Active Directory + Google Authenticator - AD FS หรืออย่างไร

10

(แก้ไขเพื่อให้ตรงกับความเข้าใจในคำตอบของผู้เขียน - คำถามใหม่สะอาดและใหม่โพสต์ที่นี่: Active Directory + Google Authenticator - รองรับ Native ใน Windows Server หรือไม่ )

การวิจัยเสร็จสิ้นแล้ว

มีบทความด้านเทคนิคเกี่ยวกับวิธีใช้ Google authenticator พร้อม Active Directory Federated Services (AD FS): https://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwords สำหรับหลายปัจจัยรับรองความถูกต้องในการโฆษณา FS-3-0 /

ดูเหมือนว่าจะเป็นโครงการ dev ที่ต้องใช้รหัสและ SQL DB ของตัวเอง

เราไม่ได้พูดถึง AD FS ที่นี่โดยเฉพาะ เรากำลังมองหาเมื่อคุณไปถึงสำหรับ 2FA การสนับสนุน RFC ของ Google Authenticator pref ในตัวโฆษณา

windows active-directory authentication

— Jonesome Reinstate Monica
แหล่งที่มา

Google Authenticator เป็นลูกค้าที่เป็นกรรมสิทธิ์ สิ่งที่เทียบเท่าจะเป็นโทเค็น RSA สิ่งที่คุณต้องการคือเซิร์ฟเวอร์การตรวจสอบความถูกต้องหรือบริการที่รองรับตัวตรวจสอบสิทธิ์ที่จะทำงานกับ AD FS ฉันไม่คุ้นเคยกับ AD FS แต่สำหรับโฆษณาโดยทั่วไปแล้ว NPS สามารถใช้เพื่อรวมเซิร์ฟเวอร์ 2FA ส่วนใหญ่เพราะสนับสนุน RADIUS หาก AD FS สามารถใช้รัศมีสำหรับการตรวจสอบสิทธิ์คุณสามารถไปที่ ADFS >> เซิร์ฟเวอร์ NPS / AD >> 2FA เช่นเดียวกับที่คุณทำกับ VPN และอื่น ๆ

— ตอนนี้ถึง

@nowen คุณไม่ถูกต้อง ต่อen.wikipedia.org/wiki/Google_Authenticator Google authenticator นั้นใช้ RFC 6238 นอกจากนี้ยังมีแอพตัวรับรองความถูกต้องอื่น ๆ ที่ใช้งาน RFC นี้และพวกเขาสามารถใช้แทน Google Authenticator ได้

— Jonesome Reinstate Monica

ถูกต้อง @samsmith ฉันหมายถึง 'แหล่งข้อมูลปิด' เพื่อชี้แจงว่าไม่เปิดอีกต่อไป

— ทำ

@nowen ไม่คุณยังไม่ได้คะแนน RFC เป็นสาธารณะ บริษัท จำนวนมากรวมถึง Microsoft ได้สร้างแอพ authenticator ที่รองรับ w google authenticator ประเด็นทั้งหมดของคุณปิดอยู่ เรากำลังมองหา MFA ที่เหมาะสมในโฆษณา (เนื่องจากเราต้องการ MFA ในทุกสิ่งที่เราทำ)

— Jonesome Reinstate Monica

ฉันอาจจะแยกผม ;-) ทั้งหมดที่ฉันหมายถึงคือผลิตภัณฑ์ Google Authenticator เป็นทรัพย์สินของ Google Inc. Chrome และ Opera เป็นตัวอย่างอื่น ๆ ของซอฟต์แวร์กรรมสิทธิ์ที่ใช้ RFC แบบเปิดและเป็นกรรมสิทธิ์ มันเคยเป็นโอเพนซอร์ส แต่ Google แปลงเป็นลิขสิทธิ์ที่เป็นกรรมสิทธิ์

