Active Directory + Google Authenticator - AD FS oder wie?

10

(Bearbeitet, um dem Verständnis der Antwortschreiber zu entsprechen - Neue, frische, saubere Frage, die hier veröffentlicht wurde: Active Directory + Google Authenticator - Native Unterstützung in Windows Server? )

Bisherige Forschung

Es gibt einen Technet-Artikel zur Verwendung von Google Authenticator mit Active Directory-Verbunddiensten (AD FS): https://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwörter-für-Multi-Faktor-Authentifizierung-in-ad-fs-3-0 /

Seltsamerweise scheint es sich um ein Entwicklungsprojekt zu handeln, das Code und eine eigene SQL-Datenbank erfordert.

Wir sprechen hier nicht speziell von AD FS. Wenn Sie dazu kommen, suchen wir nach 2FA, das Google Authenticator-RFCs unterstützt, die in AD integriert sind.

windows active-directory authentication Jonesome stellt Monica wieder her
quelle
Google Authenticator ist ein proprietärer Client. Das Äquivalent wäre das RSA-Token. Sie möchten einen Authentifizierungsserver oder -dienst, der den Authentifikator unterstützt, der mit AD FS funktioniert. Ich bin mit AD FS nicht vertraut, aber für AD im Allgemeinen kann NPS verwendet werden, um die meisten 2FA-Server zu integrieren, da die meisten RADIUS unterstützen. Wenn AD FS den Radius für die Authentifizierung verwenden kann, können Sie den ADFS >> NPS / AD >> 2FA-Server verwenden. Genau wie bei jedem VPN usw.
jetzt am
@nowen Du bist falsch. Per en.wikipedia.org/wiki/Google_Authenticator Der Google-Authentifikator basiert auf RFC 6238. Es gibt andere Authentifikator-Apps, die diesen RFC ebenfalls implementieren, und sie sind mit Google Authenticator austauschbar.
Jonesome Reinstate Monica
Korrigieren Sie @samsmith. Ich meinte "geschlossene Quelle", um zu verdeutlichen, dass es nicht mehr offen ist.
Nowen
@nowen Nein, du bist immer noch falsch. Der RFC ist öffentlich. Viele Unternehmen, einschließlich Microsoft, haben Authentifizierungs-Apps entwickelt, die mit Google Authenticator kompatibel sind. Ihr ganzer Punkt ist aus. Wir suchen nach einer richtigen MFA in AD (da wir MFA für alles andere benötigen, was wir tun).
Jonesome Reinstate Monica
Ich bin wahrscheinlich haarspaltend. ;-). Ich meine nur, dass das Google Authenticator-Produkt Eigentum von Google Inc. ist. Chrome und Opera sind weitere Beispiele für proprietäre Software, die offene RFCs implementieren und proprietär sind. Früher war es Open Source, aber Google hat auf eine proprietäre Lizenz umgestellt.
Nowen

Antworten:

9

Wir müssen uns ansehen, was hier los ist.

AD FS dreht sich alles um SAML . Es wird eine Verbindung zu Active Directory hergestellt, um es als SAML-Identitätsanbieter zu verwenden. Google kann bereits als SAML-Dienstanbieter fungieren . Fügen Sie die beiden zusammen, damit Google dem SAML-Token Ihres Servers vertraut und Sie sich über Active Directory-Anmeldeinformationen bei einem Google-Konto anmelden. 1

Google Authenticator hingegen fungiert als ein Faktor eines Identitätsanbieters ... normalerweise für den eigenen Dienst von Google. Vielleicht können Sie jetzt sehen, wie es nicht wirklich zu AD FS passt. Wenn Sie AD FS mit Google verwenden, verwenden Sie den Identitätsanbieter von Google nicht mehr wirklich. Wenn AD FS die Rückgabe an Google abgeschlossen hat, ist die Identitätsseite bereits abgeschlossen. Wenn Sie etwas unternommen haben, wird Google so konfiguriert, dass Authenticator als zusätzliche Identitätsbestätigung zusätzlich zu AD FS oder anderen SAML-Identitätsanbietern (jedoch getrennt von AD FS) erforderlich ist . (Hinweis: Ich denke nicht, dass Google dies unterstützt, aber sie sollten).

Das bedeutet nicht, dass das, was Sie tun möchten, unmöglich ist ... nur, dass es vielleicht nicht die beste Lösung ist. AD FS wird hauptsächlich mit Active Directory verwendet, ist jedoch auch als allgemeinerer SAML-Dienst konzipiert. Sie können es mit anderen Identitätsanbietern als Active Directory verbinden und es unterstützt viele verschiedene Optionen und Erweiterungen. Eine davon ist die Möglichkeit, eigene Multi-Faktor-Authentifizierungsanbieter zu erstellen. Darüber hinaus unterstützt Google Authenticator den TOTP-Standard für die Multi-Faktor-Authentifizierung.

