Active Directory + Google Authenticator - AD FS, ¿o cómo?

10

(Editado para que coincida con la comprensión de los escritores de respuestas: pregunta nueva, nueva y limpia publicada aquí: Active Directory + Google Authenticator - ¿Soporte nativo en Windows Server? )

Investigación realizada hasta ahora

Hay un artículo de technet sobre cómo usar el autenticador de google con los Servicios federados de Active Directory (AD FS): https://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -contraseñas-para-autenticación-factor-múltiple-en-ad-fs-3-0 /

Curiosamente, parece ser un proyecto de desarrollo, que requiere un código y su propia base de datos SQL.

No estamos hablando aquí de AD FS específicamente. Cuando llegue a él, buscamos 2FA, pref que soporte RFC de Google Authenticator, integrado en AD.

windows active-directory authentication Jonesome restablecer monica
fuente
Google Authenticator es un cliente propietario. El equivalente sería el token RSA. Lo que desea es un servidor o servicio de autenticación que admita el autenticador que funcionaría con AD FS. No estoy familiarizado con AD FS, pero para AD en general, NPS se puede usar para integrar la mayoría de los servidores 2FA porque la mayoría admite RADIUS. Si AD FS puede usar el radio para la autenticación, entonces podría ir al servidor ADFS >> NPS / AD >> 2FA. Al igual que lo haría con cualquier VPN, etc.
nowen
@nowen Estás incorrecto. Según en.wikipedia.org/wiki/Google_Authenticator, el autenticador de Google se basa en RFC 6238. Hay otras aplicaciones de autenticador que también implementan este RFC, y son intercambiables con Google Authenticator.
Jonesome Reinstate Monica
Corregir @samsmith. Quise decir 'fuente cerrada' para aclarar que ya no está abierto.
nowen
@nowen No, todavía estás fuera del punto. El RFC es público. Muchas empresas, incluida Microsoft, han creado aplicaciones de autenticación que son compatibles con la autenticación de Google. Todo tu punto está apagado. Estamos buscando un MFA adecuado en AD (ya que requerimos MFA en todo lo demás que hacemos).
Jonesome Reinstate Monica
Probablemente me rompa el pelo. ;-). Todo lo que quiero decir es que el producto Google Authenticator es propiedad de Google Inc. Chrome y Opera son otros ejemplos de software propietario que implementa RFC abiertos y son propietarios. Solía ​​ser de código abierto, pero Google convirtió a una licencia de propiedad.
nowen

Respuestas:

9

Necesitamos ver lo que está pasando aquí.

AD FS tiene que ver con SAML . Se conectará a Active Directory para usarlo como proveedor de identidad SAML. Google ya tiene la capacidad de actuar como proveedor de servicios SAML . Ponga los dos juntos, para que Google confíe en el token SAML de su servidor, e inicie sesión en una cuenta de Google a través de las credenciales de Active Directory. 1

Google Authenticator, por otro lado, actúa como un factor de un proveedor de identidad ... generalmente para el propio servicio de Google. Quizás pueda ver ahora cómo realmente no encaja con AD FS. Al usar AD FS con Google, ya no estás usando el proveedor de identidad de Google, y para cuando AD FS completa la transferencia de vuelta a Google, el lado de la identidad ya está terminado. Si hiciera algo, estaría configurando Google para requerir Authenticator como una confirmación de identidad complementaria además de (pero separada de) AD FS u otros proveedores de identidad SAML. (Nota: no creo que Google lo admita, pero deberían hacerlo).

Ahora, eso no significa que lo que quieres hacer sea imposible ... solo que tal vez no sea la mejor opción. Si bien se usa principalmente con Active Directory, AD FS también está diseñado para funcionar como un servicio SAML más genérico; puede conectarlo a otros proveedores de identidad que no sean Active Directory, y admite muchas opciones y extensiones diferentes. Una de ellas es la capacidad de crear sus propios proveedores de autenticación multifactor. Además, Google Authenticator admite el estándar TOTP para la autenticación multifactor.

Ponga los dos juntos, y debería ser posible (aunque ciertamente no trivial) usar Google Authenticator como proveedor de MuliFactor con AD FS. El artículo al que se vinculó es una prueba de concepto de uno de esos intentos. Sin embargo, esto no es algo que AD FS hace de fábrica; depende de cada servicio Multi-Factor crear ese complemento.

Tal vez MS podría proporcionar soporte de primera parte para algunos de los grandes proveedores de múltiples factores (si existe), pero Google Authenticator es lo suficientemente nuevo y AD FS 3.0 es lo suficientemente antiguo como para que no hubiera sido posible hacerlo. esto en el momento del lanzamiento. Además, para MS sería un desafío mantenerlos, cuando no tienen influencia sobre cuándo o qué actualizaciones podrían impulsar estos otros proveedores.

Quizás cuando Windows Server 2016 esté fuera, AD FS actualizado lo haga más fácil. Parecen haber hecho algo de trabajo para un mejor soporte de múltiples factores , pero no veo ninguna nota sobre la inclusión de un autenticador de la competencia en la caja. En cambio, parece que querrán que configure Azure para hacer esto, y posiblemente proporcione una aplicación iOS / Android / Windows para su propio competidor para Authenticator.

Lo que en última instancia me gustaría ver que MS entregue es un proveedor TOTP genérico , donde configuro algunas cosas para decirle que estoy hablando con Google Authenticator, y hace el resto. Tal vez algún día. Tal vez una mirada más detallada al sistema, una vez que podamos obtenerlo, muestre que está ahí.

