TroutTrout
All docs

Autenticar usuarios con pantallas de acceso

Requiere que los usuarios inicien sesión antes de poder acceder a los sistemas protegidos.

3 min read · Last updated 2026-05-21

Si los usuarios ya están registrados en un proveedor de identidad existente (protocolo OIDC), pueden utilizar este método de acceso para obtener también autenticación robusta en nodos locales.

Requisitos previos

Las pantallas de acceso se basan en el protocolo seguro OIDC. Es necesario configurar un proveedor de identidad que utilice este protocolo (Microsoft Entra ID en esta guía).

Aquí se explica cómo sincronizar el directorio de usuarios con Access Gate: https://www.trout.software/docs/configuration-guides/inventory/synchronize-user-directory-entra-id

Access Gate también debe estar configurado con:

  1. Certificados TLS
  2. La interfaz Secure Twin conecta el Access Gate con su sistema de autenticación. Si su servicio de autenticación se ejecuta en la LAN (por ejemplo, un servidor OIDC o LDAP on-premise), esta interfaz solo necesita conectividad LAN con dicho servidor. Si utiliza un proveedor de identidad alojado en la nube, la interfaz Secure Twin debe tener acceso WAN.
  3. Crear una entrada DNS que apunte a la dirección IP de la interfaz Secure Twin (habitualmente 100.65.0.6). Esto permite a los usuarios acceder al formulario de pantalla de acceso mediante una URL amigable, por ejemplo: https://auth.{your-domain}/access_form?id=123456

Crear una nueva pantalla

En el menú Access Screens, utilice la función Create template para crear una nueva pantalla.

Creación de una pantalla de acceso en Access Gate
Creación de una pantalla de acceso en Access Gate

Haga clic en la entrada recién creada para acceder al editor de texto. Este es un buen lugar para recordar a los usuarios los términos y condiciones (políticas) que rigen el acceso a la red.

Ejemplo de política en una pantalla de acceso
Ejemplo de política en una pantalla de acceso

Información que puede controlar en una pantalla de acceso:

  1. El nivel de seguridad para el que se utilizará esta pantalla de acceso.
  2. El directorio que se usará para autenticar usuarios.
  3. El tiempo de acceso preestablecido — es decir, cuánto tiempo debe transcurrir antes de que se elimine el acceso del usuario y este deba volver a autenticarse si es necesario. Este último punto es relevante porque permite que la red "vuelva a su estado anterior" o "se endurezca" una vez que el acceso ya no es necesario.

De vuelta en la lista de pantallas de acceso, copie la URL de la pantalla recién creada. Compártala con los usuarios que necesiten autenticarse con Access Gate.

Flujo del usuario

  1. El usuario abre su navegador y visita https://auth.{your-domain}/access_form?id=123456
  2. Se carga la pantalla de acceso y el usuario acepta la política definida para ella.
  3. El usuario es redirigido al portal de autenticación de Microsoft Entra ID.
  4. Una vez aprobado, el usuario es redirigido a la URL de callback https://auth.{your-domain}/access_authorize
Pantalla de usuario autenticado en Access Gate
Pantalla de usuario autenticado en Access Gate

El acceso se concede o deniega según el resultado del flujo, y se registra una pista de auditoría.

Si la solicitud es aprobada, la IP del usuario se añade automáticamente al proxy y queda autorizada durante el tiempo especificado en la pantalla de acceso. Esto ocurre en segundo plano. El usuario puede continuar con su flujo de trabajo habitual: conectarse a aplicaciones, bases de datos y otros servicios, mientras las reglas de acceso del enclave se aplican en su totalidad.

Previous
Configurar cifrado TLS
Next
Visualización del historial de cambios de Enclave