Active Directory + Google Authenticator - AD FS, ou como?

10

(Editado para corresponder ao entendimento dos autores da resposta - pergunta nova, nova e limpa publicada aqui: Active Directory + Google Authenticator - Suporte nativo no Windows Server? )

Pesquisa realizada até o momento

Há um artigo técnico sobre como usar o autenticador do Google com os Serviços Federados do Active Directory (AD FS): https://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwords-for-multi-factor-authentication-in-ad-fs-3-0 /

Estranhamente, parece ser um projeto de desenvolvimento, exigindo algum código e seu próprio banco de dados SQL.

Não estamos falando aqui especificamente do AD FS. Quando você acessa, procuramos por 2FA, com suporte para RFCs do Google Authenticator incorporados ao AD.

windows active-directory authentication Jonesome Restabelecer Monica
fonte
O Google Authenticator é um cliente proprietário. O equivalente seria o token RSA. O que você deseja é um servidor ou serviço de autenticação que ofereça suporte ao autenticador que funcionaria com o AD FS. Não estou familiarizado com o AD FS, mas, para o AD em geral, o NPS pode ser usado para integrar a maioria dos servidores 2FA, pois a maioria oferece suporte ao RADIUS. Se o AD FS puder usar o raio para autenticação, você poderá acessar o servidor ADFS >> NPS / AD >> 2FA. Assim como você faria em qualquer VPN etc.
nowen 22/03
@nowen Você está incorreto. Por en.wikipedia.org/wiki/Google_Authenticator O autenticador do Google é baseado na RFC 6238. Existem outros aplicativos autenticadores que implementam essa RFC também e são intercambiáveis ​​com o Google Authenticator.
Jonesome Restabelece Monica 23/03
Corrija @samsmith. Eu quis dizer 'código fechado' para esclarecer que ele não está mais aberto.
nowen 24/03
@nowen Não, você ainda está fora de questão. A RFC é pública. Muitas empresas, incluindo a Microsoft, criaram aplicativos autenticadores compatíveis com o autenticador google. Todo o seu argumento está errado. Estamos procurando o MFA adequado no AD (pois exigimos o MFA em tudo o que fazemos).
Jonesome Restabelece Monica
Provavelmente estou arrebentando. ;-). Tudo o que quero dizer é que o produto Google Authenticator é propriedade do Google Inc. Chrome e Opera são outros exemplos de software proprietário que implementa RFCs abertas e são proprietários. Costumava ser de código aberto, mas o Google foi convertido em uma licença proprietária.
nowen 23/01

Respostas:

9

Precisamos ver o que está acontecendo aqui.

O AD FS tem tudo a ver com SAML . Ele se conectará ao Active Directory para usá-lo como um provedor de identidade SAML. O Google já tem a capacidade de atuar como um provedor de serviços SAML . Junte os dois, para que o Google confie no token SAML do seu servidor e faça login em uma Conta do Google por meio de credenciais do Active Directory. 1

O Google Authenticator, por outro lado, atua como um fator de um provedor de identidade ... geralmente para o próprio serviço do Google. Talvez você possa ver agora como ele realmente não se encaixa no AD FS. Ao usar o AD FS com o Google, você não está mais usando o Provedor de identidade do Google e, quando o AD FS conclui a transferência de volta ao Google, o lado da identidade já está concluído. Se você fez alguma coisa, seria configurar o Google para exigir o Authenticator como uma confirmação suplementar de identidade, além de (mas separado) do AD FS ou de outros provedores de identidade SAML. (Nota: acho que o Google não suporta isso, mas eles deveriam).

Agora, isso não significa que o que você quer fazer é impossível ... apenas que talvez não seja o melhor ajuste. Embora seja usado principalmente com o Active Directory, o AD FS também foi projetado para funcionar como um serviço SAML mais genérico; você pode conectá-lo a outros provedores de identidade que não o Active Directory, e ele suporta muitas opções e extensões diferentes. Uma delas é a capacidade de criar seus próprios provedores de autenticação multifator. Além disso, o Google Authenticator suporta o padrão TOTP para autenticação multifator.

Coloque os dois juntos e deve ser possível (embora certamente não seja trivial) usar o Google Authenticator como um provedor MuliFactor com o AD FS. O artigo ao qual você vinculou é uma prova de conceito de uma dessas tentativas. No entanto, isso não é algo que o AD FS faz imediatamente; depende de cada serviço multifator para criar esse plug-in.

Talvez a MS possa fornecer suporte inicial para alguns dos grandes provedores de fatores múltiplos (se houver), mas o Google Authenticator é novo o suficiente e o AD FS 3.0 tem idade suficiente para não ser viável. isso no momento do lançamento. Além disso, seria um desafio para a MS mantê-los, quando eles não influenciam quando ou quais atualizações esses outros fornecedores podem promover.

Talvez quando o Windows Server 2016 terminar, o AD FS atualizado torne isso mais fácil. Eles parecem ter feito algum trabalho para melhorar o suporte a múltiplos fatores , mas não vejo nenhuma observação sobre a inclusão do autenticador de um concorrente na caixa. Em vez disso, parece que eles desejam que você configure o Azure para fazer isso e, possivelmente, forneçam um aplicativo iOS / Android / Windows para seu próprio concorrente no Authenticator.

Em última análise, gostaria de ver a Microsoft entregar um provedor TOTP genérico , onde configuro algumas coisas para dizer que estou conversando com o Google Authenticator e faz o resto. Talvez algum dia. Talvez uma visão mais detalhada do sistema, uma vez que possamos obtê-lo, mostre que está lá.

