Active Directory + Google Authenticator - AD FS ou como?

Question

Active Directory + Google Authenticator - AD FS ou como?

#1 resposta do (9 votos)
#2 resposta do (7 votos)
#3 resposta do (1 votos)
#4 resposta do (-2 votos)

9

(Editado para corresponder ao entendimento dos redatores de respostas - Nova, nova e limpa pergunta postada aqui: Active Directory + Google Authenticator - Suporte nativo no Windows Server? )

Pesquisa concluída até agora

Há um artigo de technet sobre como usar o google authenticator com os Serviços Federados do Active Directory (AD FS):

Estranhamente, parece ser um projeto dev, requerendo algum código e seu próprio banco de dados SQL.

Não estamos falando aqui especificamente do AD FS. Estamos procurando, quando você chegar lá, para 2FA, pref suporte a RFCs do Google Authenticator, incorporado ao AD.

authentication windows active-directory

por samsmith 17.03.2016 / 17:47

4 respostas

9

Precisamos ver o que está acontecendo aqui.

O AD FS é sobre SAML . Ele se conectará ao Active Directory para usá-lo como um provedor de identidade SAML. O Google já tem a capacidade de agir como um provedor de serviços SAML . Coloque os dois juntos para que o Google confie no token SAML do seu servidor e você faça login em uma Conta do Google por meio das credenciais do Active Directory. ¹

O Google Authenticator, por outro lado, atua como um fator de um provedor de identidade ... geralmente para o próprio serviço do Google. Talvez você possa ver agora como isso realmente não se encaixa no AD FS. Ao usar o AD FS com o Google, você não está mais usando o provedor de identidade do Google, e no momento em que o AD FS conclui a devolução para o Google, o lado da identidade já está concluído. Se você fizesse alguma coisa, seria configurar o Google para exigir que o Authenticator fosse uma confirmação de identidade suplementar no topo (mas separado do) AD FS ou outros provedores de identidade SAML. (Nota: não acho que o Google suporte isso, mas eles deveriam).

Agora, isso não significa que o que você quer fazer é impossível ... só que talvez não seja o melhor ajuste. Embora seja usado principalmente com o Active Directory, o AD FS também foi projetado para funcionar como um serviço SAML mais genérico; você pode conectá-lo a outros provedores de identidade do que o Active Directory e oferece suporte a várias opções e extensões diferentes. Uma delas é a capacidade de criar seus próprios provedores de autenticação de vários fatores. Além disso, o Google Authenticator suporta o padrão TOTP para autenticação multifator.

Coloque os dois juntos e deve ser possível (embora certamente não seja trivial) usar o Google Authenticator como um provedor MuliFactor com o AD FS. O artigo ao qual você está vinculado é uma prova de conceito de uma dessas tentativas. No entanto, isso não é algo que o AD FS faz fora da caixa; cabe a cada serviço Multi-Factor criar esse plug-in.

Talvez o MS possa fornecer suporte primário para alguns dos grandes provedores de múltiplos fatores (se houver tal coisa), mas o Google Authenticator é novo o suficiente e o AD FS 3.0 é velho o suficiente para não ter sido possível fazer isso no momento do lançamento. Além disso, seria um desafio para a MS mantê-los, quando não têm influência sobre quando ou quais atualizações esses outros provedores podem impor.

Talvez quando o Windows Server 2016 estiver fora, o AD FS atualizado facilite isso. Eles parecem ter feito algum trabalho para melhorar o suporte a vários fatores , mas não vejo quaisquer notas sobre a inclusão do autenticador de um concorrente na caixa. Em vez disso, parece que eles querem que você configure o Azure para fazer isso e, possivelmente, forneça um aplicativo iOS / Android / Windows para seu próprio concorrente para o Autenticador.