— กำหนด

9

เราต้องดูว่าเกิดอะไรขึ้นที่นี่

โฆษณา FS เป็นข้อมูลเกี่ยวกับSAML มันจะเชื่อมต่อกับ Active Directory เพื่อใช้เป็น SAML Identity Provider Google มีความสามารถในการทำหน้าที่เป็นผู้ให้บริการ SAMLแล้ว รวมทั้งสองอย่างเข้าด้วยกันดังนั้น Google จะเชื่อถือโทเค็น SAML ของเซิร์ฟเวอร์ของคุณและคุณลงชื่อเข้าใช้บัญชี Google ผ่านข้อมูลประจำตัว Active Directory ¹

ในขณะที่ Google Authenticator นั้นทำหน้าที่เป็นปัจจัยหนึ่งของผู้ให้บริการข้อมูลประจำตัว ... โดยปกติจะเป็นบริการของ Google บางทีคุณสามารถดูได้ในตอนนี้ว่ามันไม่เข้ากับ AD FS ได้อย่างไร เมื่อใช้ AD FS กับ Google คุณจะไม่ได้ใช้ผู้ให้บริการข้อมูลประจำตัวของ Google อีกต่อไปและเมื่อถึงเวลาที่โฆษณา FS จะส่งมอบมือให้กับ Google เสร็จสิ้นด้านที่เป็นตัวตนก็เสร็จเรียบร้อยแล้ว หากคุณทำสิ่งใดสิ่งนี้จะเป็นการกำหนดค่าให้ Google กำหนดให้ต้องใช้ Authenticator เป็นการยืนยันตัวตนเสริมด้านบน (แต่แยกจาก) AD FS หรือผู้ให้บริการข้อมูลประจำตัว SAML อื่น ๆ (หมายเหตุ: ฉันไม่คิดว่า Google จะสนับสนุนสิ่งนี้ แต่ควรจะทำได้)

ตอนนี้ไม่ได้หมายความว่าสิ่งที่คุณต้องการจะเป็นไปไม่ได้ ... แค่ว่ามันอาจจะไม่เหมาะสมที่สุด แม้ว่ามันจะใช้กับ Active Directory เป็นหลัก แต่ AD FS นั้นก็ถูกออกแบบมาให้ทำงานเป็นบริการ SAML ทั่วไป คุณสามารถเชื่อมต่อกับผู้ให้บริการเอกลักษณ์อื่น ๆ กว่า Active Directory และรองรับตัวเลือกและส่วนขยายที่แตกต่างกันมากมาย หนึ่งในนั้นคือความสามารถในการสร้างผู้ให้บริการการพิสูจน์ตัวตนแบบหลายปัจจัยของคุณเอง นอกจากนี้ Google Authenticator รองรับมาตรฐาน TOTPสำหรับการตรวจสอบสิทธิ์ด้วยหลายปัจจัย

รวบรวมทั้งสองอย่างเข้าด้วยกันและควรเป็นไปได้ (แม้ว่าจะไม่ใช่เรื่องเล็กน้อย) เพื่อใช้ Google Authenticator เป็นผู้ให้บริการ MuliFactor ด้วย AD FS บทความที่คุณเชื่อมโยงไปนี้เป็นข้อพิสูจน์ถึงแนวคิดของความพยายามดังกล่าว อย่างไรก็ตามนี่ไม่ใช่สิ่งที่ AD FS ทำขึ้นนอกกรอบ มันขึ้นอยู่กับแต่ละบริการ Multi-Factor เพื่อสร้างปลั๊กอินนั้น

บางที MS อาจให้การสนับสนุนบุคคลที่หนึ่งสำหรับผู้ให้บริการ mutli-factor ขนาดใหญ่จำนวนหนึ่ง (ถ้ามีสิ่งนั้น) แต่ Google Authenticator นั้นใหม่พอและ AD FS 3.0 นั้นเก่าพอที่จะทำได้ ในเวลาที่ปล่อย นอกจากนี้มันจะเป็นเรื่องยากสำหรับ MS ที่จะรักษาสิ่งเหล่านี้เมื่อพวกเขาไม่มีผลต่อเวลาหรือสิ่งที่ผู้ให้บริการรายอื่น ๆ เหล่านี้อาจผลักดัน

