Active Directory + Google Authenticator - ADFS o come?

10

(Modificato per adattarsi alla comprensione degli autori delle risposte - Nuova, nuova, pulita domanda pubblicata qui: Active Directory + Google Authenticator - Supporto nativo in Windows Server? )

Ricerca fatta finora

Esiste un articolo tecnico su come utilizzare l'autenticatore di Google con Active Directory Federated Services (ADFS): https://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwords-per-multi-fattore di autenticazione-in-ad-fs-3-0 /

Stranamente, sembra essere un progetto di sviluppo, che richiede un po 'di codice e un proprio DB SQL.

Non stiamo parlando qui di AD FS in particolare. Stiamo cercando, quando ci arrivi, 2FA, pref supportando Google Authenticator RFCs, integrato in AD.

windows  active-directory  authentication 
Jonesome ripristina Monica
fonte
Google Authenticator è un client proprietario. L'equivalente sarebbe il token RSA. Quello che vuoi è un server o un servizio di autenticazione che supporti l'autenticatore che funzionerebbe con ADFS. Non ho familiarità con AD FS, ma per AD in generale, NPS può essere utilizzato per integrare la maggior parte dei server 2FA perché la maggior parte supporta RADIUS. Se ADFS può utilizzare radius per l'autenticazione, è possibile utilizzare il server ADFS >> NPS / AD >> 2FA. Proprio come faresti per qualsiasi VPN ecc.
ora il
@nowen Sei errato. Per en.wikipedia.org/wiki/Google_Authenticator l' autenticatore di Google si basa su RFC 6238. Esistono altre app di autenticazione che implementano anche questo RFC e sono intercambiabili con Google Authenticator.
Jonesome ripristina Monica il
@Samsmith corretto. Intendevo "fonte chiusa" per chiarire che non è più aperto.
oggi
@nowen No, sei ancora fuori punto. La RFC è pubblica. Molte aziende, tra cui Microsoft, hanno creato app di autenticazione compatibili con Google Authenticator. L'intero punto è spento. Stiamo cercando un AMF adeguato in AD (poiché abbiamo bisogno dell'AMF in tutto il resto).
Jonesome ripristina Monica il
Probabilmente mi sto spaccando i capelli. ;-). Voglio solo dire che il prodotto Google Authenticator è di proprietà di Google Inc. Chrome e Opera sono altri esempi di software proprietario che implementano RFC aperti e sono proprietari. In passato era open-source, ma Google si è convertito in una licenza proprietaria.
ora dal

Risposte:

9

Dobbiamo guardare cosa sta succedendo qui.

AD FS riguarda SAML . Si connetterà ad Active Directory per usarlo come provider di identità SAML. Google ha già la possibilità di agire come fornitore di servizi SAML . Metti insieme i due elementi, in modo che Google si fidi del token SAML del tuo server e accedi a un account Google tramite le credenziali di Active Directory. 1

Google Authenticator, d'altra parte, funge da fattore di un provider di identità ... di solito per il servizio di Google. Forse ora puoi vedere come non si adatta davvero con AD FS. Quando si utilizza ADFS con Google, non si utilizza più realmente il provider di identità di Google e quando AD FS completa la restituzione a Google, il lato identità è già terminato. Se hai fatto qualcosa, sarebbe configurare Google per richiedere Authenticator come conferma d'identità supplementare oltre (ma separato da) AD FS o altri provider di identità SAML. (Nota: non credo che Google supporti questo, ma dovrebbero).

Ora, ciò non significa che ciò che vuoi fare sia impossibile ... solo che forse non è la soluzione migliore. Sebbene sia utilizzato principalmente con Active Directory, ADFS è anche progettato per funzionare come un servizio SAML più generico; puoi collegarlo ad altri provider di identità diversi da Active Directory e supporta molte opzioni ed estensioni diverse. Uno di questi è la possibilità di creare i propri provider di autenticazione a più fattori. Inoltre, Google Authenticator supporta lo standard TOTP per l'autenticazione a più fattori.

