Active Directory + Google Authenticator - AD FS, hay bằng cách nào?

(Được chỉnh sửa để phù hợp với sự hiểu biết của người viết câu trả lời - Câu hỏi mới, mới mẻ, sạch sẽ được đăng ở đây: Active Directory + Google Authenticator - Hỗ trợ riêng trong Windows Server? )

Nghiên cứu đã hoàn thành

Có một bài viết về cách sử dụng google xác thực với Dịch vụ được liên kết với Active Directory (AD FS): https://bloss.technet.microsoft.com/cloudpfe/2014/10/26/USE-time-basing-one-time -passwords-cho-nhiều yếu tố-xác thực-trong-quảng cáo-fs-3-0 /

Điều kỳ lạ, nó dường như là một dự án dev, yêu cầu một số mã và SQL DB riêng của nó.

Chúng tôi không nói ở đây về AD FS cụ thể. Chúng tôi đang tìm kiếm, khi bạn nhận được nó, với 2FA, tiền hỗ trợ RFCs của Google Authenticator, được tích hợp vào AD.

Chúng ta cần xem xét những gì đang diễn ra ở đây.

AD FS là tất cả về SAML . Nó sẽ kết nối với Active Directory để sử dụng nó làm Nhà cung cấp nhận dạng SAML. Google đã có khả năng đóng vai trò là Nhà cung cấp dịch vụ SAML . Kết hợp hai thứ lại với nhau, vì vậy Google sẽ tin tưởng mã thông báo SAML của máy chủ của bạn và bạn đang đăng nhập vào Tài khoản Google thông qua thông tin đăng nhập Active Directory. ¹

Mặt khác, Google Authenticator hoạt động như một yếu tố của Nhà cung cấp nhận dạng ... thường là cho dịch vụ của chính Google. Có lẽ bạn có thể thấy bây giờ nó không thực sự phù hợp với AD FS như thế nào. Khi sử dụng AD FS với Google, bạn không thực sự sử dụng Nhà cung cấp nhận dạng của Google nữa và đến khi AD FS hoàn thành việc chuyển giao lại cho Google, phía nhận dạng đã kết thúc. Nếu bạn đã làm bất cứ điều gì, nó sẽ cấu hình Google để yêu cầu Authenticator như một xác nhận nhận dạng bổ sung trên đầu trang (nhưng tách biệt) AD FS hoặc các nhà cung cấp nhận dạng SAML khác. (Lưu ý: Tôi không nghĩ Google hỗ trợ điều này, nhưng họ nên).

Bây giờ, điều đó không có nghĩa là những gì bạn muốn làm là không thể ... chỉ là nó có thể không phù hợp nhất. Mặc dù được sử dụng chủ yếu với Active Directory, AD FS cũng được thiết kế để hoạt động như một dịch vụ SAML chung chung hơn; bạn có thể kết nối nó với các nhà cung cấp nhận dạng khác ngoài Active Directory và nó hỗ trợ nhiều tùy chọn và tiện ích mở rộng khác nhau. Một trong số đó là khả năng tạo nhà cung cấp Xác thực đa yếu tố của riêng bạn. Ngoài ra, Google Authenticator hỗ trợ tiêu chuẩn TOTP để xác thực đa yếu tố.

Kết hợp cả hai và nên có thể (mặc dù chắc chắn không tầm thường) để sử dụng Google Authenticator làm nhà cung cấp MuliFactor với AD FS. Bài viết bạn liên kết đến là một bằng chứng về khái niệm của một nỗ lực như vậy. Tuy nhiên, đây không phải là thứ mà AD FS làm được; tùy thuộc vào từng dịch vụ Đa yếu tố để tạo ra trình cắm đó.

Có lẽ MS có thể cung cấp hỗ trợ của bên thứ nhất cho một số nhà cung cấp yếu tố đột biến lớn (nếu có điều đó), nhưng Google Authenticator đủ mới và AD FS 3.0 đủ cũ để không thể thực hiện được Điều này tại thời điểm phát hành. Ngoài ra, sẽ rất khó khăn cho MS trong việc duy trì những điều này, khi chúng không ảnh hưởng đến thời điểm hoặc những cập nhật nào mà các nhà cung cấp khác có thể thúc đẩy.

Có thể khi Windows Server 2016 ra mắt, AD FS được cập nhật sẽ giúp việc này dễ dàng hơn. Họ dường như đã thực hiện một số công việc để hỗ trợ đa yếu tố tốt hơn , nhưng tôi không thấy bất kỳ ghi chú nào về việc bao gồm trình xác thực của đối thủ cạnh tranh trong hộp. Thay vào đó, có vẻ như họ sẽ muốn bạn thiết lập Azure để thực hiện việc này và có thể cung cấp ứng dụng iOS / Android / Windows cho đối thủ cạnh tranh của họ với Authenticator.

