Пример использования: 2FA для входа в Active Directory (например, для входа в корпоративный настольный компьютер с AD)
Желаемое решение: Система MFA на основе RFC в стиле Google Authenticator. Этот путь привлекателен, потому что он основан на RFC и широко используется для интернет-приложений, а у базы пользователей он уже есть и использует его постоянно. Мы думали, что это будет встроено в Server 2016, но похоже, что это не так?
Конечная мечта: С AD, усиленным таким образом 2FA, другие приложения, которые мы используем, которые используют AD в качестве каталога, (мы надеемся) волшебным образом получат преимущество 2FA.
Для ясности: Мы не пытаемся использовать учетные записи Google (или другие) для входа в AD. Мы пытаемся использовать инструмент аутентификации Google (или authy, или любой другой инструмент, реализующий этот RFC), чтобы добавить 2FA в сам AD. (Мы используем аутентификатор Google с Amazon AWS и многими другими размещенными системами - каждая из этих систем имеет свою собственную базу данных пользователя.) Например. это не касается веб-ориентированного OpenID и тому подобного.
Где мы находимся сегодня: Сегодня вход на рабочий стол и ПК осуществляется с помощью простых паролей jane. Но некоторые инструменты (например, наш сервер vpn) используют AD для аутентификации И поддерживают Google Authenticator. Мы хотели бы, чтобы физический вход был таким же надежным, как и VPN (и с использованием аналогичного инструмента аутентификации).
Исследования, проведенные на данный момент
Существует техническая статья о том, как использовать аутентификатор Google с федеративными службами Active Directory (AD FS): https://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time-passwords-for-multi-factor-authentication-in-ad-fs-3-0/
Как ни странно, похоже, что это проект разработчика, требующий некоторого кода и собственной базы данных SQL.
Мы не говорим здесь конкретно о AD FS. Когда вы дойдете до этого, мы ищем 2FA, предварительно поддерживающие RFC Google Authenticator, встроенные в AD.
У AD нет встроенной поддержки (к настоящему времени, 2016 ...) для Google Authenticator?
Если нет, ожидается ли это в Server 2016?
(И если Win Server 2016 решит не поддерживать наиболее распространенную 2FA на основе RFC, помогите мне понять, почему MS приняла такое решение?)