อาจเป็นเมื่อ Windows Server 2016 ออกจากโฆษณา FS ที่อัปเดตแล้วจะทำให้ง่ายขึ้น ดูเหมือนว่าพวกเขาจะทำงานเพื่อสนับสนุนหลายปัจจัยที่ดีกว่าแต่ฉันไม่เห็นบันทึกใด ๆ เกี่ยวกับการรวมตัวตรวจสอบสิทธิ์ของคู่แข่งในกล่อง แต่ดูเหมือนว่าพวกเขาต้องการให้คุณตั้งค่า Azure ให้ทำเช่นนี้และอาจมอบแอป iOS / Android / Windows ให้กับคู่แข่งของพวกเขาให้กับ Authenticator

สิ่งที่ฉันต้องการเห็นในที่สุด MS ส่งมอบเป็นผู้ให้บริการ TOTP ทั่วไปโดยที่ฉันกำหนดค่าบางสิ่งเพื่อบอกว่าฉันกำลังพูดคุยกับ Google Authenticator และดำเนินการในส่วนที่เหลือ บางทีสักวันหนึ่ง. อาจดูรายละเอียดเพิ่มเติมที่ระบบเมื่อเราได้รับมันจริงจะแสดงว่ามีในนั้น

^{¹สำหรับบันทึกฉันได้ทำสิ่งนี้แล้ว โปรดทราบว่าเมื่อคุณทำการกระโดดข้อมูลนี้จะไม่นำไปใช้กับ imapหรือแอปอื่น ๆ ที่ใช้บัญชี อีกนัยหนึ่งก็คือคุณกำลังทำลายส่วนใหญ่ของบัญชี Google เพื่อหลีกเลี่ยงปัญหานี้คุณจะต้องติดตั้งและกำหนดค่าเครื่องมือซิงค์รหัสผ่านของ Googleด้วย ด้วยเครื่องมือนี้ทุกครั้งที่มีคนเปลี่ยนรหัสผ่านใน Active Directory ผู้ควบคุมโดเมนของคุณจะส่งรหัสแฮชของรหัสผ่านไปยัง Google เพื่อใช้กับการตรวจสอบสิทธิ์อื่น ๆ เหล่านี้}

^{นอกจากนี้ทั้งหมดหรือไม่มีสิ่งใดสำหรับผู้ใช้ของคุณ คุณสามารถ จำกัด ตามที่อยู่ IP ของจุดปลาย แต่ไม่ได้อิงตามผู้ใช้ ดังนั้นหากคุณมีผู้ใช้แบบดั้งเดิม (ตัวอย่างเช่น: ผู้ใช้ศิษย์เก่าที่วิทยาลัย) ซึ่งไม่ทราบข้อมูลประจำตัวของ Active Directory การทำให้พวกเขาย้ายทั้งหมดอาจเป็นเรื่องที่ท้าทาย ด้วยเหตุนี้ฉันจึงไม่ได้ใช้ AD FS กับ Google แม้ว่าฉันจะยังหวังที่จะก้าวกระโดดในที่สุด ตอนนี้เราได้กระโดด}

— Joel Coel
แหล่งที่มา

ขอบคุณสำหรับรายละเอียด มีประโยชน์มาก! เราทุกคนไปด้านข้างเล็กน้อยดังนั้น OP จึงปรับปรุงเพื่อความชัดเจน

— Jonesome Reinstate Monica

การอ่านโพสต์ "ใหม่" ... Windows ไม่รองรับสิ่งนี้และ 2016 จะไม่ช่วย ... แต่รองรับสมาร์ทการ์ด ถ้าคุณต้องการ 2 ปัจจัยดูที่นั่น

