Active Directory + Google Şifrematik - AD FS veya nasıl?

(- Yeni, taze, temiz bir soru burada yayınlanan Düzenlenen cevap-yazarların anlaşılmasını maç için: ? Active Directory + Google Şifrematik - Windows Server Native destek )

Şimdiye Kadar Yapılan Araştırmalar

Google kimlik doğrulayıcısının Active Directory Federe Edilmiş Hizmetler (AD FS) ile nasıl kullanılacağına dair bir teknik makale bulunmaktadır: https://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwords-için-çok faktörlü kimlik doğrulaması-in-ad-fs-3-0 /

İşin garibi, bazı kod ve kendi SQL DB gerektiren bir dev proje gibi görünüyor.

Burada özellikle AD FS'den bahsetmiyoruz. 2FA için, AD'de yerleşik Google Authenticator RFC'leri desteklemeyi tercih ediyoruz.

Burada neler olduğuna bakmalıyız.

AD FS tamamen SAML ile ilgilidir . SAML Kimlik Sağlayıcısı olarak kullanmak için Active Directory'ye bağlanır. Google zaten bir SAML Servis Sağlayıcısı olarak hareket etme yeteneğine sahiptir . İkisini bir araya getirin, böylece Google sunucunuzun SAML belirtecine güvenir ve Active Directory kimlik bilgileriyle bir Google Hesabına giriş yaparsınız. ¹

Öte yandan Google Şifrematik, Kimlik Sağlayıcının bir faktörü olarak işlev görür ... genellikle Google'ın kendi hizmeti için. Belki şimdi AD FS ile tam olarak nasıl uyuşmadığını görebilirsiniz. AD FS'yi Google ile kullanırken, artık Google'ın Kimlik Sağlayıcısını artık kullanmıyorsunuz ve AD FS'nin Google'a teslimini tamamlamasıyla kimlik tarafı zaten tamamlanmış durumda. Herhangi bir şey yaptıysanız, Google, Authenticator'ı AD FS veya diğer SAML kimlik sağlayıcılarının üstünde (ancak ondan ayrı) ek bir kimlik onayı olarak isteyecek şekilde yapılandırıyor olacaktır . (Not: Google'ın bunu desteklediğini düşünmüyorum, ancak yapmaları gerekiyor).

Şimdi, bu yapmak istediğiniz şeyin imkansız olduğu anlamına gelmez ... sadece belki de en uygun olanı değildir. Öncelikle Active Directory ile birlikte kullanılırken, AD FS aynı zamanda daha genel bir SAML hizmeti olarak işlev görmek üzere tasarlanmıştır; Active Directory'den başka kimlik sağlayıcılarına bağlayabilirsiniz ve birçok farklı seçeneği ve uzantıyı destekler. Bunlardan biri, kendi Çok Faktörlü Kimlik Doğrulama sağlayıcılarınızı oluşturma yeteneğidir. Ayrıca, Google Şifrematik çok faktörlü kimlik doğrulama için TOTP standardını destekler .

İkisini bir araya getirin ve Google Authenticator'ı AD FS ile bir MuliFactor sağlayıcısı olarak kullanmak (kesinlikle önemsiz olmasa da) mümkün olmalıdır. Bağlantı verdiğiniz makale, böyle bir girişimin kavramının kanıtıdır. Ancak, bu AD FS'nin kutudan çıkardığı bir şey değildir; bu eklentiyi oluşturmak her Multi-Factor hizmetine bağlıdır.

Belki MS, büyük çok faktörlü sağlayıcılardan birkaçı için birinci taraf desteği sağlayabilir (eğer böyle bir şey varsa), ancak Google Şifrematik yeterince yenidir ve AD FS 3.0, mümkün olmayacak kadar eskidir serbest bırakma zamanında. Ek olarak, MS'in bu diğer sağlayıcıların ne zaman veya hangi güncellemeleri zorlayabileceği üzerinde hiçbir etkisi olmadığı zaman bunları sürdürmesi zor olacaktır.

Belki Windows Server 2016 bittiğinde güncellenen AD FS bunu kolaylaştırır. Daha iyi çok faktörlü destek için bazı işler yapmış gibi görünüyorlar , ancak bir rakibin kimlik doğrulayıcısını kutuya dahil etme hakkında hiçbir not görmüyorum. Bunun yerine, bunu yapmak için Azure'u kurmanızı isteyecek ve muhtemelen kendi rakipleri için Authenticator'a bir iOS / Android / Windows uygulaması sunacaklar gibi görünüyor.

