Active Directory + Google Authenticator - AD FS, atau bagaimana?

(Diedit agar sesuai dengan pemahaman para penulis jawaban - Pertanyaan baru, segar, bersih yang diposting di sini: Active Directory + Google Authenticator - Dukungan asli di Windows Server? )

Penelitian Dilakukan Sejauh Ini

Ada artikel technet tentang cara menggunakan google authenticator dengan Active Directory Federated Services (AD FS): https://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwords-for-multi-factor-authentication-in-ad-fs-3-0 /

Anehnya, ini tampaknya proyek dev, membutuhkan beberapa kode dan SQL DB-nya sendiri.

Kami tidak berbicara di sini tentang AD FS secara khusus. Kami mencari, saat Anda mendapatkannya, untuk 2FA, lebih dulu mendukung Google Authenticator RFCs, yang terintegrasi dengan AD.

Kita perlu melihat apa yang terjadi di sini.

AD FS adalah tentang SAML . Ini akan terhubung ke Active Directory untuk menggunakannya sebagai Penyedia Identitas SAML. Google sudah memiliki kemampuan untuk bertindak sebagai Penyedia Layanan SAML . Gabungkan keduanya, jadi Google akan mempercayai token SAML server Anda, dan Anda masuk ke Akun Google melalui kredensial Active Directory. ¹

Google Authenticator, di sisi lain, bertindak sebagai salah satu faktor Penyedia Identitas ... biasanya untuk layanan Google sendiri. Mungkin Anda dapat melihat sekarang bagaimana itu tidak cocok dengan AD FS. Saat menggunakan AD FS dengan Google, Anda tidak benar-benar menggunakan Penyedia Identitas Google lagi, dan pada saat AD FS menyelesaikan hand off kembali ke Google, sisi identitas sudah selesai. Jika Anda melakukan sesuatu, itu akan mengonfigurasi Google untuk meminta Authenticator sebagai konfirmasi identitas tambahan di atas (tetapi terpisah dari) AD FS atau penyedia identitas SAML lainnya. (Catatan: Saya pikir Google tidak mendukung ini, tetapi mereka seharusnya).

Sekarang, itu tidak berarti apa yang ingin Anda lakukan tidak mungkin ... Hanya saja itu mungkin bukan yang terbaik. Meskipun ini terutama digunakan dengan Active Directory, AD FS juga dirancang untuk berfungsi sebagai layanan SAML yang lebih umum; Anda dapat menghubungkannya ke penyedia identitas lain selain Active Directory, dan mendukung banyak opsi dan ekstensi yang berbeda. Salah satunya adalah kemampuan untuk membuat penyedia Otentikasi Multi-Faktor Anda sendiri. Selain itu, Google Authenticator mendukung standar TOTP untuk otentikasi multi-faktor.

Gabungkan keduanya, dan harus dimungkinkan (meskipun tentu tidak sepele) untuk menggunakan Google Authenticator sebagai penyedia MuliFactor dengan AD FS. Artikel yang Anda tautkan adalah bukti konsep dari salah satu upaya tersebut. Namun, ini bukan sesuatu yang dilakukan oleh FS AD; terserah masing-masing layanan Multi-Faktor untuk membuat plug-in itu.

Mungkin MS dapat memberikan dukungan pihak pertama untuk beberapa penyedia faktor mutli besar (jika ada hal seperti itu), tetapi Google Authenticator cukup baru dan AD FS 3.0 cukup lama sehingga tidak layak untuk dilakukan ini pada waktu rilis. Selain itu, akan sulit bagi MS untuk mempertahankan ini, ketika mereka tidak memiliki pengaruh pada kapan atau apa pembaruan yang didorong oleh penyedia lain ini.

Mungkin ketika Windows Server 2016 keluar, AD FS yang diperbarui akan membuat ini lebih mudah. Mereka tampaknya telah melakukan beberapa pekerjaan untuk dukungan multi-faktor yang lebih baik , tetapi saya tidak melihat catatan tentang menyertakan autentikator pesaing dalam kotak. Sebaliknya, sepertinya mereka ingin Anda mengatur Azure untuk melakukan ini, dan mungkin menyediakan aplikasi iOS / Android / Windows untuk pesaing mereka sendiri ke Authenticator.