— Joel Coel

Microsoft มีแอพตัวตรวจสอบสิทธิ์อยู่แล้ว

— Michael Hampton

@samsmith กำลังคิดเกี่ยวกับสิ่งนี้ ... เนื่องจากคำตอบที่ได้รับการโหวตอย่างดีที่นี่ทั้งสองคำถามตีความผิดฉันขอแนะนำให้คุณแก้ไขคำถามนี้เพื่อถามสิ่งที่เราทุกคนคิดว่าคุณต้องการในตอนแรกแล้วโพสต์คำถามคำถามใหม่ถามสิ่งที่คุณจริง ๆ ต้องการเพื่อให้คุณมีโอกาสที่ดีขึ้นในการเชื่อมโยงคำถามของคุณกับผู้ชมที่สามารถตอบคุณได้ ฉันไม่รู้ว่าคุณจะทำอะไรได้ดีไปกว่า "สมาร์ทการ์ด" แต่มันก็คุ้มค่ากับการยิง

— Joel Coel

1

@JoelCoel เรียบร้อยแล้ว ขอบคุณ. serverfault.com/q/764646/13716

— Jonesome Reinstate Monica

7

ฉันคิดว่าคำถามของคุณทำให้สมมติฐานไม่ถูกต้องว่าเป็นหน้าที่ของ Microsoft ในการเพิ่มการสนับสนุนสำหรับโซลูชัน 2FA / MFA ของผู้จำหน่ายเฉพาะราย แต่มีผลิตภัณฑ์ 2FA / MFA มากมายที่รองรับ Windows และ AD อยู่แล้วเนื่องจากผู้ขายเลือกที่จะเพิ่มการสนับสนุนนั้น ถ้า Google ไม่คิดว่ามันสำคัญพอที่จะเพิ่มการสนับสนุนนั่นไม่ใช่ความผิดของ Microsoft จริงๆ การรับรองความถูกต้องและการอนุญาต API ที่เกี่ยวข้องนั้นได้รับการบันทึกไว้อย่างดีและมีอิสระในการใช้งาน

บล็อกโพสต์ที่คุณเชื่อมโยงกับโค้ดตัวอย่างที่ทุกคนสามารถเขียนเพื่อเพิ่มRFC6238 TOTP รองรับสภาพแวดล้อม AD FS ของตนเอง การทำงานกับ Google Authenticator นั้นเป็นเพียงผลข้างเคียงของการรับรองความถูกต้องที่รองรับ RFC ฉันยังจะบันทึกบทสวดของผู้ปฏิเสธความรับผิดชอบที่ด้านล่างเกี่ยวกับรหัสว่า "พิสูจน์แนวคิด", "ไม่มีการจัดการข้อผิดพลาดที่เหมาะสม" และ "ไม่ได้สร้างขึ้นด้วยความปลอดภัยในใจ"

ไม่ว่าในกรณีใด ๆ ฉันไม่เชื่อว่าการสนับสนุนของ Google Authenticator จะได้รับการสนับสนุนอย่างชัดเจนใน Windows Server 2016 แต่ฉันไม่คิดว่าจะมีสิ่งใดที่ทำให้ Google ไม่สามารถเพิ่มการสนับสนุนตัวเองใน Server 2016 หรือเก่ากว่า

— Ryan Bolger
แหล่งที่มา

ไม่เพียงแค่นั้น แต่ MS ผลักดัน MFA ของตนเองใน Windows Azure

— blaughw

ขอบคุณสำหรับรายละเอียด มีประโยชน์มาก! เราทุกคนไปด้านข้างเล็กน้อยดังนั้น OP จึงปรับปรุงเพื่อความชัดเจน