O que eu gostaria de ver o MS deliver é um provedor TOTP genérico, onde eu configuro algumas coisas para dizer que estou falando com o Google Authenticator, e ele faz o resto. Talvez algum dia. Talvez uma visão mais detalhada do sistema, uma vez que possamos obtê-lo, mostre que ele está lá.

^{¹ Para o registro, eu fiz isso. Esteja ciente de que, quando você dá o salto, essas informações não se aplicam ao imap ou a outros aplicativos que usam a conta. Em outras palavras, você está quebrando uma parte enorme da Conta do Google. Para evitar isso, você também precisará instalar e configurar Ferramenta de sincronização de senhas do Google . Com a ferramenta, sempre que alguém alterar sua senha no Active Directory, seu controlador de domínio enviará um hash da senha ao Google para uso com essas outras autenticações.}

^{Além disso, isso é tudo ou nada para seus usuários. Você pode restringir pelo endereço IP do terminal, mas não com base nos usuários. Portanto, se você tiver usuários herdados (por exemplo: usuários de ex-alunos de uma faculdade) que não conhecem as credenciais do Active Directory, é possível que todos eles sejam transferidos. Por esse motivo, Atualmente, não estou usando o AD FS com o Google, embora ainda espere dar o salto. Já fizemos esse salto.}

por 17.03.2016 / 20:03

7

Acho que a sua pergunta faz com que a tarefa da Microsoft seja adicionar suporte à solução 2FA / MFA de um fornecedor em particular. Mas há muitos produtos 2FA / MFA que já suportam Windows e AD porque os fornecedores optaram por adicionar esse suporte. Se o Google não acha que é importante o suficiente para adicionar suporte, isso não é realmente culpa da Microsoft. As APIs relacionadas à autenticação e autorização estão bem documentadas e livres para uso.

A postagem do blog que você vinculou a um código de amostra que qualquer pessoa poderia escrever para adicionar suporte a TOFC RFC6238 ao próprio ambiente do AD FS . O fato de funcionar com o Google Authenticator é apenas um efeito colateral do autenticador que suporta esse RFC. Eu também observaria a ladainha de renúncias na parte inferior sobre o código ser "prova de conceito", "nenhum tratamento adequado de erros" e "não criado com segurança em mente".

Em qualquer caso, não. Não acredito que o suporte do Google Authenticator seja explicitamente suportado no Windows Server 2016. Mas não acho que nada esteja impedindo o Google de adicionar suporte no Server 2016 ou anterior.

por 17.03.2016 / 18:52

-2

Já existe um plug-in gratuito para autenticação de senha única com o ADFS. Funciona bem com aplicativos do google ou microsoft authenticator. Veja www.securemfa.com para mais informações. Estou usando sem problemas na produção.

por 22.01.2018 / 11:56

Tags authentication windows active-directory

O SATA-2 é compatível com versões anteriores do SATA-1? O que são velocidades “boas” para iSCSI e NFS com mais de 1 GB de ethernet?

score 1 · Accepted Answer

A resposta, a partir de outubro de 2017:

Use o Duo para ativar os sistemas que fazem o LDAP de volta ao AD

Pesquisamos ou tentamos de tudo.

Azure / Microsoft MFA (complexo e demorado para configurar, frágil em operação)
servidores RADIUS

Embora não gostemos do custo operacional do DUO, para até 50 usuários, o custo, para nós, vale a simplicidade de configurar e usar.

Nós o usamos até agora:

Dispositivos Cisco ASA para acesso VPN
Dispositivo de acesso remoto Sonicwall para acesso VPN (com o dispositivo fazendo LDAP também para o AD)

Não temos conhecimento de nenhuma outra abordagem que possa ser configurada em 2 a 4 horas e que o MFA ative os serviços LDAP que são desativados no AD.

Continuamos acreditando que o próprio AD deve apoiar o RFC do TOTP / HOTP por trás do autenticador do google e estão profundamente desapontados pelo fato de o MS não ter resolvido isso corretamente no Windows Server 2016.