Metti insieme i due e dovrebbe essere possibile (anche se certamente non banale) utilizzare Google Authenticator come provider MuliFactor con AD FS. L'articolo a cui ti sei collegato è una prova del concetto di uno di questi tentativi. Tuttavia, questo non è qualcosa che ADFS fa fuori dalla scatola; spetta a ciascun servizio Multi-Factor creare quel plug-in.

Forse MS potrebbe fornire supporto di prima parte ad alcuni dei grandi fornitori di fattori multipli (se esiste una cosa del genere), ma Google Authenticator è abbastanza nuovo e ADFS 3.0 è abbastanza vecchio che non sarebbe stato possibile farlo questo al momento del rilascio. Inoltre, sarebbe difficile per gli Stati membri mantenerli, quando non hanno alcuna influenza su quando o su quali aggiornamenti potrebbero spingere questi altri fornitori.

Forse quando Windows Server 2016 verrà rilasciato, ADFS aggiornato renderà tutto più semplice. Sembrano aver fatto un po 'di lavoro per un migliore supporto multi-fattore , ma non vedo alcuna nota sull'inclusione dell'autenticatore di un concorrente nella confezione. Al contrario, sembra che vorranno configurare Azure per farlo, e possibilmente fornire un'app iOS / Android / Windows per il proprio concorrente a Authenticator.

Quello che alla fine mi piacerebbe vedere MS consegnare è un generico provider TOTP, dove configuro alcune cose per dire che sto parlando con Google Authenticator, e fa il resto. Forse un giorno. Forse uno sguardo più dettagliato al sistema, una volta che possiamo effettivamente ottenerlo, mostrerà che è lì.

1 Per la cronaca, l'ho fatto. Tieni presente che quando esegui il salto, queste informazioni non si applicano all'imap o ad altre app che utilizzano l'account. In altre parole, stai rompendo gran parte dell'account Google. Per evitare ciò, dovrai anche installare e configurare lo Strumento di sincronizzazione password di Google . Con lo strumento, ogni volta che qualcuno modifica la propria password in Active Directory, il controller di dominio invierà a Google un hash della password da utilizzare con queste altre autenticazioni.

Inoltre, questo è tutto o niente per i tuoi utenti. È possibile limitare in base all'indirizzo IP dell'endpoint, ma non in base agli utenti. Quindi, se hai utenti legacy (ad esempio: utenti ex studenti in un college) che non conoscono le credenziali di Active Directory, farli spostare tutti potrebbe essere una sfida. Per questo motivo, attualmente non sto usando AD FS con Google, anche se spero ancora di fare il salto di qualità. Ora abbiamo fatto quel salto.

Joel Coel
fonte
Grazie per il dettaglio Molto utile! Siamo andati tutti un po 'di lato, quindi l'OP è stato migliorato per maggiore chiarezza.
Jonesome ripristina Monica il
Leggere il "nuovo" post ... Windows non supporta questo e il 2016 non aiuta ... ma supporta le smart card. Se vuoi 2 fattore, guarda lì.
Joel Coel,
Microsoft ha già un'app di autenticazione.
Michael Hampton,
@samsmith Pensando a questo ... dato che le due risposte ben votate qui hanno entrambe interpretato erroneamente la domanda, ti suggerisco di modificare questa domanda per porre inizialmente quello che tutti pensavamo volessi, quindi pubblicare una nuova domanda che ti chiede cosa vuoi darti una migliore possibilità di connettere la tua domanda a un pubblico che può risponderti. Non so se farai meglio di "smartcard", ma vale la pena provare.
Joel Coel,
1
@JoelCoel Done. Grazie. serverfault.com/q/764646/13716
Jonesome ripristina Monica il
7

Ritengo che la tua domanda non presupponga che sia compito di Microsoft aggiungere il supporto per la soluzione 2FA / MFA di un determinato fornitore. Ma ci sono molti prodotti 2FA / MFA che supportano già Windows e AD perché i fornitori hanno scelto di aggiungere quel supporto. Se Google non ritiene che sia abbastanza importante aggiungere supporto, non è proprio colpa di Microsoft. Le API relative all'autenticazione e all'autorizzazione sono ben documentate e gratuite da usare.