Fügen Sie die beiden zusammen, und es sollte möglich (wenn auch nicht trivial) sein, Google Authenticator als MuliFactor-Anbieter mit AD FS zu verwenden. Der Artikel, auf den Sie verlinkt haben, ist ein Proof of Concept eines solchen Versuchs. Dies ist jedoch nicht etwas, was AD FS sofort tut. Es liegt an jedem Multi-Factor-Service, dieses Plug-In zu erstellen.

Vielleicht könnte MS einige der großen Multi-Faktor-Anbieter von Erstanbietern unterstützen (falls es so etwas gibt), aber Google Authenticator ist neu genug und AD FS 3.0 ist alt genug, dass dies nicht möglich gewesen wäre dies zum Zeitpunkt der Veröffentlichung. Darüber hinaus wäre es für MS eine Herausforderung, diese beizubehalten, wenn sie keinen Einfluss darauf haben, wann oder welche Updates diese anderen Anbieter möglicherweise veröffentlichen.

Wenn Windows Server 2016 nicht verfügbar ist, erleichtert der aktualisierte AD FS dies möglicherweise. Sie scheinen einige Arbeit für eine bessere Unterstützung mit mehreren Faktoren geleistet zu haben , aber ich sehe keine Hinweise dazu, wie der Authentifikator eines Konkurrenten in die Box aufgenommen werden kann. Stattdessen möchten sie anscheinend, dass Sie Azure dafür einrichten und Authenticator möglicherweise eine iOS- / Android- / Windows-App für ihren eigenen Konkurrenten bereitstellen.

Was ich letztendlich von MS erwarten würde, ist ein generischer TOTP-Anbieter, bei dem ich einige Dinge konfiguriere, um zu sagen, dass ich mit Google Authenticator spreche, und den Rest erledigt. Vielleicht eines Tages. Vielleicht zeigt ein detaillierterer Blick auf das System, sobald wir es tatsächlich bekommen können, dass es dort drin ist.

1 Für die Aufzeichnung habe ich dies getan. Beachten Sie, dass diese Informationen beim Sprung nicht für IMAP oder andere Apps gelten, die das Konto verwenden. Mit anderen Worten, Sie brechen einen großen Teil des Google-Kontos. Um dies zu vermeiden, müssen Sie auch das Google Password Sync Tool installieren und konfigurieren . Mit dem Tool sendet Ihr Domänencontroller jedes Mal, wenn jemand sein Kennwort in Active Directory ändert, einen Hash des Kennworts zur Verwendung mit diesen anderen Authentifizierungen an Google.

Darüber hinaus ist dies alles oder nichts für Ihre Benutzer. Sie können die IP-Adresse des Endpunkts einschränken, jedoch nicht basierend auf den Benutzern. Wenn Sie also ältere Benutzer haben (z. B. Alumni-Benutzer an einem College), die keine Active Directory-Anmeldeinformationen kennen, kann es eine Herausforderung sein, sie alle zu verschieben. Aus diesem Grund verwende ich AD FS derzeit nicht mit Google, obwohl ich immer noch hoffe, den Sprung zu schaffen. Wir haben jetzt diesen Sprung gemacht.

Joel Coel
quelle
Vielen Dank für das Detail. Sehr hilfreich! Wir sind alle ein wenig seitwärts gegangen, daher wurde die OP aus Gründen der Klarheit verbessert.
Jonesome Reinstate Monica
Lesen Sie den "neuen" Beitrag ... Windows unterstützt dies einfach nicht und 2016 wird nicht helfen ... aber es unterstützt Smartcards. Wenn Sie 2 Faktor wollen, schauen Sie dort.
Joel Coel
Microsoft hat bereits eine Authentifizierungs-App herausgebracht.
Michael Hampton
@samsmith Wenn ich darüber nachdenke ... da die beiden gut abgestimmten Antworten hier die Frage falsch interpretiert haben, schlage ich vor, dass Sie diese Frage bearbeiten, um zu fragen, was wir alle zuerst wollten, und dann eine neue Frage stellen, in der Sie fragen, was Sie wirklich sind möchten, um Ihnen eine bessere Chance zu geben, Ihre Frage mit einem Publikum zu verbinden, das Ihnen antworten kann. Ich weiß nicht, ob Sie es besser machen als "Smartcard", aber es ist einen Versuch wert.
Joel Coel
1
@ JoelCoel Fertig. Danke. serverfault.com/q/764646/13716
Jonesome stellt Monica am
7

Ich denke, Ihre Frage geht von der ungültigen Annahme aus, dass es Aufgabe von Microsoft ist, Unterstützung für die 2FA / MFA-Lösung eines bestimmten Anbieters hinzuzufügen. Es gibt jedoch viele 2FA / MFA-Produkte, die bereits Windows und AD unterstützen, da die Anbieter diese Unterstützung hinzugefügt haben. Wenn Google es nicht für wichtig genug hält, Unterstützung hinzuzufügen, ist dies nicht wirklich die Schuld von Microsoft. Die APIs für Authentifizierung und Autorisierung sind gut dokumentiert und können kostenlos verwendet werden.

