Active Directory + Google Authenticator - AD FS, чи як?

(Відредаговано так, щоб відповідати авторам відповідей. Нове, свіже, чисте запитання, розміщене тут: Active Directory + Google Authenticator - Родна підтримка в Windows Server? )

Дослідження зроблено досі

Стаття про техніку про те, як використовувати автентифікатор google за допомогою федеральних служб Active Directory (AD FS): https://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -паркові слова для автентифікації для множних факторів в рекламі-fs-3-0 /

Як не дивно, це, здається, розробник проекту, який вимагає деякого коду та власної SQL БД.

Ми не говоримо тут про AD FS конкретно. Коли ми добираємось до цього, ми шукаємо 2FA, попередньо підтримуючи RFC Google Authenticator, вбудовані в AD.

Нам потрібно подивитися, що тут відбувається.

AD FS - це все про SAML . Він підключиться до Active Directory, щоб використовувати його як постачальник ідентичності SAML. Google вже має можливість діяти як постачальник послуг SAML . Зберіть їх разом, щоб Google довірив токен SAML вашого сервера, а ви ввійдете до облікового запису Google за допомогою облікових даних Active Directory. ¹

Google Authenticator, з іншого боку, виступає одним із факторів, що надають посвідчення особи ... як правило, для власної служби Google. Можливо, ви зараз можете побачити, як це не дуже вписується в AD FS. Використовуючи AD FS з Google, ви вже не використовуєте Постачальник посвідчення Google, і до того часу, коли AD FS завершить передачу назад до Google, сторона особи вже закінчена. Якщо ви зробили що-небудь, Google налаштував би вимагати Authenticator як додаткове підтвердження ідентичності на вершині (але окремо від) AD FS або інших постачальників ідентифікаторів SAML. (Примітка. Я не думаю, що Google це підтримує, але вони повинні).

Тепер це не означає, що ви хочете зробити неможливо ... просто, що це, можливо, не найкраще. Хоча в основному використовується з Active Directory, AD FS також розроблений для функціонування як більш загальної служби SAML; ви можете підключити його до інших постачальників ідентифікаторів, ніж Active Directory, і він підтримує безліч різних варіантів і розширень. Одне з них - це можливість створити власних постачальників багатофакторних аутентифікацій. Крім того, Google Authenticator підтримує стандарт TOTP для багатофакторної аутентифікації.

Складіть їх разом, і це повинно бути можливо (хоча це, звичайно, не банально) використовувати Google Authenticator як постачальник MuliFactor з AD FS. Стаття, з якою ви пов’язані, є доказом концепції однієї такої спроби. Однак це не те, що AD FS робить поза коробкою; саме цей багатофакторний сервіс повинен створити цей плагін.

Можливо, MS могла б надати підтримку сторонніх постачальників декількох великих постачальників муліти-факторів (якщо є щось таке), але Google Authenticator досить новий, а AD FS 3.0 є досить старшим, що це було б неможливо зробити. це на час випуску. Крім того, для MS було б складно зберегти їх, коли вони не впливають на те, коли або які оновлення можуть натиснути ці інші постачальники.

Можливо, коли Windows Server 2016 вимкнеться, оновлений AD FS полегшить це. Вони, схоже, виконали певну роботу для покращення багатофакторної підтримки , але я не бачу жодних зауважень щодо включення автентифікатора конкурента у поле. Натомість, схоже, вони захочуть вам налаштувати Azure для цього і, можливо, надати додаток для iOS / Android / Windows для власного конкурента Authenticator.

У кінцевому підсумку я хотів би побачити, що MS постачає, - це загальний постачальник TOTP, де я налаштовую кілька речей, щоб сказати, що я розмовляю з Google Authenticator, а все інше. Можливо, коли-небудь. Можливо, більш детальний погляд на систему, як тільки ми її реально отримаємо, покаже, що вона там є.

^{1 Для запису я це зробив. Майте на увазі, що коли ви зробите стрибок, ця інформація не застосовуватиметься до зображень IMP або інших програм, які використовують обліковий запис. Іншими словами, ви зламаєте величезну частину облікового запису Google. Щоб уникнути цього, вам також потрібно встановити та налаштувати інструмент синхронізації паролів Google . За допомогою цього інструменту кожен раз, коли хтось змінює свій пароль в Active Directory, ваш контролер домену надсилає в Google хеш пароля для використання з цими іншими автентифікаціями.}

^{Крім того, це все або нічого для ваших користувачів. Ви можете обмежити IP-адресу кінцевої точки, але не залежно від користувачів. Тож якщо у вас є застарілі користувачі (наприклад, випускники в коледжі), які не знають жодної облікової інформації Active Directory, їх переміщення може стати проблемою. З цієї причини в даний час я не використовую AD FS з Google, хоча все ще сподіваюся, що врешті-решт зробимо цей стрибок. Зараз ми зробили цей стрибок.}

Я думаю, що ваше запитання робить неправдивим припущення, що завданням Microsoft є підтримка певного рішення 2FA / MFA конкретного постачальника. Але є багато продуктів 2FA / MFA, які вже підтримують Windows та AD, оскільки постачальники вирішили додати цю підтримку. Якщо Google не вважає, що це достатньо важливо, щоб додати підтримку, це насправді не винна Microsoft. API, пов’язані з аутентифікацією та авторизацією, добре зареєстровані та вільні у використанні.

Повідомлення в блозі, яке ви пов’язали з зразковим кодом, який кожен може написати, щоб додати підтримку RFC6238 TOTP до власного середовища AD FS. Те, що трапляється працювати з Google Authenticator, є лише побічним ефектом автентифікатора, що підтримує цей RFC. Я також зазначу літанію відмови від відповідальності внизу про те, що код є "доказом концепції", "відсутність належного поводження з помилками" та "не створений з урахуванням безпеки".

У будь-якому випадку, ні. Я не вірю, що підтримка Google Authenticator явно підтримуватиметься в Windows Server 2016. Але я не думаю, що щось заважає Google додавати підтримку на сервері 2016 або раніше.

Відповідь станом на жовтень 2017 року:

Використовуйте системи з включенням Duo to MFA, які повертають LDAP до AD

Ми все дослідили чи спробували.

• Azure / Microsoft MFA (складний і трудомісткий час для налаштування, неміцний в роботі)
• RADIUS-сервери

Хоча нам не подобається експлуатаційна вартість DUO, для до 50 користувачів ціна, для нас, варта простоти в налаштуванні та використанні.

Ми використовували його так далеко позаду:

• Пристрої Cisco ASA для доступу до VPN

• Пристрій віддаленого доступу Sonicwall для доступу до VPN (при цьому пристрій LDAP також працює в AD)

Ми не знаємо жодного іншого підходу, який може бути налаштований за 2-4 години, і MFA дозволяє LDAP-сервісам, які припиняють AD.

Ми продовжуємо вважати, що AD сама повинна підтримувати TOTP / HOTP RFC позаду аутентифікатора google, і ми дуже розчаровані, що MS не вирішила це належним чином у Windows Server 2016.

Вже є безкоштовне підключення для одноразової автентифікації пароля за допомогою ADFS. Це чудово працює з програмами Google або аутентифікатора Microsoft. Для отримання додаткової інформації див. Www.securemfa.com. Я використовую його без проблем у виробництві.