Active Directory + Google Authenticator - AD FS, atau bagaimana?

10

(Diedit agar sesuai dengan pemahaman para penulis jawaban - Pertanyaan baru, segar, bersih yang diposting di sini: Active Directory + Google Authenticator - Dukungan asli di Windows Server? )

Penelitian Dilakukan Sejauh Ini

Ada artikel technet tentang cara menggunakan google authenticator dengan Active Directory Federated Services (AD FS): https://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwords-for-multi-factor-authentication-in-ad-fs-3-0 /

Anehnya, ini tampaknya proyek dev, membutuhkan beberapa kode dan SQL DB-nya sendiri.

Kami tidak berbicara di sini tentang AD FS secara khusus. Kami mencari, saat Anda mendapatkannya, untuk 2FA, lebih dulu mendukung Google Authenticator RFCs, yang terintegrasi dengan AD.

windows active-directory authentication Jonesome Reinstate Monica
sumber
Google Authenticator adalah klien berpemilik. Yang setara akan menjadi token RSA. Yang Anda inginkan adalah server otentikasi atau layanan yang mendukung autentikator yang akan bekerja dengan AD FS. Saya tidak terbiasa dengan AD FS, tetapi untuk AD secara umum, NPS dapat digunakan untuk mengintegrasikan sebagian besar server 2FA karena sebagian besar mendukung RADIUS. Jika AD FS dapat menggunakan radius untuk autentikasi, maka Anda bisa membuka server ADFS >> NPS / AD >> 2FA. Sama seperti yang Anda lakukan untuk VPN dll.
sekarang
@Sekarang kamu salah. Per en.wikipedia.org/wiki/Google_Authenticator Autentikator Google didasarkan pada RFC 6238. Ada aplikasi autentikator lainnya yang mengimplementasikan RFC ini juga, dan dapat dipertukarkan dengan Google Authenticator.
Jonesome Reinstate Monica
@Samsmith benar. Maksud saya 'sumber tertutup' untuk mengklarifikasi bahwa itu tidak lagi terbuka.
Sekarang
@ sekarang Tidak, Anda masih tidak tepat sasaran. RFC bersifat publik. Banyak perusahaan, termasuk Microsoft, telah membangun aplikasi authenticator yang kompatibel dengan google authenticator. Seluruh poin Anda tidak aktif. Kami mencari MFA yang tepat dalam AD (karena kami memerlukan MFA dalam segala hal lain yang kami lakukan).
Jonesome Reinstate Monica
Saya mungkin rambut membelah. ;-). Yang saya maksudkan adalah bahwa produk Google Authenticator adalah milik Google Inc. Chrome dan Opera adalah contoh perangkat lunak berpemilik lainnya yang menerapkan RFC terbuka dan merupakan hak milik. Dulu open-source, tetapi Google dikonversi menjadi lisensi berpemilik.
sekarang

Jawaban:

9

Kita perlu melihat apa yang terjadi di sini.

AD FS adalah tentang SAML . Ini akan terhubung ke Active Directory untuk menggunakannya sebagai Penyedia Identitas SAML. Google sudah memiliki kemampuan untuk bertindak sebagai Penyedia Layanan SAML . Gabungkan keduanya, jadi Google akan mempercayai token SAML server Anda, dan Anda masuk ke Akun Google melalui kredensial Active Directory. 1

Google Authenticator, di sisi lain, bertindak sebagai salah satu faktor Penyedia Identitas ... biasanya untuk layanan Google sendiri. Mungkin Anda dapat melihat sekarang bagaimana itu tidak cocok dengan AD FS. Saat menggunakan AD FS dengan Google, Anda tidak benar-benar menggunakan Penyedia Identitas Google lagi, dan pada saat AD FS menyelesaikan hand off kembali ke Google, sisi identitas sudah selesai. Jika Anda melakukan sesuatu, itu akan mengonfigurasi Google untuk meminta Authenticator sebagai konfirmasi identitas tambahan di atas (tetapi terpisah dari) AD FS atau penyedia identitas SAML lainnya. (Catatan: Saya pikir Google tidak mendukung ini, tetapi mereka seharusnya).

Sekarang, itu tidak berarti apa yang ingin Anda lakukan tidak mungkin ... Hanya saja itu mungkin bukan yang terbaik. Meskipun ini terutama digunakan dengan Active Directory, AD FS juga dirancang untuk berfungsi sebagai layanan SAML yang lebih umum; Anda dapat menghubungkannya ke penyedia identitas lain selain Active Directory, dan mendukung banyak opsi dan ekstensi yang berbeda. Salah satunya adalah kemampuan untuk membuat penyedia Otentikasi Multi-Faktor Anda sendiri. Selain itu, Google Authenticator mendukung standar TOTP untuk otentikasi multi-faktor.