1 Para el registro, he hecho esto. Tenga en cuenta que cuando realice el salto, esta información no se aplicará a imap u otras aplicaciones que usen la cuenta. En otras palabras, está rompiendo una gran parte de la cuenta de Google. Para evitar esto, también deberá instalar y configurar la Herramienta de sincronización de contraseña de Google . Con la herramienta, cada vez que alguien cambia su contraseña en Active Directory, su controlador de dominio enviará un hash de la contraseña a Google para su uso con estas otras autenticaciones.

Además, esto es todo o nada para sus usuarios. Puede restringir por dirección IP de punto final, pero no en función de los usuarios. Entonces, si tiene usuarios heredados (por ejemplo: usuarios de antiguos alumnos en una universidad) que no conocen ninguna credencial de Active Directory, lograr que todos se trasladen podría ser un desafío. Por esta razón, actualmente no estoy usando AD FS con Google, aunque todavía espero dar el salto. Ahora hemos dado ese salto.

Joel Coel
fuente
Gracias por el detalle ¡Muy útil! Todos nos pusimos un poco de lado, por lo que OP mejoró para mayor claridad.
Jonesome Reinstate Monica
Leyendo la "nueva" publicación ... Windows simplemente no admite esto, y 2016 no ayudará ... pero sí admite tarjetas inteligentes. Si quieres 2 factores, mira allí.
Joel Coel
Microsoft ya tiene una aplicación de autenticación.
Michael Hampton
@samsmith Pensando en esto ... dado que las dos respuestas bien votadas aquí malinterpretaron la pregunta, le sugiero que edite esta pregunta para preguntar lo que todos pensamos que quería al principio, y luego publique una nueva pregunta preguntando qué es realmente querer, para darle una mejor oportunidad de conectar su pregunta con una audiencia que pueda responderle. No sé si lo harás mejor que la "tarjeta inteligente", pero vale la pena intentarlo.
Joel Coel
1
@JoelCoel Hecho. Gracias. serverfault.com/q/764646/13716
Jonesome Reinstate Monica
7

Creo que su pregunta supone que no es válido que es tarea de Microsoft agregar soporte para la solución 2FA / MFA de un proveedor en particular. Pero hay muchos productos 2FA / MFA que ya son compatibles con Windows y AD porque los proveedores han optado por agregar ese soporte. Si Google no cree que sea lo suficientemente importante como para agregar soporte, no es realmente culpa de Microsoft. Las API relacionadas con la autenticación y la autorización están bien documentadas y son de uso gratuito.

La publicación del blog que vinculó al código de muestra que cualquiera podría escribir para agregar compatibilidad con TOTP RFC6238 a su propio entorno AD FS. El hecho de que funcione con Google Authenticator es solo un efecto secundario del autenticador que admite ese RFC. También quisiera señalar la letanía de descargos de responsabilidad en la parte inferior sobre el código como "prueba de concepto", "sin manejo adecuado de errores" y "no creado con la seguridad en mente".

En cualquier caso, no. No creo que el soporte de Google Authenticator sea explícitamente compatible con Windows Server 2016. Pero no creo que nada impida que Google agregue soporte en Server 2016 o versiones anteriores.

Ryan Bolger
fuente
No solo eso, sino que MS empuja su propio MFA en Windows Azure.
blaughw
Gracias por el detalle ¡Muy útil! Todos nos pusimos un poco de lado, por lo que OP mejoró para mayor claridad.
Jonesome Reinstate Monica
Ryan, supones que no es válido que Google Authenticator es un "proveedor particular". En realidad, es solo una implementación de RFC 6238 en.wikipedia.org/wiki/Google_Authenticator . Estoy solicitando una solución 2FA basada en RFC para AD. NO estoy solicitando Google Authenticator en particular (lo que en realidad no es posible, ya que hay otras aplicaciones basadas en RFC 6238 que son intercambiables con el autenticador de Google)
Jonesome Reinstate Monica
Respetuosamente, la pregunta original sin editar que respondí específicamente preguntaba (con mucho sarcasmo) si AD tenía soporte nativo para Google Authenticator y, de no ser así, si se esperaba en Server 2016. Respaldo mi respuesta original a esas preguntas.
Ryan Bolger
1

La respuesta, a partir de octubre de 2017:

Utilice Duo para habilitar sistemas MFA que hacen que LDAP regrese a AD

Hemos investigado o probado todo.

  • Azure / Microsoft MFA (configuración compleja y lenta, operación frágil)
  • Servidores RADIUS

Si bien no nos gusta el costo operativo de DUO, para hasta 50 usuarios, el costo, para nosotros, vale la simplicidad de configuración y uso.

Lo hemos usado hasta ahora:

  • Dispositivos Cisco ASA para acceso VPN

  • Dispositivo de acceso remoto Sonicwall para acceso VPN (con el dispositivo haciendo LDAP también a AD)

No conocemos ningún otro enfoque que pueda configurarse en 2-4 horas y MFA habilita los servicios LDAP que cuelgan AD.

Seguimos creyendo que AD debería ser compatible con los RFC de TOTP / HOTP detrás del autenticador de Google, y estamos profundamente decepcionados de que MS no haya resuelto esto correctamente en Windows Server 2016.

Jonesome restablecer monica
fuente
Para referencia futura, aquí hay otra opción, wikidsystems.com/learn-more/features-benefits/… , pero tampoco TOTP.
nowen
-2

Ya existe una conexión gratuita para la autenticación de contraseña única con ADFS. Funciona bien con las aplicaciones de autenticación de Google o Microsoft. Consulte www.securemfa.com para obtener más información. Lo estoy usando sin problemas en la producción.

Peter Bells
fuente
El problema aquí es que un complemento de terceros gratuito, que almacena datos en el servidor SQL: huele realmente apagado. Esto debe provenir de MS (en el sistema operativo) o de un proveedor de seguridad acreditado. Gracias por el intento!
Jonesome Reinstate Monica