Inicio » Zero Trust » Sincronizar Usuarios en Duo

Sincronizar Usuarios hacia Duo Security

Sincronizar usuarios en duo security

El primer paso luego de tener un tenant de Cisco Duo Security es agregarle o sincronizar los usuarios que Duo va a conocer y que serán susceptibles de ser autenticados con su servicio de Zero Trust de MFA adaptativo.

Existen diferentes maneras de llevar a cabo esta actividad y en este artículo te las mostraré todas, y los detalles de cada tipo de sincronización los alcanzas siguiendo el correspondiente vínculo en cada sección.

Duo y las Credenciales Primarias

Antes de entrar en la materia de sincronizar usuarios, es de vital importancia comprender que por arquitectura de funcionamiento Duo Security, éste no maneja la autenticación primaria (usuario y contraseña). Duo solo manera la MFA o Multi-Factor Authentication.

La Razón

Para tener redundancia y una mejor tolerancia a brechas de seguridad, la infraestructura de autenticación primaria queda escondida en las premisas o servicios cloud de la organización.

De esta manera si alguna de las dos partes es comprometida desde el punto de vista de ciberseguridad, es más fácil de recuperar el servicio.

La Implementación

Hay aplicaciones que ellas mismas tienen los usuarios locales y acuden a Duo solo después de haber autenticado directamente al usuario y su contraseña.

Para el caso On-Premises, Duo security provee al Duo Authentication Proxy (DAP) quien evita a toda costa la exposición de los servidores de Directorio, sirviendo de interfaz entre los servidores, los servicios de Duo Security y las aplicaciones aseguradas.

En el caso Cloud, se realizan integraciones directas entre los servicios de Duo y el servicio Cloud.

Es así que a la hora de sincronizar usuarios, Duo solo conoce los atributos mínimos necesarios para lograr su cometido como lo son:

  • Nombre de usuario (username)
  • Nombre de la persona
  • Dirección de correo electrónico
  • Aliases
  • Número de teléfono

El Resultado

Nunca…. Nunca, Duo Security conocerá la contraseña del usuario.


Ingreso Manual de Usuarios

Esta es la manera más básica de crear un usuario en Duo Security, el único dato que necesitas agregar es el nombre del usuario (username), el resto de los campos son opcionales y se agregan posteriormente.

Es importante que este nombre de usuario sea exactamente igual al nombre de usuario que la aplicación asegurada usa.

Es decir, la única manera que tiene Duo de reconocer un usuario es a través de su username y en ambientes SAML SSO lo es la dirección de correo electrónico.

Ingreso Manual de Usuario a Duo Security
Ingreso Manual de Usuario a Duo Security

Acá la documentación oficial de Duo: Creating users manually


Importación desde Archivo

Si se desean agregar manualmente múltiples usuarios en un solo lote, puedes cargarlos en un archivo de texto separado por comas (CSV) y con él, realizar una importación masiva.

Importación de Usuarios a Duo Security
Importación de Usuarios a Duo Security

El formato de este archivo CSV es:

username,realname,alias1,alias2,email,status,phone1,phone2,platform1,platform2,group1,group2,notes

Si alguno de los usuarios que se encuentren en ese archivo ya existe, Duo procederá a actualizar la información con el resto de los campos correspondientes.

Acá te dejo la documentación oficial


Sincronizar Usuarios desde Directorios a Duo Security

Ahora bien, en implementaciones importantes, lo más común es que los usuarios sean sincronizados desde el proveedor de identidades oficial.

Razones para Sincronizar

Mayor Control: a través de la creación de grupos en tu Directorio y configurándolos en Duo, puedes controlar exactamente cuáles de tus usuarios son los que van a subir a Duo Security.

Actualizaciones: Duo, periódicamente realiza sincronizaciones de los usuarios del directorio, permitiendo siempre tener una base de usuarios actualizada y más confiable.

Mayor Seguridad: Si alguien es dado de baja en el Directorio, será dado de baja también en Duo, eliminando cualquier posibilidad de acceso a las aplicaciones aseguradas por Duo por parte de usuarios no autorizados.

Mayor Facilidad de Administración: técnicamente la administración de los usuarios se mantiene donde siempre se ha mantenido, en el Directorio del proveedor de identidades

Menor Superficie de Exposición: Los atributos de los usuarios sincronizados hacia Duo desde algún directorio son de solo lectura, lo que impide modificaciones accidentales y deja al Directorio (que está escondido) como única fuente de éstos atributos.

Notificación de Enrolamiento: cuando se realiza una sincronización con tu Directorio y se crea un usuario nuevo, tienes la opción de enviarle de forma automática un correo electrónico de enrolamiento de usuario para que el usuario realice, vía auto servicio, el proceso de inscripción de al menos un dispositivo de segundo factor que será su autenticador en Duo.