Gabungkan keduanya, dan harus dimungkinkan (meskipun tentu tidak sepele) untuk menggunakan Google Authenticator sebagai penyedia MuliFactor dengan AD FS. Artikel yang Anda tautkan adalah bukti konsep dari salah satu upaya tersebut. Namun, ini bukan sesuatu yang dilakukan oleh FS AD; terserah masing-masing layanan Multi-Faktor untuk membuat plug-in itu.

Mungkin MS dapat memberikan dukungan pihak pertama untuk beberapa penyedia faktor mutli besar (jika ada hal seperti itu), tetapi Google Authenticator cukup baru dan AD FS 3.0 cukup lama sehingga tidak layak untuk dilakukan ini pada waktu rilis. Selain itu, akan sulit bagi MS untuk mempertahankan ini, ketika mereka tidak memiliki pengaruh pada kapan atau apa pembaruan yang didorong oleh penyedia lain ini.

Mungkin ketika Windows Server 2016 keluar, AD FS yang diperbarui akan membuat ini lebih mudah. Mereka tampaknya telah melakukan beberapa pekerjaan untuk dukungan multi-faktor yang lebih baik , tetapi saya tidak melihat catatan tentang menyertakan autentikator pesaing dalam kotak. Sebaliknya, sepertinya mereka ingin Anda mengatur Azure untuk melakukan ini, dan mungkin menyediakan aplikasi iOS / Android / Windows untuk pesaing mereka sendiri ke Authenticator.

Yang akhirnya ingin saya lihat adalah pengiriman MS adalah penyedia TOTP generik , tempat saya mengonfigurasi beberapa hal untuk memberi tahu bahwa saya sedang berbicara dengan Google Authenticator, dan sisanya. Mungkin suatu hari nanti. Mungkin melihat lebih detail pada sistem, begitu kita benar-benar bisa mendapatkannya, akan menunjukkannya di sana.

1 Sebagai catatan, saya sudah melakukan ini. Ketahuilah bahwa ketika Anda melakukan lompatan, informasi ini tidak akan berlaku untuk imap atau aplikasi lain yang menggunakan akun. Dengan kata lain, Anda melanggar sebagian besar akun Google. Untuk menghindari ini, Anda juga harus menginstal dan mengonfigurasi Alat Sinkronisasi Kata Sandi Google . Dengan alat ini, setiap kali seseorang mengubah kata sandi mereka di Active Directory, pengontrol domain Anda akan mengirim hash kata sandi ke Google untuk digunakan dengan autentikasi lainnya.

Selain itu, ini semua atau tidak sama sekali bagi pengguna Anda. Anda dapat membatasi dengan alamat IP titik akhir, tetapi tidak berdasarkan pada pengguna. Jadi, jika Anda memiliki pengguna lama (misalnya: pengguna alumni di perguruan tinggi) yang tidak tahu kredensial Active Directory, memindahkan mereka semua bisa menjadi tantangan. Untuk alasan ini, saya saat ini tidak menggunakan AD FS dengan Google, meskipun saya masih berharap untuk akhirnya membuat lompatan. Kami sekarang telah membuat lompatan itu.

Joel Coel
sumber
Terima kasih atas detailnya. Sangat membantu! Kami semua pergi sedikit ke samping, jadi OP ditingkatkan untuk kejelasan.
Jonesome Reinstate Monica
Membaca posting "baru" ... Windows tidak mendukung ini, dan 2016 tidak akan membantu ... tetapi mendukung kartu pintar. Jika Anda ingin 2 faktor, lihat di sana.
Joel Coel
Microsoft sudah memiliki aplikasi autentikator.
Michael Hampton
@smithmith Memikirkan hal ini ... mengingat bahwa dua jawaban yang dipilih dengan baik di sini sama-sama salah mengartikan pertanyaan, saya sarankan Anda mengedit pertanyaan ini untuk menanyakan apa yang kami semua pikir Anda inginkan pada awalnya, dan kemudian memposting pertanyaan pertanyaan baru menanyakan apa yang Anda benar-benar ingin, memberi Anda kesempatan yang lebih baik untuk menghubungkan pertanyaan Anda dengan audiens yang dapat menjawab Anda. Saya tidak tahu apakah Anda akan melakukan yang lebih baik daripada "kartu pintar", tetapi patut dicoba.
Joel Coel
1
@ JoelCoel Selesai. Terima kasih. serverfault.com/q/764646/13716
Jonesome Reinstate Monica
7

Saya pikir pertanyaan Anda membuat asumsi yang tidak valid bahwa itu adalah tugas Microsoft untuk menambahkan dukungan untuk solusi 2FA / MFA vendor tertentu. Tetapi ada banyak produk 2FA / MFA yang sudah mendukung Windows dan AD karena vendor telah memilih untuk menambahkan dukungan itu. Jika Google tidak menganggap penting untuk menambahkan dukungan, itu bukan kesalahan Microsoft. API terkait Otentikasi dan Otorisasi didokumentasikan dengan baik dan bebas untuk digunakan.