1 Para constar, eu fiz isso. Esteja ciente de que, quando você fizer o salto, essas informações não se aplicarão ao imap ou a outros aplicativos que usam a conta. Em outras palavras, você está quebrando uma grande parte da conta do Google. Para evitar isso, você também precisará instalar e configurar a Ferramenta de sincronização de senhas do Google . Com a ferramenta, sempre que alguém altera sua senha no Active Directory, seu controlador de domínio envia um hash da senha ao Google para uso com essas outras autenticações.

Além disso, isso é tudo ou nada para seus usuários. Você pode restringir pelo endereço IP do terminal, mas não com base nos usuários. Portanto, se você possui usuários legados (por exemplo: usuários de ex-alunos de uma faculdade) que não conhecem nenhuma credencial do Active Directory, migrar todos eles pode ser um desafio. Por esse motivo, atualmente não estou usando o AD FS com o Google, mas ainda espero dar o salto. Agora fizemos esse salto.

Joel Coel
fonte
Obrigado pelos detalhes. Muito útil! Todos nós fomos um pouco para o lado, então o OP foi aprimorado para maior clareza.
Jonesome Reinstate Monica
Lendo a publicação "nova" ... O Windows simplesmente não suporta isso, e 2016 não ajuda ... mas suporta cartões inteligentes. Se você quer 2 fatores, olhe lá.
Joel Coel
A Microsoft já possui um aplicativo autenticador.
Michael Hampton
@samsmith Pensando nisso ... como as duas respostas bem votadas aqui interpretaram mal a pergunta, sugiro que você edite a pergunta para perguntar o que todos pensávamos que você queria primeiro e depois publique uma nova pergunta perguntando o que você realmente deseja, para ter uma chance melhor de conectar sua pergunta a um público que possa responder. Não sei se você se sairá melhor do que "cartão inteligente", mas vale a pena tentar.
Joel Coel
1
@JoelCoel Done. Valeu. serverfault.com/q/764646/13716
Jonesome restabelece Monica
7

Acho que sua pergunta pressupõe inválido que é trabalho da Microsoft adicionar suporte à solução 2FA / MFA de um fornecedor específico. Mas existem muitos produtos 2FA / MFA que já oferecem suporte ao Windows e AD porque os fornecedores optaram por adicionar esse suporte. Se o Google não considera importante o suficiente para adicionar suporte, isso não é culpa da Microsoft. As APIs relacionadas à autenticação e autorização são bem documentadas e de uso gratuito.

A postagem do blog que você vinculou ao código de exemplo que qualquer um poderia escrever para adicionar o suporte RFC6238 TOTP ao seu próprio ambiente do AD FS. O fato de funcionar com o Google Authenticator é apenas um efeito colateral do autenticador que suporta essa RFC. Eu também observaria a litania de isenções de responsabilidade na parte inferior sobre o código ser "prova de conceito", "sem tratamento adequado de erros" e "não criado com a segurança em mente".

De qualquer forma, não. Não acredito que o suporte ao Google Authenticator seja explicitamente suportado no Windows Server 2016. Mas acho que nada impede o Google de adicionar suporte no Server 2016 ou anterior.

Ryan Bolger
fonte
Não apenas isso, mas a MS envia seu próprio MFA no Windows Azure.
blaughw
Obrigado pelos detalhes. Muito útil! Todos nós fomos um pouco para o lado, então o OP foi aprimorado para maior clareza.
Jonesome Reinstate Monica
Ryan, você assume que é inválido que o Google Authenticator seja um "fornecedor específico". Na verdade, é apenas uma implementação da RFC 6238 en.wikipedia.org/wiki/Google_Authenticator Estou solicitando uma solução 2FA baseada em RFC para AD. Não estou pedindo para o Google Authenticator em particular (que na verdade não é possível, uma vez que existem outros RFC 6238 aplicativos baseados que são intercambiáveis com o Google autenticador)
Jonesome Reintegrar Monica
Respeitosamente, a pergunta original não editada que eu respondi perguntou especificamente (com muito sarcástico) se o AD tinha suporte nativo para o Google Authenticator e, se não, se era esperado no Server 2016. Eu mantenho minha resposta original a essas perguntas.
Ryan Bolger
1

A resposta, em outubro de 2017:

Use o Duo para MFA habilitar sistemas que fazem LDAP de volta ao AD

Nós pesquisamos ou tentamos de tudo.

  • Azure / Microsoft MFA (complexo e demorado de configurar, frágil em operação)
  • Servidores RADIUS

Embora não gostemos do custo operacional do DUO, para até 50 usuários, o custo, para nós, vale a simplicidade de instalação e uso.

Nós o usamos até agora:

  • Dispositivos Cisco ASA para acesso VPN

  • Sonicwall Remote Access Appliance para acesso VPN (com o dispositivo executando LDAP também no AD)

Não temos conhecimento de nenhuma outra abordagem que possa ser configurada em duas a quatro horas e o MFA habilita os serviços LDAP que ficam suspensos no AD.

Continuamos acreditando que o próprio AD deve oferecer suporte aos autenticadores do google por trás do TOTP / HOTP e estamos profundamente decepcionados por a MS não ter resolvido isso corretamente no Windows Server 2016.

Jonesome Restabelecer Monica
fonte
Para referência futura, aqui está outra opção, wikidsystems.com/learn-more/features-benefits/… , mas também não o TOTP.
nowen 23/01
-2

Já existe um plug-in gratuito para autenticação de senha de uso único com o ADFS. Funciona bem com aplicativos de autenticador do Google ou da Microsoft. Consulte www.securemfa.com para mais informações. Estou usando sem problemas na produção.

Peter Bells
fonte
A questão aqui é que um plug-in gratuito de terceiros, que armazena dados no servidor SQL: cheira muito mal. Isso precisa vir da MS (no sistema operacional) ou de um fornecedor de segurança respeitável. Obrigado pela tentativa!
Jonesome Restabelece Monica