Como Emitir YubiKey con una Clave FIDO2 Pre-registrada en Entra ID (2024)

07 Aug 2024

Si te preguntas cómo obtener una YubiKey con una clave FIDO2 precargada, probablemente sea porque viste el anuncio de Yubico y Okta sobre la nueva función que te permite enviar YubiKeys con claves FIDO2 precargadas (o tal vez pensaste en lo molesto que es inscribir a los usuarios en claves FIDO2 y se te ocurrió una solución similar). Esta función está diseñada para simplificar el proceso de incorporación de los usuarios al eliminar la necesidad de que inscriban sus claves manualmente. Sin embargo, esta función actualmente solo está disponible para los clientes de Okta. Si es un usuario de Entra ID, es posible que se pregunte si también puede aprovechar esta función.

Si bien la idea de enviar YubiKeys con claves FIDO2 precargadas es atractiva, puede que no sea el mejor enfoque para todas las organizaciones. Si bien a primera vista el envío de claves FIDO2 precargadas parece que podría resolver el problema del huevo y la gallina de las contraseñas, puede ser solo una solución provisional en lugar de la cura. Si bien puede simplificar el proceso de incorporación para los usuarios, también plantea inquietudes sobre la seguridad; por ejemplo, ¿cómo se garantiza que la persona que recibe la YubiKey sea la persona que debería recibirla? ¿Cómo se garantiza que la YubiKey no sea interceptada en tránsito? y también algunas inquietudes sobre la continuidad de su organización, qué sucede si la YubiKey se pierde o se bloquea, ¿el usuario tiene que esperar 24 horas para que llegue la nueva? ¿Mientras tanto recurres a las contraseñas?

Entonces, ¿cómo se pueden emitir YubiKeys con claves FIDO2 precargadas en Entra ID? Si bien Entra ID actualmente no ofrece una función integrada para enviar YubiKeys con claves FIDO2 precargadas, tenemos una mejor alternativa. Al aprovechar la plataforma Keytos EZCMS, puede administrar y distribuir fácilmente YubiKeys SIN ninguna credencial precargada en ellas. Antes de que me grites, déjame explicarte. Con EZCMS, puedes automatizar el proceso de emisión de YubiKeys a los usuarios y guiarlos a través del proceso de inscripción, asegurándote de que registren de forma segura sus claves FIDO2 y Entra CBA con Entra ID. Este enfoque no solo garantiza un proceso de incorporación seguro y optimizado, sino que también proporciona una solución más sólida y flexible que también funciona para la inscripción de autoservicio en FIDO2 y Entra CBA si el usuario bloquea su clave o la pierde.

Este blog no será una guía paso a paso sobre cómo prescindir de contraseñas en Entra ID, pero le brindaré una descripción general de alto nivel sobre cómo puede usar EZCMS para distribuir YubiKeys y habilitar la inscripción por autoservicio. El proceso es simple y directo, y se puede dividir en los siguientes pasos:

1) Solicitar YubiKeys: solicite YubiKeys de Yubico en grandes cantidades y envíelas a su organización. Si no quiere lidiar con la molestia de enviar YubiKeys a todo el mundo, puede utilizar el Envío de YubiKeys de Keytos como servicio para que Keytos envíe sus YubiKeys directamente a sus usuarios.

3) Registre su inventario: registre sus YubiKeys en la plataforma EZCMS, esto lo ayudará a realizar un seguimiento de su inventario y garantizar que se asigne la YubiKey correcta al usuario correcto.

4) Los usuarios solicitan su YubiKey: ahora los usuarios pueden ir a EZCMS y solicitar su clave (o una clave para uno de sus subordinados directos para permitir que los gerentes la soliciten en nombre de los nuevos empleados). Según su configuración, su equipo de TI o el equipo de Keytos asignará la clave y la distribuirá al usuario.

5) El usuario recibe la YubiKey: una vez que el usuario recibe la YubiKey, puede seguir las instrucciones proporcionadas por EZCMS para inscribir de forma segura sus claves FIDO2 y Entra CBA con Entra ID (realizamos la inscripción del certificado y la inscripción FIDO2 al mismo tiempo para maximizar la compatibilidad y mantener la transparencia para el usuario). Vea el proceso en acción a continuación: