Active Directory + Google Authenticator - AD FS, ou como?

(Editado para corresponder ao entendimento dos autores da resposta - pergunta nova, nova e limpa publicada aqui: Active Directory + Google Authenticator - Suporte nativo no Windows Server? )

Pesquisa realizada até o momento

Há um artigo técnico sobre como usar o autenticador do Google com os Serviços Federados do Active Directory (AD FS): https://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwords-for-multi-factor-authentication-in-ad-fs-3-0 /

Estranhamente, parece ser um projeto de desenvolvimento, exigindo algum código e seu próprio banco de dados SQL.

Não estamos falando aqui especificamente do AD FS. Quando você acessa, procuramos por 2FA, com suporte para RFCs do Google Authenticator incorporados ao AD.

Precisamos ver o que está acontecendo aqui.

O AD FS tem tudo a ver com SAML . Ele se conectará ao Active Directory para usá-lo como um provedor de identidade SAML. O Google já tem a capacidade de atuar como um provedor de serviços SAML . Junte os dois, para que o Google confie no token SAML do seu servidor e faça login em uma Conta do Google por meio de credenciais do Active Directory. ¹

O Google Authenticator, por outro lado, atua como um fator de um provedor de identidade ... geralmente para o próprio serviço do Google. Talvez você possa ver agora como ele realmente não se encaixa no AD FS. Ao usar o AD FS com o Google, você não está mais usando o Provedor de identidade do Google e, quando o AD FS conclui a transferência de volta ao Google, o lado da identidade já está concluído. Se você fez alguma coisa, seria configurar o Google para exigir o Authenticator como uma confirmação suplementar de identidade, além de (mas separado) do AD FS ou de outros provedores de identidade SAML. (Nota: acho que o Google não suporta isso, mas eles deveriam).

Agora, isso não significa que o que você quer fazer é impossível ... apenas que talvez não seja o melhor ajuste. Embora seja usado principalmente com o Active Directory, o AD FS também foi projetado para funcionar como um serviço SAML mais genérico; você pode conectá-lo a outros provedores de identidade que não o Active Directory, e ele suporta muitas opções e extensões diferentes. Uma delas é a capacidade de criar seus próprios provedores de autenticação multifator. Além disso, o Google Authenticator suporta o padrão TOTP para autenticação multifator.

Coloque os dois juntos e deve ser possível (embora certamente não seja trivial) usar o Google Authenticator como um provedor MuliFactor com o AD FS. O artigo ao qual você vinculou é uma prova de conceito de uma dessas tentativas. No entanto, isso não é algo que o AD FS faz imediatamente; depende de cada serviço multifator para criar esse plug-in.

Talvez a MS possa fornecer suporte inicial para alguns dos grandes provedores de fatores múltiplos (se houver), mas o Google Authenticator é novo o suficiente e o AD FS 3.0 tem idade suficiente para não ser viável. isso no momento do lançamento. Além disso, seria um desafio para a MS mantê-los, quando eles não influenciam quando ou quais atualizações esses outros fornecedores podem promover.

Talvez quando o Windows Server 2016 terminar, o AD FS atualizado torne isso mais fácil. Eles parecem ter feito algum trabalho para melhorar o suporte a múltiplos fatores , mas não vejo nenhuma observação sobre a inclusão do autenticador de um concorrente na caixa. Em vez disso, parece que eles desejam que você configure o Azure para fazer isso e, possivelmente, forneçam um aplicativo iOS / Android / Windows para seu próprio concorrente no Authenticator.

Em última análise, gostaria de ver a Microsoft entregar um provedor TOTP genérico , onde configuro algumas coisas para dizer que estou conversando com o Google Authenticator e faz o resto. Talvez algum dia. Talvez uma visão mais detalhada do sistema, uma vez que possamos obtê-lo, mostre que está lá.

^{1 Para constar, eu fiz isso. Esteja ciente de que, quando você fizer o salto, essas informações não se aplicarão ao imap ou a outros aplicativos que usam a conta. Em outras palavras, você está quebrando uma grande parte da conta do Google. Para evitar isso, você também precisará instalar e configurar a Ferramenta de sincronização de senhas do Google . Com a ferramenta, sempre que alguém altera sua senha no Active Directory, seu controlador de domínio envia um hash da senha ao Google para uso com essas outras autenticações.}

^{Além disso, isso é tudo ou nada para seus usuários. Você pode restringir pelo endereço IP do terminal, mas não com base nos usuários. Portanto, se você possui usuários legados (por exemplo: usuários de ex-alunos de uma faculdade) que não conhecem nenhuma credencial do Active Directory, migrar todos eles pode ser um desafio. Por esse motivo, atualmente não estou usando o AD FS com o Google, mas ainda espero dar o salto. Agora fizemos esse salto.}

Acho que sua pergunta pressupõe inválido que é trabalho da Microsoft adicionar suporte à solução 2FA / MFA de um fornecedor específico. Mas existem muitos produtos 2FA / MFA que já oferecem suporte ao Windows e AD porque os fornecedores optaram por adicionar esse suporte. Se o Google não considera importante o suficiente para adicionar suporte, isso não é culpa da Microsoft. As APIs relacionadas à autenticação e autorização são bem documentadas e de uso gratuito.

A postagem do blog que você vinculou ao código de exemplo que qualquer um poderia escrever para adicionar o suporte RFC6238 TOTP ao seu próprio ambiente do AD FS. O fato de funcionar com o Google Authenticator é apenas um efeito colateral do autenticador que suporta essa RFC. Eu também observaria a litania de isenções de responsabilidade na parte inferior sobre o código ser "prova de conceito", "sem tratamento adequado de erros" e "não criado com a segurança em mente".

De qualquer forma, não. Não acredito que o suporte ao Google Authenticator seja explicitamente suportado no Windows Server 2016. Mas acho que nada impede o Google de adicionar suporte no Server 2016 ou anterior.

A resposta, em outubro de 2017:

Use o Duo para MFA habilitar sistemas que fazem LDAP de volta ao AD

Nós pesquisamos ou tentamos de tudo.

• Azure / Microsoft MFA (complexo e demorado de configurar, frágil em operação)
• Servidores RADIUS

Embora não gostemos do custo operacional do DUO, para até 50 usuários, o custo, para nós, vale a simplicidade de instalação e uso.

Nós o usamos até agora:

• Dispositivos Cisco ASA para acesso VPN

• Sonicwall Remote Access Appliance para acesso VPN (com o dispositivo executando LDAP também no AD)

Não temos conhecimento de nenhuma outra abordagem que possa ser configurada em duas a quatro horas e o MFA habilita os serviços LDAP que ficam suspensos no AD.

Continuamos acreditando que o próprio AD deve oferecer suporte aos autenticadores do google por trás do TOTP / HOTP e estamos profundamente decepcionados por a MS não ter resolvido isso corretamente no Windows Server 2016.

Já existe um plug-in gratuito para autenticação de senha de uso único com o ADFS. Funciona bem com aplicativos de autenticador do Google ou da Microsoft. Consulte www.securemfa.com para mais informações. Estou usando sem problemas na produção.