Autenticación de dos factores (2FA) (guía del admin)

Relevante para: Plan Enterprise
Configurado por: Admins de empresa

Autenticación de dos factores (2FA) para organizaciones 

2FA añade una capa adicional de seguridad a los perfiles en línea, yendo más allá de solo el nombre de usuario y la contraseña. Los admins de empresa del plan Enterprise pueden exigir una prueba adicional de identidad cuando los usuarios acceden a la suscripción de Miro de su organización. Este requisito es aplicable para todos los inicios de sesión que utilizan correo electrónico y contraseña. Para las empresas que utilizan inicio de sesión único (SSO), la 2FA incluye específicamente a los colaboradores externos; para las organizaciones sin SSO, se extiende a todos los usuarios.

✏️ Este artículo explica la autenticación de dos factores (2FA) para planes Enterprise. Para todos los demás planes, consulta Autenticación de dos factores (2FA) en Administración.

Establecer una 2FA obligatoria para tu organización

✏️ Antes de activar la autenticación de dos factores (2FA), es importante informar a todos los usuarios afectados, incluidos tanto los miembros de tu organización como los colaboradores externos. Para asegurar una transición fluida, te sugerimos compartir nuestra guía de usuario de 2FA para ayudarles en este proceso.

Cómo habilitar la 2FA para tus usuarios

1. Ve a la consola de admin > Seguridad > Autenticación.
2. Activa la opción Aplicar 2FA para usuarios sin inicio de sesión único (SSO).

Aplicación de la autenticación 2FA para usuarios sin inicio de sesión único

Dispositivos de confianza con 2FA

Cuando esté habilitada, a tus usuarios de 2FA se les mostrará una casilla de verificación que les permitirá omitir la 2FA cada vez que inicien sesión en ese dispositivo durante los próximos X días, donde "X" es el periodo de tiempo establecido por el administrador. Puedes permitir que los dispositivos de los usuarios sean de confianza durante 7 a 90 días. De forma predeterminada, la confianza en los dispositivos 2FA está habilitada, aunque puedes deshabilitar la función en tu consola de admin.

⚠️ Si se deshabilita la confianza en dispositivos para 2FA, los usuarios tendrán que ingresar un código de 2FA en cada inicio de sesión. En consecuencia, la experiencia de inicio de sesión será más lenta.

2FA será requerida nuevamente después de que pase el período de confianza.

2FA no se omitirá si los usuarios inician sesión en un nuevo dispositivo o navegador o si borran las cookies de su navegador.

Restablecer 2FA para usuarios

Si un usuario pierde acceso a su método de 2FA, los admins pueden restablecer su 2FA. Una vez que un usuario solicite que se restablezca su método de 2FA, el admin apropiado recibirá una notificación por correo electrónico. 

Para restablecer el método de 2FA para el usuario:

1. Ve a consola de administración > usuarios > pestaña de usuarios activos.
2. Encuentra al usuario que necesita restablecer su método de 2FA.
3. Haz clic en el icono de tres puntos (...) en la fila del usuario.
   
   Restablecer la autenticación de dos factores en la consola de admin
4. Haz clic en Restablecer la autenticación de dos factores.
   Se abrirá un cuadro de diálogo solicitando confirmación.
5. Haz clic en el botón Restablecer 2FA en el cuadro de diálogo.
6. Aparecerá un mensaje de confirmación en la parte superior de tu pantalla confirmando que las instrucciones de reinicio han sido enviadas al usuario.

Impacto en la experiencia del usuario

• Se pedirá a los usuarios sin inicio de sesión único que configuren su segundo factor durante su próximo inicio de sesión. Este proceso no cerrará ninguna de sus sesiones activas.
• Se requiere que los usuarios configuren la 2FA utilizando su dispositivo móvil junto con una aplicación de contraseña de un solo uso basada en el tiempo (TOTP), como Microsoft Authenticator, Google Authenticator o Authy.
• Para los usuarios que utilizan 2FA, hay un límite de 3 intentos para ingresar un código TOTP válido. Si se excede este límite, deberán reiniciar el proceso de autenticación.
• Mientras que el inicio de sesión con 2FA está disponible en las aplicaciones móviles y para tabletas, el proceso de registro inicial se soporta exclusivamente en las aplicaciones de navegador y escritorio.

Lo que debes saber

La aplicación de 2FA solo se refiere a usuarios que se autentican con su correo o contraseña o a través de enlaces mágicos (enviados por correo electrónico).

• Si un colaborador externo a tu organización Enterprise ya está autenticado usando el inicio de sesión único desde su organización de origen, seguirá teniendo acceso a todos los equipos y tableros en Miro mediante el inicio de sesión único.
• Cuando un usuario se autentica mediante una integración de inicio de sesión de terceros (e.g., Google, Microsoft, Slack), mantendrá acceso a todos los equipos y tableros de Miro a través de ese método de inicio de sesión. Los admins tienen la opción de incentivar a estos usuarios a configurar un segundo factor dentro de su respectiva integración de inicio de sesión. Sin embargo, el flujo de autenticación de Miro no les pedirá a estos usuarios que configuren un segundo factor.

Registros de auditoría

Los administradores pueden rastrear a los usuarios que han configurado 2FA, junto con los éxitos y fracasos de inicio de sesión con 2FA mediante los siguientes eventos de registro de auditoría:

• `mfa_setup_succeeded` - si un usuario ha configurado su segundo factor con éxito
• Actualizar al evento `sign_in_succeeded` para incluir el atributo MfaFactorType si se completa un inicio de sesión exitoso con 2FA
• Actualizar al evento `sign_in_failed` para incluir el atributo MfaFactorType si un inicio de sesión con 2FA no tuvo éxito debido a que el usuario excedió el número máximo de intentos (fallo no técnico)