Der Blog-Beitrag, den Sie mit Beispielcode verknüpft haben, den jeder schreiben kann, um RFC6238- TOTP-Unterstützung zu seiner eigenen AD FS-Umgebung hinzuzufügen . Dass es zufällig mit Google Authenticator funktioniert, ist nur ein Nebeneffekt des Authentifikators, der diesen RFC unterstützt. Ich möchte auch die Litanei der Haftungsausschlüsse unten erwähnen, dass der Code "Proof of Concept", "keine ordnungsgemäße Fehlerbehandlung" und "nicht unter Berücksichtigung der Sicherheit erstellt" ist.

Auf jeden Fall nein. Ich glaube nicht, dass die Unterstützung von Google Authenticator in Windows Server 2016 explizit unterstützt wird. Ich glaube jedoch nicht, dass Google daran gehindert wird, selbst Unterstützung für Server 2016 oder früher hinzuzufügen.

Ryan Bolger
quelle
Darüber hinaus pusht MS in Windows Azure einen eigenen MFA.
Blaughw
Vielen Dank für das Detail. Sehr hilfreich! Wir sind alle ein wenig seitwärts gegangen, daher wurde die OP aus Gründen der Klarheit verbessert.
Jonesome Reinstate Monica
Ryan, Sie gehen ungültig davon aus, dass Google Authenticator ein "bestimmter Anbieter" ist. Eigentlich handelt es sich nur um eine Implementierung von RFC 6238 en.wikipedia.org/wiki/Google_Authenticator. Ich frage nach einer RFC-basierten 2FA-Lösung für AD. Ich frage NICHT nach Google Authenticator (was eigentlich nicht möglich ist, da es andere RFC 6238-basierte Apps gibt, die mit Google Authenticator austauschbar sind)
Jonesome Reinstate Monica
In der ursprünglichen unbearbeiteten Frage, die ich beantwortet habe, wurde (mit viel Schnupfen) ausdrücklich gefragt, ob AD native Unterstützung für Google Authenticator hat und wenn nicht, ob dies in Server 2016 erwartet wurde. Ich stehe zu meiner ursprünglichen Antwort auf diese Fragen.
Ryan Bolger
1

Die Antwort ab Oktober 2017:

Verwenden Sie Duo , um Systeme zu aktivieren, die LDAP zurück zu AD ausführen

Wir haben alles recherchiert oder ausprobiert.

  • Azure / Microsoft MFA (komplex und zeitaufwändig einzurichten, im Betrieb fragil)
  • RADIUS-Server

Obwohl uns die Betriebskosten von DUO für bis zu 50 Benutzer nicht gefallen, sind die Kosten für uns die einfache Einrichtung und Verwendung wert.

Wir haben es so weit hinten benutzt:

  • Cisco ASA-Geräte für den VPN-Zugriff

  • Sonicwall Remote Access Appliance für den VPN-Zugriff (wobei das Gerät LDAP auch für AD ausführt)

Uns ist kein anderer Ansatz bekannt, der in 2 bis 4 Stunden eingerichtet werden kann, und MFA aktiviert LDAP-Dienste, die an AD hängen.

Wir sind weiterhin der Ansicht, dass AD selbst die TOTP / HOTP-RFCs hinter Google Authenticator unterstützen sollte, und sind zutiefst enttäuscht, dass MS dies in Windows Server 2016 nicht ordnungsgemäß gelöst hat.

Jonesome stellt Monica wieder her
quelle
Zum späteren Nachschlagen gibt es hier eine weitere Option: wikidsystems.com/learn-more/features-benefits/… , aber auch nicht TOTP.
Nowen
-2

Es gibt bereits ein kostenloses Plug-in für die Einmalkennwortauthentifizierung mit ADFS. Es funktioniert gut mit Google oder Microsoft Authenticator Apps. Weitere Informationen finden Sie unter www.securemfa.com. Ich benutze es ohne Probleme in der Produktion.

Peter Bells
quelle
Das Problem hierbei ist, dass ein kostenloses Plugin eines Drittanbieters, das Daten in SQL Server speichert: Riecht wirklich schlecht. Dies muss von MS (im Betriebssystem) oder einem seriösen Sicherheitsanbieter stammen. Danke für den Versuch!
Jonesome Reinstate Monica