(Отредактировано в соответствии с пониманием авторов ответов - новый, свежий, чистый вопрос размещен здесь: Active Directory + Google Authenticator - встроенная поддержка в Windows Server?)
Исследования, проведенные на данный момент
Существует техническая статья о том, как использовать аутентификатор Google с федеративными службами Active Directory (AD FS): https://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time-passwords-for-multi-factor-authentication-in-ad-fs-3-0/
Как ни странно, похоже, что это проект разработчика, требующий некоторого кода и собственной базы данных SQL.
Мы не говорим здесь конкретно о AD FS. Когда вы дойдете до этого, мы ищем 2FA, предварительно поддерживающие RFC Google Authenticator, встроенные в AD.
Нам нужно посмотреть, что здесь происходит.
AD FS - это все о SAML. Он подключится к Active Directory, чтобы использовать его в качестве поставщика удостоверений SAML. Google уже может выступать в качестве поставщика услуг SAML.. Соедините их вместе, чтобы Google доверял токену SAML вашего сервера, а вы входите в учетную запись Google с помощью учетных данных Active Directory.1
Google Authenticator, с другой стороны, действует как один из факторов поставщика удостоверений ... обычно для собственной службы Google. Возможно, теперь вы понимаете, насколько это не вписывается в AD FS. При использовании AD FS с Google вы больше не используете Google Identity Provider, и к тому времени, когда AD FS завершит передачу данных обратно в Google, идентификационная сторона уже завершена. Если бы вы что-то сделали, Google бы потребовал Authenticator в качестве дополнительный подтверждение личности поверх (но отдельно от) AD FS или других поставщиков удостоверений SAML. (Примечание: я не думаю, что Google поддерживает это, но они должны).
Это не значит, что то, что вы хотите сделать, невозможно ... просто это, возможно, не самый лучший вариант. Хотя он в основном используется с Active Directory, AD FS также предназначен для работы в качестве более общей службы SAML; вы можете подключить его к другим поставщикам удостоверений, кроме Active Directory, и он поддерживает множество различных опций и расширений. Одна из них - возможность создавать собственных поставщиков многофакторной аутентификации. Кроме того, Google Authenticator поддерживает Стандарт ТОТП для многофакторной аутентификации.
Соедините их вместе, и появится возможность (хотя, конечно, нетривиально) использовать Google Authenticator в качестве поставщика MuliFactor с AD FS. Статья, на которую вы ссылаетесь, является доказательством концепции одной из таких попыток. Однако это не то, что AD FS делает из коробки; создание этого плагина зависит от каждой Многофакторной службы.
Может быть, MS могла бы предоставить поддержку нескольких крупных многопрофильных поставщиков (если таковая существует), но Google Authenticator достаточно новый, а AD FS 3.0 достаточно старый, и это было бы невозможно сделать. это во время выпуска. Кроме того, MS будет сложно поддерживать их, когда они не имеют никакого влияния на то, когда и какие обновления могут выдвигать другие поставщики.
Возможно, когда выйдет Windows Server 2016, обновленный AD FS упростит это. Кажется, они поработали для лучшей многофакторной поддержки, но я не вижу никаких примечаний о включении в коробку аутентификатора конкурента. Вместо этого, похоже, они захотят, чтобы вы настроили Azure для этого и, возможно, предоставили приложение iOS / Android / Windows для их собственного конкурента Authenticator.
В конечном итоге я бы хотел, чтобы MS доставляла общий Поставщик TOTP, где я настраиваю несколько вещей, чтобы сообщить ему, что я говорю с Google Authenticator, а он сделает все остальное. Возможно когда-нибудь. Может быть, более подробный взгляд на систему, когда мы действительно получим ее, покажет, что она там есть.
1 Для протокола, я сделал это. Помните, что когда вы совершаете прыжок, эта информация не будет применяться к imap или другие приложения, использующие учетную запись. Другими словами, ты нарушаешь огромный часть учетной записи Google. Чтобы этого избежать, вам также необходимо установить и настроить Инструмент синхронизации паролей Google. С помощью этого инструмента каждый раз, когда кто-то меняет свой пароль в Active Directory, ваш контроллер домена отправляет хэш пароля в Google для использования с другими аутентификациями.
Кроме того, для ваших пользователей это все или ничего. Вы можете ограничить IP-адресом конечной точки, но не на основе пользователей. Поэтому, если у вас есть устаревшие пользователи (например, выпускники в колледже), которые не знают никаких учетных данных Active Directory, перенести их всех может быть проблемой. По этой причине, В настоящее время я не использую AD FS с Google, хотя все еще надеюсь, что в конечном итоге совершу скачок. Теперь мы сделали этот скачок.
Я думаю, что ваш вопрос делает неверное предположение о том, что задача Microsoft - добавить поддержку решения 2FA / MFA конкретного поставщика. Но существует множество продуктов 2FA / MFA, которые уже поддерживают Windows и AD, потому что производители решили добавить эту поддержку. Если Google не считает достаточно важным добавить поддержку, на самом деле это не вина Microsoft. API, связанные с аутентификацией и авторизацией, хорошо документированы и бесплатны для использования.
Сообщение в блоге, которое вы связали с образцом кода, который может написать любой RFC6238 Поддержка TOTP в собственной среде AD FS. То, что он работает с Google Authenticator, - это просто побочный эффект аутентификатора, поддерживающего этот RFC. Я также хотел бы отметить перечень заявлений об отказе от ответственности внизу, о том, что код является «доказательством концепции», «без надлежащей обработки ошибок» и «не создан с учетом требований безопасности».
В любом случае нет. Я не верю, что поддержка Google Authenticator будет явно поддерживаться в Windows Server 2016. Но я не думаю, что что-то мешает Google самостоятельно добавлять поддержку в Server 2016 или более ранней версии.
Ответ по состоянию на октябрь 2017 года:
Использовать Дуэт для MFA включить системы, которые выполняют LDAP обратно в AD
Мы все исследовали или пробовали.
Хотя нам не нравится эксплуатационная стоимость DUO, но для 50 пользователей эта стоимость оправдывает простоту установки и использования.
Мы использовали это так далеко позади:
Устройства Cisco ASA для доступа к VPN
Sonicwall Remote Access Appliance для доступа к VPN (с устройством, выполняющим LDAP также для AD)
Нам неизвестен какой-либо другой подход, который можно было бы настроить за 2–4 часа, и MFA включит службы LDAP, которые зависают от AD.
Мы по-прежнему считаем, что сама AD должна поддерживать RFC TOTP / HOTP за аутентификатором Google, и глубоко разочарованы тем, что MS не решила эту проблему должным образом в Windows Server 2016.
Уже есть бесплатное подключение для аутентификации с использованием одноразового пароля с ADFS. Он отлично работает с приложениями для проверки подлинности Google или Microsoft. См. Www.securemfa.com для получения дополнительной информации. В продакшене пользуюсь без проблем.