Posting blog yang Anda tautkan ke kode sampel yang dapat ditulis siapa saja untuk menambahkan dukungan RFC6238 TOTP ke lingkungan AD FS mereka sendiri. Bahwa kebetulan bekerja dengan Google Authenticator hanyalah efek samping dari authenticator yang mendukung RFC. Saya juga akan mencatat litani penafian di bagian bawah tentang kode menjadi "bukti konsep", "tidak ada penanganan kesalahan yang tepat", dan "tidak dibuat dengan keselamatan dalam pikiran".

Bagaimanapun, tidak. Saya tidak percaya dukungan Google Authenticator akan secara eksplisit didukung di Windows Server 2016. Tapi saya tidak berpikir ada yang menghalangi Google untuk menambahkan dukungan sendiri di Server 2016 atau sebelumnya.

Ryan Bolger
sumber
Bukan hanya itu, tetapi MS mendorong MFA mereka sendiri di Windows Azure.
blaughw
Terima kasih atas detailnya. Sangat membantu! Kami semua pergi sedikit ke samping, jadi OP ditingkatkan untuk kejelasan.
Jonesome Reinstate Monica
Ryan, Anda membuat asumsi yang tidak valid bahwa Google Authenticator adalah "vendor tertentu" Sebenarnya, itu hanya implementasi RFC 6238 en.wikipedia.org/wiki/Google_Authenticator Saya meminta solusi 2FA berbasis RFC untuk AD. Saya TIDAK meminta Google Authenticator pada khususnya (yang sebenarnya tidak mungkin, karena ada aplikasi berbasis RFC 6238 lain yang dapat dipertukarkan dengan google authenticator)
Jonesome Reinstate Monica
Dengan hormat, pertanyaan asli yang belum diedit yang saya jawab secara spesifik bertanya (dengan banyak komentar) apakah AD memiliki dukungan asli untuk Google Authenticator dan jika tidak, apakah itu diharapkan di Server 2016. Saya mendukung jawaban asli saya untuk pertanyaan-pertanyaan itu.
Ryan Bolger
1

Jawabannya, per Oktober 2017:

Gunakan Duo ke MFA memungkinkan sistem yang melakukan LDAP kembali ke AD

Kami telah meneliti atau mencoba segalanya.

  • Azure / Microsoft MFA (rumit dan memakan waktu untuk menyiapkan, rapuh dalam operasi)
  • Server RADIUS

Meskipun kami tidak suka biaya operasional DUO, untuk hingga 50 pengguna, biaya, bagi kami, sepadan dengan kesederhanaan untuk mengatur dan menggunakan.

Kami telah menggunakannya sejauh ini di belakang:

  • Perangkat Cisco ASA untuk akses VPN

  • Sonicwall Remote Access Appliance untuk akses VPN (dengan perangkat melakukan LDAP juga ke AD)

Kami tidak mengetahui adanya pendekatan lain yang dapat diatur dalam 2-4 jam dan MFA mengaktifkan layanan LDAP yang menunda AD.

Kami terus percaya bahwa AD itu sendiri harus mendukung TOTP / HOTP RFC di belakang autentikator google, dan sangat kecewa bahwa MS belum menyelesaikan ini dengan benar di Windows Server 2016.

Jonesome Reinstate Monica
sumber
Untuk referensi di masa mendatang, inilah opsi lain, wikidsystems.com/learn-more/features-benefits/… , tetapi juga bukan TOTP.
sekarang
-2

Sudah ada pluging gratis untuk otentikasi kata sandi One time dengan ADFS. Ini berfungsi baik dengan aplikasi google atau microsoft authenticator. Lihat www.securemfa.com untuk informasi lebih lanjut. Saya menggunakannya tanpa masalah dalam produksi.

Peter Bells
sumber
Masalahnya di sini adalah plugin pihak ketiga gratis, yang menyimpan data dalam SQL server: Baunya benar-benar mati. Ini harus berasal dari MS (di OS), atau vendor keamanan terkemuka. Terima kasih atas usahanya!
Jonesome Reinstate Monica