Il post sul blog collegato al codice di esempio che chiunque potrebbe scrivere per aggiungere il supporto TOTP RFC6238 al proprio ambiente AD FS. Il fatto che funzioni con Google Authenticator è solo un effetto collaterale dell'autenticatore che supporta tale RFC. Vorrei anche notare la litania di dichiarazioni di non responsabilità in fondo sul fatto che il codice sia "prova del concetto", "nessuna corretta gestione degli errori" e "non creato pensando alla sicurezza".

In ogni caso, no. Non credo che il supporto di Google Authenticator sarà esplicitamente supportato in Windows Server 2016. Ma non credo che nulla impedisca a Google di aggiungere il proprio supporto su Server 2016 o precedenti.

Ryan Bolger
fonte
Non solo, ma MS inserisce il proprio MFA in Windows Azure.
Blaughw
Grazie per il dettaglio Molto utile! Siamo andati tutti un po 'di lato, quindi l'OP è stato migliorato per maggiore chiarezza.
Jonesome ripristina Monica il
Ryan, fai l'ipotesi non valida che Google Authenticator sia un "fornitore particolare" In realtà, è solo un'implementazione di RFC 6238 en.wikipedia.org/wiki/Google_Authenticator Sto chiedendo una soluzione 2FA basata su RFC per AD. NON sto chiedendo Google Authenticator in particolare (il che in realtà non è possibile, dal momento che ci sono altre app basate su RFC 6238 che sono intercambiabili con l'autenticatore di Google)
Jonesome Reinstate Monica
Rispettosamente, la domanda inedita originale a cui ho risposto ha chiesto specificamente (con molto snark) se AD avesse il supporto nativo per Google Authenticator e, in caso contrario, se era previsto nel Server 2016. Rispetto la mia risposta originale a tali domande.
Ryan Bolger,
1

La risposta, a partire da ottobre 2017:

Usa Duo per abilitare MFA ai sistemi che riportano LDAP su AD

Abbiamo studiato o provato tutto.

  • Azure / Microsoft MFA (complesso e dispendioso in termini di installazione, fragile durante il funzionamento)
  • Server RADIUS

Anche se non ci piacciono i costi operativi di DUO, per un massimo di 50 utenti, i costi per noi valgono la semplicità di installazione e utilizzo.

L'abbiamo usato molto indietro:

  • Dispositivi Cisco ASA per l'accesso VPN

  • Sonicwall Remote Access Appliance per l'accesso VPN (con il dispositivo che esegue LDAP anche su AD)

Non siamo a conoscenza di nessun altro approccio che può essere impostato in 2-4 ore e MFA abilita i servizi LDAP che bloccano AD.

Continuiamo a ritenere che AD stesso dovrebbe supportare gli RFC TOTP / HOTP dietro l'autenticatore di Google e siamo profondamente delusi dal fatto che MS non abbia risolto correttamente questo in Windows Server 2016.

Jonesome ripristina Monica
fonte
Per riferimento futuro, ecco un'altra opzione, wikidsystems.com/learn-more/features-benefits/… , ma anche non TOTP.
ora dal
-2

Esiste già un plug-in gratuito per l'autenticazione della password One Time con ADFS. Funziona bene con le app di Google o Microsoft Authenticator. Vedi www.securemfa.com per maggiori informazioni. Lo sto usando senza problemi in produzione.

Peter Bells
fonte
Il problema qui è che un plug-in di terze parti gratuito, che memorizza i dati nel server SQL: annusa davvero. Questo deve provenire da MS (nel sistema operativo) o da un fornitore di sicurezza affidabile. Grazie per la prova!
Jonesome ripristina Monica il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.