLSID en
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers
y añada un valor DWORD llamado Disabled con valor 1. La directiva de grupo
(Group Policy) ofrece el mismo control a escala de todo el parque de equipos.
Tras este cambio, solo queda activo Notakey Credential Provider: para iniciar sesión bastan el nombre de usuario y el segundo factor.