Control de Licencias de uso Duo: al tener los usuarios limitados dentro de grupos en tu directorio, tienes ya definida y controlada la cantidad de usuarios que tendrás en Duo, pudiendo así mantenerte dentro de los límites del licenciamiento Duo contratado.

Ahora voy a hacer un paneo sobre las opciones de sincronización disponibles en Duo Security:

Sincronizar Usuarios desde Azure AD

Para quienes tienen servicios Cloud de Microsoft, la opción más fácil es integrar directamente a Duo Security con Azure Active Directory.

Esta integración se realiza simplemente autorizando que ambos tenants compartan información de usuarios.

Esta autorización se realiza con las credenciales de un administrador de Azure.

Azure AD Duo
Azure AD como fuente de Usuarios Duo Security
diagrama de interconexión: Sincronizar Usuarios desde Azure AD a Duo Security
Diagrama Cortesía de Duo Security

Es importante recalcar que a la fecha, si se desea integrar Duo Security con Microsoft 365, se necesita que la integración sea a través del Directorio Activo On-Premises.

Acá les dejo la documentación oficial de Duo

contacta a especialista en ciberseguridad
A través de un MSP de Duo podemos hacer realidad tu proyecto de Zero Trust

Sincronizar Usuarios desde Directorio Activo

Esta es quizás la más común de las implementaciones de sincronización de usuarios de Duo Security, apuntando a un Directorio Activo (Active Directory) de Microsoft en las premisas de la organización.

Directorio Activo de Microsoft Duo
Directorio Activo de Microsoft como fuente de Usuarios Duo Security

Para estos casos y como les comenté al inicio, no podemos exponer a la Internet a nuestros Controladores de Domino, por ello Duo Security provee al Duo Authentication Proxy (DAP).

El DAP es una pequeña porción de software que puede ser instalada en algún servidor (de uso exclusivo o no) que tenga conectividad con los Controladores de Domino que vamos a leer.

Por motivos de seguridad, la conexión es de solo lectura así que el Proxy no puede realizar ningún cambio sobre el Directorio Activo.

El DAP corre en Windows Server o Linux, e incluso he realizado implementaciones en contenedores Docker

Como mejor práctica, sugiero instalarlo en Windows en un equipo unido al dominio que deseamos sincronizar, porque la integración con el Directorio Activo es muchísimo más fácil.

diagrama de interconexión: Sincronizar Usuarios desde Directorio Activo a Duo Security
Diagrama Cortesía de Duo Security

Para este caso de sincronización de Duo Security con el Active Directory, el DAP lo que hace es tener dos interfaces de conexión:

Conexión con el Directorio Activo

Se realiza de modo integrado (si el equipo está unido al dominio) o empleando un usuario de servicio de solo lectura.

Va a través de LDAP, LDAPS o STARTTLS y en esta conexión lo que se realiza es una lectura del Directorio Activo, específicamente de los usuarios o grupos de usuarios seleccionados para ser sincronizados.

Conexión con Duo Security

Es una conexión estrictamente saliente (outbound) por el puerto SSL / 443 desde el DAP hacia la nube de Duo Security.

En esta conexión, se transmiten a Duo Security, de forma segura, todos los usuarios y grupos que serán luego objeto de MFA de Duo.

Acá te dejo la documentación oficial

Sincronizar Usuarios desde OpenLDAP

Esta sincronización es en esencia exactamente igual a la integración con el Directorio Activo de Windows, lo único es que en lugar de apuntar a Controladores de Domino Microsoft, se apunta a servidores que corren OpenLDAP.

Igualmente, se asegura la exposición de los servidores usando al DAP como proxy de sincronización

OpenLDAP Duo
OpenLDAP como fuente de Usuarios Duo Security
diagrama de interconexión: Sincronizar Usuarios desde OpenLDAP a Duo Secrurity
Diagrama Cortesía de Duo Security

El DAP ejerce las mismas funciones de conexión LDAP, LDAPS o STARTLS para leer el árbol del Open LDAP y la de conexión con la nube de Duo Security para subir los usuarios susceptibles de MFA de Duo.

Acá te dejo la documentación oficial


Conclusiones

Sincronizar usuarios a Duo Security desde tu proveedor de identidades primario es un paso fundamental para una correcta y escalable implementación del Zero Trust que Duo provee.

Con experiencia y con mejores practicas establecidas, un proyecto de Zero Trust con Duo Security se realiza en solo días o algunas pocas semanas.

contacta a especialista en ciberseguridad
A través de un MSP podemos hacer realidad tu proyecto de Zero Trust

Principal Solutions Engineer en ICT International MSP
Especialista en Ciberseguridad ZeroTrust | Content Marketer | Experto SEO |

Scroll al inicio