Active Directory + Google Authenticator - AD FS или как?

(Отредактировано в соответствии с пониманием авторов ответов. Новый, свежий, чистый вопрос, опубликованный здесь: Active Directory + Google Authenticator - Встроенная поддержка в Windows Server? )

Исследования выполнены

Техническая статья о том, как использовать аутентификатор Google с федеративными службами Active Directory (AD FS): https://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwords-для-многофакторной аутентификации-в-ад-фс-3-0 /

Как ни странно, он выглядит как проект dev, требующий некоторого кода и собственной базы данных SQL.

Мы не говорим здесь об AD FS конкретно. Когда мы дойдем до этого, мы с нетерпением ждем 2FA, предварительно поддерживающего Google Authenticator RFC, встроенного в AD.

Нам нужно посмотреть, что здесь происходит.

AD FS это все о SAML . Он подключится к Active Directory, чтобы использовать его в качестве поставщика удостоверений SAML. У Google уже есть возможность выступать в качестве поставщика услуг SAML . Соедините их вместе, чтобы Google доверял токену SAML вашего сервера, и вы входите в учетную запись Google через учетные данные Active Directory. ¹

Google Authenticator, с другой стороны, действует как один из факторов провайдера идентификации ... обычно для собственной службы Google. Может быть, теперь вы можете видеть, как это не вписывается в AD FS. При использовании AD FS с Google вы на самом деле больше не пользуетесь провайдером идентификации Google, и к тому времени, когда AD FS завершит передачу обратно в Google, идентификационная сторона уже завершена. Если бы вы что-то сделали, Google настроил бы запрос аутентификатора в качестве дополнительного подтверждения личности поверх (но отдельно от) AD FS или других поставщиков удостоверений SAML. (Примечание: я не думаю, что Google поддерживает это, но они должны).

Теперь, это не значит, что то, что вы хотите сделать, невозможно ... просто то, что это может быть не лучшим образом. Хотя он в основном используется с Active Directory, AD FS также предназначен для работы в качестве более общей службы SAML; вы можете подключить его к другим провайдерам идентификации, кроме Active Directory, и он поддерживает множество различных опций и расширений. Одним из них является возможность создания собственных поставщиков многофакторной аутентификации. Кроме того, Google Authenticator поддерживает стандарт TOTP для многофакторной аутентификации.

Соедините их вместе, и будет возможно (хотя, конечно, не тривиально) использовать Google Authenticator в качестве поставщика MuliFactor с AD FS. Статья, на которую вы ссылаетесь, является подтверждением концепции одной из таких попыток. Однако это не то, что AD FS делает из коробки; создание каждого плагина зависит от каждой многофакторной службы.

Может быть, MS могла бы обеспечить первоклассную поддержку для нескольких крупных провайдеров с несколькими факторами (если такая вещь существует), но Google Authenticator достаточно новый и AD FS 3.0 достаточно старый, чтобы его было бы невозможно сделать это во время релиза. Кроме того, для MS было бы сложно поддерживать их, когда они не влияют на то, когда или какие обновления могут продвигать другие провайдеры.

Возможно, когда выйдет Windows Server 2016, обновленная версия AD FS облегчит эту задачу. Похоже, они проделали определенную работу для лучшей многофакторной поддержки , но я не вижу никаких замечаний по поводу включения аутентификатора конкурента в коробку. Вместо этого, похоже, что они захотят, чтобы вы настроили Azure для этого, и, возможно, предоставили приложение для iOS / Android / Windows для своего конкурента в Authenticator.

В конечном итоге я хотел бы, чтобы MS поставил, это общий поставщик TOTP, где я настраиваю несколько вещей, чтобы сообщить ему, что я общаюсь с Google Authenticator, и он делает все остальное. Возможно когда-нибудь. Может быть, более подробный взгляд на систему, как только мы действительно получим ее, покажет, что она там.

^{1 Для записи я сделал это. Помните, что при выполнении перехода эта информация не будет применяться к imap или другим приложениям, использующим учетную запись. Другими словами, вы нарушаете огромную часть учетной записи Google. Чтобы избежать этого, вам также нужно установить и настроить Google Sync Tool . С помощью этого инструмента каждый раз, когда кто-либо меняет свой пароль в Active Directory, ваш контроллер домена отправляет хэш пароля в Google для использования с этими другими аутентификациями.}

^{Кроме того, это все или ничего для ваших пользователей. Вы можете ограничить IP-адрес конечной точки, но не на основе пользователей. Поэтому, если у вас есть устаревшие пользователи (например, пользователи выпускников в колледже), которые не знают учетные данные Active Directory, переместить их всех может быть проблемой. По этой причине я в настоящее время не использую AD FS с Google, хотя я все еще надеюсь в конечном итоге совершить скачок. Теперь мы сделали этот скачок.}

Я думаю, что ваш вопрос делает неверное предположение о том, что задача Microsoft - добавить поддержку решения 2FA / MFA конкретного поставщика. Но есть много продуктов 2FA / MFA, которые уже поддерживают Windows и AD, потому что производители решили добавить эту поддержку. Если Google не считает, что это достаточно важно, чтобы добавить поддержку, это не вина Microsoft. API, связанные с аутентификацией и авторизацией, хорошо документированы и бесплатны для использования.

В блоге вы указали пример кода, который каждый может написать, чтобы добавить поддержку RFC6238 TOTP в свою собственную среду AD FS. То, что это происходит при работе с Google Authenticator, является лишь побочным эффектом аутентификатора, поддерживающего этот RFC. Я также хотел бы отметить целый ряд заявлений об отказе от ответственности в отношении того, что код является «доказательством концепции», «без надлежащей обработки ошибок» и «не создан с учетом безопасности».

В любом случае нет. Я не верю, что поддержка Google Authenticator будет явно поддерживаться в Windows Server 2016. Но я не думаю, что что-то мешает Google самостоятельно добавлять поддержку на Server 2016 или более ранней версии.

Ответ по состоянию на октябрь 2017 года:

Использование Duo для MFA включает системы, которые возвращают LDAP в AD

Мы исследовали или попробовали все.

• Azure / Microsoft MFA (сложный и трудоемкий в настройке, хрупкий в работе)
• RADIUS серверы

Несмотря на то, что нам не нравятся эксплуатационные расходы DUO для 50 пользователей, для нас эта стоимость стоит простоты в настройке и использовании.

Мы использовали это до сих пор:

• Устройства Cisco ASA для VPN-доступа

• Устройство удаленного доступа Sonicwall для VPN-доступа (с устройством, выполняющим LDAP также для AD)

Нам неизвестно о каком-либо другом подходе, который можно настроить за 2-4 часа, и MFA включает службы LDAP, которые отключают AD.

Мы по-прежнему считаем, что сама AD должна поддерживать RFC-аутентификаторы TOTP / HOTP, стоящие за google authenticator, и глубоко разочарована тем, что MS не решила эту проблему должным образом в Windows Server 2016.

Уже есть бесплатное подключение для аутентификации по одноразовому паролю с ADFS. Он отлично работает с приложениями Google или Microsoft для проверки подлинности. Смотрите www.securemfa.com для получения дополнительной информации. Я использую это без каких-либо проблем в производстве.