Điều cuối cùng tôi muốn thấy MS phân phối là một nhà cung cấp TOTP chung , nơi tôi định cấu hình một số điều để nói với họ rằng tôi đang nói chuyện với Google Authenticator và phần còn lại. Có thể một ngày nào đó. Có lẽ một cái nhìn chi tiết hơn về hệ thống, một khi chúng ta thực sự có thể có được nó, sẽ hiển thị nó trong đó.

^{1 Đối với hồ sơ, tôi đã làm điều này. Xin lưu ý rằng khi bạn thực hiện bước nhảy, thông tin này sẽ không áp dụng cho imap hoặc các ứng dụng khác sử dụng tài khoản. Nói cách khác, bạn đang phá vỡ một phần rất lớn của tài khoản Google. Để tránh điều này, bạn cũng cần cài đặt và định cấu hình Công cụ đồng bộ hóa mật khẩu của Google . Với công cụ này, mỗi khi ai đó thay đổi mật khẩu của họ trong Active Directory, bộ điều khiển miền của bạn sẽ gửi một hàm băm mật khẩu cho Google để sử dụng với các xác thực khác này.}

^{Ngoài ra, đây là tất cả hoặc không có gì cho người dùng của bạn. Bạn có thể hạn chế theo địa chỉ IP điểm cuối, nhưng không dựa trên người dùng. Vì vậy, nếu bạn có người dùng cũ (ví dụ: người dùng cựu sinh viên tại một trường đại học), người không biết bất kỳ thông tin đăng nhập Active Directory nào, việc chuyển tất cả họ có thể là một thách thức. Vì lý do này, tôi hiện không sử dụng AD FS với Google, mặc dù tôi vẫn hy vọng cuối cùng sẽ có bước nhảy vọt. Bây giờ chúng tôi đã thực hiện bước nhảy vọt đó.}

Tôi nghĩ rằng câu hỏi của bạn đưa ra giả định không hợp lệ rằng đó là công việc của Microsoft để thêm hỗ trợ cho giải pháp 2FA / MFA của một nhà cung cấp cụ thể. Nhưng có rất nhiều sản phẩm 2FA / MFA đã hỗ trợ Windows và AD vì các nhà cung cấp đã chọn thêm hỗ trợ đó. Nếu Google không nghĩ rằng nó đủ quan trọng để thêm hỗ trợ, thì đó không thực sự là lỗi của Microsoft. Các API liên quan đến Xác thực và Ủy quyền được ghi lại tốt và miễn phí sử dụng.

Bài đăng blog bạn đã liên kết với mã mẫu mà bất kỳ ai cũng có thể viết để thêm hỗ trợ TOTP RFC6238 vào môi trường AD FS của riêng họ. Việc nó hoạt động với Google Authenticator chỉ là tác dụng phụ của trình xác thực hỗ trợ RFC đó. Tôi cũng sẽ lưu ý các tuyên bố từ chối trách nhiệm ở phía dưới về mã là "bằng chứng của khái niệm", "không xử lý lỗi thích hợp" và "không được tạo ra trong tâm trí an toàn".

Trong mọi trường hợp, không. Tôi không tin rằng hỗ trợ Google Authenticator sẽ được hỗ trợ rõ ràng trong Windows Server 2016. Nhưng tôi không nghĩ bất cứ điều gì ngăn cản Google tự thêm hỗ trợ trên Server 2016 hoặc trước đó.

Câu trả lời, kể từ tháng 10 năm 2017:

Sử dụng Duo to MFA cho phép các hệ thống thực hiện LDAP trở lại AD

Chúng tôi đã nghiên cứu hoặc thử mọi thứ.

• Azure / Microsoft MFA (phức tạp và tốn thời gian để thiết lập, dễ vỡ khi hoạt động)
• Máy chủ RADIUS

Mặc dù chúng tôi không thích chi phí hoạt động của DUO, nhưng đối với tối đa 50 người dùng, chi phí, đối với chúng tôi, đáng để đơn giản để thiết lập và sử dụng.

Chúng tôi đã sử dụng nó cho đến nay phía sau:

• Thiết bị Cisco ASA để truy cập VPN

• Công cụ truy cập từ xa Sonicwall để truy cập VPN (với thiết bị thực hiện LDAP cũng đến AD)

Chúng tôi không biết về bất kỳ cách tiếp cận nào khác có thể được thiết lập trong 2-4 giờ và MFA cho phép các dịch vụ LDAP tắt AD.

Chúng tôi tiếp tục tin rằng chính AD nên hỗ trợ TOTP / HOTP RFC đứng sau trình xác thực google và vô cùng thất vọng vì MS đã không giải quyết vấn đề này một cách chính xác trong Windows Server 2016.

Đã có sẵn một trình cắm miễn phí để xác thực mật khẩu Một lần với ADFS. Nó hoạt động tốt với các ứng dụng xác thực google hoặc microsoft. Xem www.securemfa.com để biết thêm thông tin. Tôi đang sử dụng nó mà không có bất kỳ vấn đề trong sản xuất.