Nihayetinde MS dağıtımını görmek istediğim şey, genel bir TOTP sağlayıcısı, burada Google Authenticator ile konuştuğumu söylemek için birkaç şey yapılandırdım ve gerisini yapıyor. Belki birgün. Belki sisteme daha ayrıntılı bir bakış, gerçekten bir kez elde edebildiğimizde, orada olduğunu gösterecektir.

^{1 Kayıt için bunu yaptım. Atlamayı yaptığınızda, bu bilgilerin imap veya hesabı kullanan diğer uygulamalar için geçerli olmayacağını unutmayın . Başka bir deyişle, bir kırıyorsun dev Google hesabına parçası. Bundan kaçınmak için Google'ın Parola Eşitleme Aracı'nı da yüklemeniz ve yapılandırmanız gerekir . Araçla, birisi Active Directory'de parolasını her değiştirdiğinde, etki alanı denetleyiciniz bu diğer kimlik doğrulamalarla birlikte kullanmak için parolayı bir karma gönderir.}

^{Ayrıca, bu kullanıcılarınız için hepsi veya hiçbir şey değildir. Uç nokta IP adresine göre kısıtlayabilirsiniz, ancak kullanıcılara dayanamazsınız. Bu nedenle, herhangi bir Active Directory kimlik bilgisi bilmeyen eski kullanıcılarınız varsa (örneğin: bir üniversitedeki mezunlar), bunların tümünü taşımak zor olabilir. Bu nedenle, şu anda Google ile AD FS kullanmıyorum, ancak yine de sıçrama yapmayı umuyorum. Şimdi bu sıçramayı yaptık.}

Sorunuzun, belirli bir satıcının 2FA / MFA çözümü için destek eklemenin Microsoft'un işi olduğu varsayımını geçersiz kıldığını düşünüyorum. Ancak satıcılar bu desteği eklemeyi seçtikleri için zaten Windows ve AD'yi destekleyen çok sayıda 2FA / MFA ürünü var. Google destek eklemenin yeterince önemli olduğunu düşünmüyorsa, bu aslında Microsoft'un hatası değildir. Kimlik Doğrulama ve Yetkilendirme ile ilgili API'lar iyi belgelenmiştir ve kullanımı ücretsizdir.

Herkesin kendi AD FS ortamına RFC6238 TOTP desteği eklemek için yazabileceği örnek kodla ilişkilendirdiğiniz blog yazısı . Google Şifrematik ile çalışmanın, söz konusu RFC'yi destekleyen yetkilendiricinin sadece bir yan etkisidir. Ayrıca, kodun "kavram kanıtı", "uygun hata işleme yok" ve "güvenlik göz önünde bulundurularak oluşturulmadığı" konusunda en altta yer alan feragatnamelerin yalancılığına dikkat çekerim.

Her durumda, hayır. Google Authenticator desteğinin Windows Server 2016'da açıkça destekleneceğine inanmıyorum. Ancak, Google'ın Server 2016 veya daha önceki sürümlerinde destek eklemesini engelleyen bir şey olduğunu düşünmüyorum.

Yanıt, Ekim 2017 itibariyle:

Kullanım Duo MFA için AD LDAP geri do sistemlerini etkinleştirmek

Her şeyi araştırdık veya denedik.

• Azure / Microsoft MFA (kurulumu karmaşık ve zaman alıcı, hassas çalışma)
• RADIUS sunucuları

DUO'nun operasyonel maliyetinden hoşlanmasak da, 50 kullanıcıya kadar, maliyet, bizim için kurulum ve kullanım için basitliğe değer.

Şimdiye kadar kullandık:

• VPN erişimi için Cisco ASA cihazları

• VPN erişimi için Sonicwall Uzaktan Erişim Cihazı (cihaz AD'ye de LDAP yapıyor)

2-4 saat içinde kurulabilecek başka bir yaklaşımın farkında değiliz ve MFA, AD'yi kapatan LDAP hizmetlerini etkinleştirdi.

AD'nin google kimlik doğrulayıcının arkasındaki TOTP / HOTP RFC'leri desteklemesi gerektiğine ve MS'in Windows Server 2016'da bunu doğru bir şekilde çözmediğinden derinden hayal kırıklığına uğradıklarına inanmaya devam ediyoruz.

ADFS ile bir kerelik şifre kimlik doğrulaması için zaten ücretsiz bir eklenti var. Google veya microsoft authenticator uygulamalarıyla iyi çalışır. Daha fazla bilgi için www.securemfa.com adresine bakın. Üretimde herhangi bir sorun olmadan kullanıyorum.