Aviso importante: |
La autenticación multifactor (MFA) ayuda a mejorar la seguridad al añadir un paso de verificación adicional durante el inicio de sesión del usuario. En uOS (sistema operativo unificado), la MFA se puede utilizar con bases de datos de usuarios salientes, donde la autenticación se gestiona mediante sistemas de identidad externos o basados en la nube.
Este artículo ofrece una descripción clara de:
las bases de datos de usuarios salientes compatibles con uOS,
aplicaciones y métodos de acceso (VPN, SSL VPN, portal cautivo),
métodos MFA disponibles,
las opciones de inscripción de usuarios,
disponibilidad y limitaciones actuales de las funciones.
Esta información es útil para los administradores que deseen planificar o configurar MFA en dispositivos Zyxel que ejecutan uOS.
Arquitectura MFA en uOS (autenticación saliente)
En escenarios de autenticación saliente, el firewall de Zyxel envía solicitudes de autenticación de usuario a un servicio externo o proveedor de identidad. uOS no siempre gestiona el segundo factor directamente. En muchos casos, la MFA es gestionada por el sistema externo.
Las bases de datos de usuarios salientes compatibles incluyen:
Zyxel CloudAuth
Microsoft Entra ID / Google Identity
Nebula Entra ID
Active Directory externo
Usuarios locales en el dispositivo
Dependiendo del escenario, la autenticación multifactor (MFA) puede proporcionarse mediante:
métodos integrados (por ejemplo, Google Authenticator o OTP por correo electrónico),
servicios MFA de terceros (por ejemplo, Microsoft Entra MFA o Duo Security).
Escenarios de MFA compatibles en uOS
La siguiente tabla muestra qué métodos MFA son compatibles con uOS, según la base de datos de usuarios y el tipo de aplicación.
Opciones de MFA en uOS con bases de datos de usuarios salientes
| Directorio/IdP | Aplicación/Protocolo | Cliente de autenticación | Método MFA | Inscripción | Disponibilidad en uOS | Observaciones |
|---|---|---|---|---|---|---|
| CloudAuth | VPN IPSec | SecuExtender | Google Authenticator | Usuario a través de CloudAuth | Previsto (julio de 2026) | Compatible con FLEX/ATP |
| CloudAuth | VPN IPSec | SecuExtender | Passkey | Usuario a través de CloudAuth | Previsto (julio de 2026) | – |
| CloudAuth | VPN SSL | Navegador | Google Authenticator | Usuario a través de CloudAuth | Previsto (julio de 2026) | Solo uOS |
| CloudAuth | Portal cautivo | Navegador | Contraseña | Usuario a través de CloudAuth | Previsto (julio de 2026) | – |
| Entra ID / Google | VPN SSL | Cliente OpenVPN | MFA por IdP | A través de IdP | Sí (uOS 1.37) | Se requiere OIDC |
| Entra ID / Google | Portal cautivo | Navegador | MFA por IdP | A través de IdP | Sí (uOS 1.37) | Se requiere OIDC |
| Entra ID / Google | VPN IPSec | SecuExtender | MFA por IdP | A través de IdP | No previsto | – |
| AD externo | VPN IPSec | SecuExtender | Correo electrónico/SMS OTP | Lado del servidor | Sí | Solo FLEX / ATP |
| AD externo | VPN IPSec | SecuExtender | Duo MFA | A través de Duo | Sí | – |
| AD externo | VPN SSL | Navegador / PAP | Duo MFA | A través de Duo | Sí | – |
| Nebula Entra ID | VPN SSL | Cliente OpenVPN | Entra ID MFA | A través de Entra ID | No previsto | – |
| Local (dispositivo) | VPN IPSec | SecuExtender | Google Authenticator | Inscripción de administrador | Sí | uOS y ZLD |
| Local (dispositivo) | VPN SSL | SecuExtender | Google Authenticator | Inscripción de administrador | Sí | Solo uOS |
Notas y limitaciones
MFA por IdP significa que MFA es gestionado íntegramente por el proveedor de identidad externo.
Algunas opciones de MFA solo están disponibles en uOS y no son compatibles con plataformas más antiguas.
La compatibilidad con CloudAuth MFA y Passkey para uOS son características previstas y aún no están disponibles.
La integración de Duo Security requiere una configuración adicional. Hay guías separadas disponibles.
La compatibilidad con MFA depende del tipo de aplicación y del cliente utilizado (navegador, SecuExtender, OpenVPN).
Comentarios
0 comentariosInicie sesión para dejar un comentario.