Active Directory + Google Authenticator - AD FS oder wie?

(Bearbeitet, um dem Verständnis der Antwortschreiber zu entsprechen - Neue, frische, saubere Frage, die hier veröffentlicht wurde: Active Directory + Google Authenticator - Native Unterstützung in Windows Server? )

Bisherige Forschung

Es gibt einen Technet-Artikel zur Verwendung von Google Authenticator mit Active Directory-Verbunddiensten (AD FS): https://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwörter-für-Multi-Faktor-Authentifizierung-in-ad-fs-3-0 /

Seltsamerweise scheint es sich um ein Entwicklungsprojekt zu handeln, das Code und eine eigene SQL-Datenbank erfordert.

Wir sprechen hier nicht speziell von AD FS. Wenn Sie dazu kommen, suchen wir nach 2FA, das Google Authenticator-RFCs unterstützt, die in AD integriert sind.

Wir müssen uns ansehen, was hier los ist.

AD FS dreht sich alles um SAML . Es wird eine Verbindung zu Active Directory hergestellt, um es als SAML-Identitätsanbieter zu verwenden. Google kann bereits als SAML-Dienstanbieter fungieren . Fügen Sie die beiden zusammen, damit Google dem SAML-Token Ihres Servers vertraut und Sie sich über Active Directory-Anmeldeinformationen bei einem Google-Konto anmelden. ¹

Google Authenticator hingegen fungiert als ein Faktor eines Identitätsanbieters ... normalerweise für den eigenen Dienst von Google. Vielleicht können Sie jetzt sehen, wie es nicht wirklich zu AD FS passt. Wenn Sie AD FS mit Google verwenden, verwenden Sie den Identitätsanbieter von Google nicht mehr wirklich. Wenn AD FS die Rückgabe an Google abgeschlossen hat, ist die Identitätsseite bereits abgeschlossen. Wenn Sie etwas unternommen haben, wird Google so konfiguriert, dass Authenticator als zusätzliche Identitätsbestätigung zusätzlich zu AD FS oder anderen SAML-Identitätsanbietern (jedoch getrennt von AD FS) erforderlich ist . (Hinweis: Ich denke nicht, dass Google dies unterstützt, aber sie sollten).

Das bedeutet nicht, dass das, was Sie tun möchten, unmöglich ist ... nur, dass es vielleicht nicht die beste Lösung ist. AD FS wird hauptsächlich mit Active Directory verwendet, ist jedoch auch als allgemeinerer SAML-Dienst konzipiert. Sie können es mit anderen Identitätsanbietern als Active Directory verbinden und es unterstützt viele verschiedene Optionen und Erweiterungen. Eine davon ist die Möglichkeit, eigene Multi-Faktor-Authentifizierungsanbieter zu erstellen. Darüber hinaus unterstützt Google Authenticator den TOTP-Standard für die Multi-Faktor-Authentifizierung.

Fügen Sie die beiden zusammen, und es sollte möglich (wenn auch nicht trivial) sein, Google Authenticator als MuliFactor-Anbieter mit AD FS zu verwenden. Der Artikel, auf den Sie verlinkt haben, ist ein Proof of Concept eines solchen Versuchs. Dies ist jedoch nicht etwas, was AD FS sofort tut. Es liegt an jedem Multi-Factor-Service, dieses Plug-In zu erstellen.

Vielleicht könnte MS einige der großen Multi-Faktor-Anbieter von Erstanbietern unterstützen (falls es so etwas gibt), aber Google Authenticator ist neu genug und AD FS 3.0 ist alt genug, dass dies nicht möglich gewesen wäre dies zum Zeitpunkt der Veröffentlichung. Darüber hinaus wäre es für MS eine Herausforderung, diese beizubehalten, wenn sie keinen Einfluss darauf haben, wann oder welche Updates diese anderen Anbieter möglicherweise veröffentlichen.

Wenn Windows Server 2016 nicht verfügbar ist, erleichtert der aktualisierte AD FS dies möglicherweise. Sie scheinen einige Arbeit für eine bessere Unterstützung mit mehreren Faktoren geleistet zu haben , aber ich sehe keine Hinweise dazu, wie der Authentifikator eines Konkurrenten in die Box aufgenommen werden kann. Stattdessen möchten sie anscheinend, dass Sie Azure dafür einrichten und Authenticator möglicherweise eine iOS- / Android- / Windows-App für ihren eigenen Konkurrenten bereitstellen.

