Kita perlu melihat apa yang terjadi di sini.
AD FS adalah tentang SAML . Ini akan terhubung ke Active Directory untuk menggunakannya sebagai Penyedia Identitas SAML. Google sudah memiliki kemampuan untuk bertindak sebagai Penyedia Layanan SAML . Gabungkan keduanya, jadi Google akan mempercayai token SAML server Anda, dan Anda masuk ke Akun Google melalui kredensial Active Directory. 1
Google Authenticator, di sisi lain, bertindak sebagai salah satu faktor Penyedia Identitas ... biasanya untuk layanan Google sendiri. Mungkin Anda dapat melihat sekarang bagaimana itu tidak cocok dengan AD FS. Saat menggunakan AD FS dengan Google, Anda tidak benar-benar menggunakan Penyedia Identitas Google lagi, dan pada saat AD FS menyelesaikan hand off kembali ke Google, sisi identitas sudah selesai. Jika Anda melakukan sesuatu, itu akan mengonfigurasi Google untuk meminta Authenticator sebagai konfirmasi identitas tambahan di atas (tetapi terpisah dari) AD FS atau penyedia identitas SAML lainnya. (Catatan: Saya pikir Google tidak mendukung ini, tetapi mereka seharusnya).
Sekarang, itu tidak berarti apa yang ingin Anda lakukan tidak mungkin ... Hanya saja itu mungkin bukan yang terbaik. Meskipun ini terutama digunakan dengan Active Directory, AD FS juga dirancang untuk berfungsi sebagai layanan SAML yang lebih umum; Anda dapat menghubungkannya ke penyedia identitas lain selain Active Directory, dan mendukung banyak opsi dan ekstensi yang berbeda. Salah satunya adalah kemampuan untuk membuat penyedia Otentikasi Multi-Faktor Anda sendiri. Selain itu, Google Authenticator mendukung standar TOTP untuk otentikasi multi-faktor.
Gabungkan keduanya, dan harus dimungkinkan (meskipun tentu tidak sepele) untuk menggunakan Google Authenticator sebagai penyedia MuliFactor dengan AD FS. Artikel yang Anda tautkan adalah bukti konsep dari salah satu upaya tersebut. Namun, ini bukan sesuatu yang dilakukan oleh FS AD; terserah masing-masing layanan Multi-Faktor untuk membuat plug-in itu.
Mungkin MS dapat memberikan dukungan pihak pertama untuk beberapa penyedia faktor mutli besar (jika ada hal seperti itu), tetapi Google Authenticator cukup baru dan AD FS 3.0 cukup lama sehingga tidak layak untuk dilakukan ini pada waktu rilis. Selain itu, akan sulit bagi MS untuk mempertahankan ini, ketika mereka tidak memiliki pengaruh pada kapan atau apa pembaruan yang didorong oleh penyedia lain ini.
Mungkin ketika Windows Server 2016 keluar, AD FS yang diperbarui akan membuat ini lebih mudah. Mereka tampaknya telah melakukan beberapa pekerjaan untuk dukungan multi-faktor yang lebih baik , tetapi saya tidak melihat catatan tentang menyertakan autentikator pesaing dalam kotak. Sebaliknya, sepertinya mereka ingin Anda mengatur Azure untuk melakukan ini, dan mungkin menyediakan aplikasi iOS / Android / Windows untuk pesaing mereka sendiri ke Authenticator.
Yang akhirnya ingin saya lihat adalah pengiriman MS adalah penyedia TOTP generik , tempat saya mengonfigurasi beberapa hal untuk memberi tahu bahwa saya sedang berbicara dengan Google Authenticator, dan sisanya. Mungkin suatu hari nanti. Mungkin melihat lebih detail pada sistem, begitu kita benar-benar bisa mendapatkannya, akan menunjukkannya di sana.
1 Sebagai catatan, saya sudah melakukan ini. Ketahuilah bahwa ketika Anda melakukan lompatan, informasi ini tidak akan berlaku untuk imap atau aplikasi lain yang menggunakan akun. Dengan kata lain, Anda melanggar sebagian besar akun Google. Untuk menghindari ini, Anda juga harus menginstal dan mengonfigurasi Alat Sinkronisasi Kata Sandi Google . Dengan alat ini, setiap kali seseorang mengubah kata sandi mereka di Active Directory, pengontrol domain Anda akan mengirim hash kata sandi ke Google untuk digunakan dengan autentikasi lainnya.
Selain itu, ini semua atau tidak sama sekali bagi pengguna Anda. Anda dapat membatasi dengan alamat IP titik akhir, tetapi tidak berdasarkan pada pengguna. Jadi, jika Anda memiliki pengguna lama (misalnya: pengguna alumni di perguruan tinggi) yang tidak tahu kredensial Active Directory, memindahkan mereka semua bisa menjadi tantangan. Untuk alasan ini, saya saat ini tidak menggunakan AD FS dengan Google, meskipun saya masih berharap untuk akhirnya membuat lompatan. Kami sekarang telah membuat lompatan itu.