— Jonesome Reinstate Monica

ไรอันคุณสร้างข้อสันนิษฐานที่ไม่ถูกต้องว่า Google Authenticator เป็น "ผู้จำหน่ายเฉพาะ" ที่จริงแล้วมันเป็นเพียงการติดตั้ง RFC 6238 en.wikipedia.org/wiki/Google_Authenticator ฉันกำลังขอโซลูชัน 2FA ที่ใช้ RFC สำหรับโฆษณา ฉันไม่ขอ Google Authenticator เป็นพิเศษ (ซึ่งเป็นไปไม่ได้จริง ๆ เนื่องจากมีแอปพลิเคชั่น RFC 6238 อื่น ๆ ที่สามารถใช้แทน Google authenticator ได้)

— Jonesome Reinstate Monica

ด้วยความเคารพคำถามเดิมที่ไม่ได้แก้ไขที่ฉันตอบโดยเฉพาะเจาะจง (พร้อมเสียงดังมาก) ว่าโฆษณานั้นมีการสนับสนุน Google Authenticator หรือไม่และไม่เป็นเช่นนั้นคาดว่าจะเกิดขึ้นใน Server 2016 ฉันตอบด้วยคำถามเดิมเหล่านั้น

— Ryan Bolger

1

คำตอบ ณ ตุลาคม 2560:

ใช้Duoกับ MFA เปิดใช้งานระบบที่ทำ LDAP กลับไปที่ AD

เราได้ทำการวิจัยหรือทดลองใช้ทุกอย่างแล้ว

Azure / Microsoft MFA (ซับซ้อนและเสียเวลาในการตั้งค่าเปราะบางในการทำงาน)
เซิร์ฟเวอร์ RADIUS

ในขณะที่เราไม่ชอบค่าใช้จ่ายในการดำเนินงานของ DUO สำหรับผู้ใช้มากถึง 50 คนค่าใช้จ่ายสำหรับเรานั้นคุ้มค่ากับความเรียบง่ายในการตั้งค่าและใช้งาน

เราได้ใช้มันจนถึงตอนนี้:

อุปกรณ์ Cisco ASA สำหรับการเข้าถึง VPN
Sonicwall Remote Access Appliance สำหรับการเข้าถึง VPN (ด้วยอุปกรณ์ที่ใช้ LDAP กับ AD ด้วย)

เราไม่ทราบวิธีการอื่นใดที่สามารถตั้งค่าได้ใน 2-4 ชั่วโมงและ MFA เปิดใช้งานบริการ LDAP ที่แฮงเอาท์โฆษณา

เรายังคงเชื่อว่าโฆษณานั้นควรสนับสนุน TOTP / HOTP RFC ของผู้ตรวจสอบสิทธิ์ Google ด้านหลังและผิดหวังอย่างยิ่งที่ MS ไม่ได้แก้ไขปัญหานี้อย่างถูกต้องใน Windows Server 2016

— Jonesome Reinstate Monica
แหล่งที่มา

สำหรับการอ้างอิงในอนาคตนี่คือตัวเลือกอื่นwikidsystems.com/learn-more/features-benefits/ ......แต่ไม่ใช่ TOTP

— กำหนด

-2

มีการเตรียมปลั๊กฟรีสำหรับการตรวจสอบรหัสผ่านครั้งเดียวด้วย ADFS ใช้งานได้ดีกับแอพ google หรือ microsoft authenticator ดู www.securemfa.com สำหรับข้อมูลเพิ่มเติม ฉันใช้มันโดยไม่มีปัญหาในการผลิต

— Peter Bells
แหล่งที่มา

ปัญหาที่นี่คือปลั๊กอินของบุคคลที่สามฟรีที่เก็บข้อมูลในเซิร์ฟเวอร์ SQL: กลิ่นออกมาจริงๆ สิ่งนี้ต้องมาจาก MS (ในระบบปฏิบัติการ) หรือผู้จำหน่ายระบบความปลอดภัยที่มีชื่อเสียง ขอบคุณสำหรับการลอง!

— Jonesome Reinstate Monica