Was ich letztendlich von MS erwarten würde, ist ein generischer TOTP-Anbieter, bei dem ich einige Dinge konfiguriere, um zu sagen, dass ich mit Google Authenticator spreche, und den Rest erledigt. Vielleicht eines Tages. Vielleicht zeigt ein detaillierterer Blick auf das System, sobald wir es tatsächlich bekommen können, dass es dort drin ist.

^{1 Für die Aufzeichnung habe ich dies getan. Beachten Sie, dass diese Informationen beim Sprung nicht für IMAP oder andere Apps gelten, die das Konto verwenden. Mit anderen Worten, Sie brechen einen großen Teil des Google-Kontos. Um dies zu vermeiden, müssen Sie auch das Google Password Sync Tool installieren und konfigurieren . Mit dem Tool sendet Ihr Domänencontroller jedes Mal, wenn jemand sein Kennwort in Active Directory ändert, einen Hash des Kennworts zur Verwendung mit diesen anderen Authentifizierungen an Google.}

^{Darüber hinaus ist dies alles oder nichts für Ihre Benutzer. Sie können die IP-Adresse des Endpunkts einschränken, jedoch nicht basierend auf den Benutzern. Wenn Sie also ältere Benutzer haben (z. B. Alumni-Benutzer an einem College), die keine Active Directory-Anmeldeinformationen kennen, kann es eine Herausforderung sein, sie alle zu verschieben. Aus diesem Grund verwende ich AD FS derzeit nicht mit Google, obwohl ich immer noch hoffe, den Sprung zu schaffen. Wir haben jetzt diesen Sprung gemacht.}

Ich denke, Ihre Frage geht von der ungültigen Annahme aus, dass es Aufgabe von Microsoft ist, Unterstützung für die 2FA / MFA-Lösung eines bestimmten Anbieters hinzuzufügen. Es gibt jedoch viele 2FA / MFA-Produkte, die bereits Windows und AD unterstützen, da die Anbieter diese Unterstützung hinzugefügt haben. Wenn Google es nicht für wichtig genug hält, Unterstützung hinzuzufügen, ist dies nicht wirklich die Schuld von Microsoft. Die APIs für Authentifizierung und Autorisierung sind gut dokumentiert und können kostenlos verwendet werden.

Der Blog-Beitrag, den Sie mit Beispielcode verknüpft haben, den jeder schreiben kann, um RFC6238- TOTP-Unterstützung zu seiner eigenen AD FS-Umgebung hinzuzufügen . Dass es zufällig mit Google Authenticator funktioniert, ist nur ein Nebeneffekt des Authentifikators, der diesen RFC unterstützt. Ich möchte auch die Litanei der Haftungsausschlüsse unten erwähnen, dass der Code "Proof of Concept", "keine ordnungsgemäße Fehlerbehandlung" und "nicht unter Berücksichtigung der Sicherheit erstellt" ist.

Auf jeden Fall nein. Ich glaube nicht, dass die Unterstützung von Google Authenticator in Windows Server 2016 explizit unterstützt wird. Ich glaube jedoch nicht, dass Google daran gehindert wird, selbst Unterstützung für Server 2016 oder früher hinzuzufügen.

Die Antwort ab Oktober 2017:

Verwenden Sie Duo , um Systeme zu aktivieren, die LDAP zurück zu AD ausführen

Wir haben alles recherchiert oder ausprobiert.

• Azure / Microsoft MFA (komplex und zeitaufwändig einzurichten, im Betrieb fragil)
• RADIUS-Server

Obwohl uns die Betriebskosten von DUO für bis zu 50 Benutzer nicht gefallen, sind die Kosten für uns die einfache Einrichtung und Verwendung wert.

Wir haben es so weit hinten benutzt:

• Cisco ASA-Geräte für den VPN-Zugriff

• Sonicwall Remote Access Appliance für den VPN-Zugriff (wobei das Gerät LDAP auch für AD ausführt)

Uns ist kein anderer Ansatz bekannt, der in 2 bis 4 Stunden eingerichtet werden kann, und MFA aktiviert LDAP-Dienste, die an AD hängen.

Wir sind weiterhin der Ansicht, dass AD selbst die TOTP / HOTP-RFCs hinter Google Authenticator unterstützen sollte, und sind zutiefst enttäuscht, dass MS dies in Windows Server 2016 nicht ordnungsgemäß gelöst hat.

Es gibt bereits ein kostenloses Plug-in für die Einmalkennwortauthentifizierung mit ADFS. Es funktioniert gut mit Google oder Microsoft Authenticator Apps. Weitere Informationen finden Sie unter www.securemfa.com. Ich benutze es ohne Probleme in der Produktion.