Yang akhirnya ingin saya lihat adalah pengiriman MS adalah penyedia TOTP generik , tempat saya mengonfigurasi beberapa hal untuk memberi tahu bahwa saya sedang berbicara dengan Google Authenticator, dan sisanya. Mungkin suatu hari nanti. Mungkin melihat lebih detail pada sistem, begitu kita benar-benar bisa mendapatkannya, akan menunjukkannya di sana.

^{1 Sebagai catatan, saya sudah melakukan ini. Ketahuilah bahwa ketika Anda melakukan lompatan, informasi ini tidak akan berlaku untuk imap atau aplikasi lain yang menggunakan akun. Dengan kata lain, Anda melanggar sebagian besar akun Google. Untuk menghindari ini, Anda juga harus menginstal dan mengonfigurasi Alat Sinkronisasi Kata Sandi Google . Dengan alat ini, setiap kali seseorang mengubah kata sandi mereka di Active Directory, pengontrol domain Anda akan mengirim hash kata sandi ke Google untuk digunakan dengan autentikasi lainnya.}

^{Selain itu, ini semua atau tidak sama sekali bagi pengguna Anda. Anda dapat membatasi dengan alamat IP titik akhir, tetapi tidak berdasarkan pada pengguna. Jadi, jika Anda memiliki pengguna lama (misalnya: pengguna alumni di perguruan tinggi) yang tidak tahu kredensial Active Directory, memindahkan mereka semua bisa menjadi tantangan. Untuk alasan ini, saya saat ini tidak menggunakan AD FS dengan Google, meskipun saya masih berharap untuk akhirnya membuat lompatan. Kami sekarang telah membuat lompatan itu.}

Saya pikir pertanyaan Anda membuat asumsi yang tidak valid bahwa itu adalah tugas Microsoft untuk menambahkan dukungan untuk solusi 2FA / MFA vendor tertentu. Tetapi ada banyak produk 2FA / MFA yang sudah mendukung Windows dan AD karena vendor telah memilih untuk menambahkan dukungan itu. Jika Google tidak menganggap penting untuk menambahkan dukungan, itu bukan kesalahan Microsoft. API terkait Otentikasi dan Otorisasi didokumentasikan dengan baik dan bebas untuk digunakan.

Posting blog yang Anda tautkan ke kode sampel yang dapat ditulis siapa saja untuk menambahkan dukungan RFC6238 TOTP ke lingkungan AD FS mereka sendiri. Bahwa kebetulan bekerja dengan Google Authenticator hanyalah efek samping dari authenticator yang mendukung RFC. Saya juga akan mencatat litani penafian di bagian bawah tentang kode menjadi "bukti konsep", "tidak ada penanganan kesalahan yang tepat", dan "tidak dibuat dengan keselamatan dalam pikiran".

Bagaimanapun, tidak. Saya tidak percaya dukungan Google Authenticator akan secara eksplisit didukung di Windows Server 2016. Tapi saya tidak berpikir ada yang menghalangi Google untuk menambahkan dukungan sendiri di Server 2016 atau sebelumnya.

Jawabannya, per Oktober 2017:

Gunakan Duo ke MFA memungkinkan sistem yang melakukan LDAP kembali ke AD

Kami telah meneliti atau mencoba segalanya.

• Azure / Microsoft MFA (rumit dan memakan waktu untuk menyiapkan, rapuh dalam operasi)
• Server RADIUS

Meskipun kami tidak suka biaya operasional DUO, untuk hingga 50 pengguna, biaya, bagi kami, sepadan dengan kesederhanaan untuk mengatur dan menggunakan.

Kami telah menggunakannya sejauh ini di belakang:

• Perangkat Cisco ASA untuk akses VPN

• Sonicwall Remote Access Appliance untuk akses VPN (dengan perangkat melakukan LDAP juga ke AD)

Kami tidak mengetahui adanya pendekatan lain yang dapat diatur dalam 2-4 jam dan MFA mengaktifkan layanan LDAP yang menunda AD.

Kami terus percaya bahwa AD itu sendiri harus mendukung TOTP / HOTP RFC di belakang autentikator google, dan sangat kecewa bahwa MS belum menyelesaikan ini dengan benar di Windows Server 2016.

Sudah ada pluging gratis untuk otentikasi kata sandi One time dengan ADFS. Ini berfungsi baik dengan aplikasi google atau microsoft authenticator. Lihat www.securemfa.com untuk informasi lebih lanjut. Saya menggunakannya tanpa masalah dalam produksi.