Active Directory + Google OTP-AD FS 또는 어떻게?

(응답 작성자의 이해와 일치하도록 편집되었습니다. 여기에 게시 된 새롭고 깔끔한 새 질문 : Active Directory + Google OTP-Windows Server의 기본 지원? )

지금까지 완료된 연구

AD FS (Active Directory Federated Services)에서 Google 인증자를 사용하는 방법에 대한 기술 문서가 있습니다. https://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -ad-fs-3--3-에 대한 다중 요소 인증을위한 암호

이상하게도 일부 코드와 자체 SQL DB가 필요한 개발 프로젝트 인 것으로 보입니다.

여기서는 AD FS에 대해 구체적으로 말하고 있지 않습니다. 우리는 AD에 내장 된 Google OTP를 지원하기 전에 2FA를 찾고 있습니다.

여기서 무슨 일이 일어나고 있는지 살펴 봐야합니다.

AD FS는 모두 SAML 에 관한 것 입니다. SAML 아이덴티티 공급자로 사용하기 위해 Active Directory에 연결됩니다. Google은 이미 SAML 서비스 제공 업체로 활동할 수 있습니다. 두 가지를 합치면 Google이 서버의 SAML 토큰을 신뢰하고 Active Directory 자격 증명을 통해 Google 계정에 로그인하게됩니다. ¹

반면에 Google OTP는 아이덴티티 공급자의 한 요소로서 일반적으로 Google 자체 서비스에 사용됩니다. 어쩌면 AD FS에 실제로 적합하지 않은 방법을 알 수 있습니다. Google에서 AD FS를 사용할 때 더 이상 Google 아이덴티티 공급자를 사용하지 않고 AD FS가 Google로 핸드 오프를 완료 할 때까지 아이덴티티 측은 이미 완료되었습니다. 어떤 작업을 수행 한 경우 AD FS 또는 다른 SAML 자격 증명 공급자와는 별도로 Authenticator를 보완 자격 증명 확인 으로 Google에 구성해야합니다 . (참고 : Google 은이 기능을 지원한다고 생각하지 않지만 반드시 지원해야합니다).

자, 이것이 당신이하고 싶은 일이 불가능하다는 것을 의미하지는 않습니다. 단지 그것이 가장 적합하지 않다는 것입니다. AD FS는 주로 Active Directory와 함께 사용되지만보다 일반적인 SAML 서비스로 작동하도록 설계되었습니다. Active Directory 이외의 다른 ID 공급자에 연결할 수 있으며 다양한 옵션과 확장을 지원합니다. 이 중 하나는 고유 한 Multi-Factor Authentication 제공자를 작성하는 기능입니다. 또한 Google OTP는 다단계 인증을위한 TOTP 표준 을 지원 합니다.

이 두 가지를 함께 사용하면 AD FS와 함께 MuliFactor 제공자로 Google OTP를 사용할 수있을 것입니다. 연결 한 기사는 그러한 시도 중 하나의 개념 증명입니다. 그러나 이것은 AD FS가 기본적으로 수행하는 것이 아닙니다. 해당 플러그인을 작성하는 것은 각 Multi-Factor 서비스에 달려 있습니다.

아마도 MS는 몇 가지 큰 다중 요소 공급자에 대해 자사 지원을 제공 할 수 있지만 (이러한 경우) Google OTP는 새롭고 AD FS 3.0은 오래되어 실행이 불가능할 정도로 오래되었습니다. 릴리스시 또한, MS가 다른 공급자가 언제 또는 어떤 업데이트를 추진할 수 있는지에 영향을 미치지 않는 경우이를 유지하는 것은 어려운 일입니다.

Windows Server 2016이 업데이트 될 때 업데이트 된 AD FS가 더 쉬울 수 있습니다. 그들은 더 나은 다단계 지원을 위해 약간의 작업을 수행 한 것으로 보이지만 상자에 경쟁사의 인증 자를 포함시키는 것에 대한 메모는 보지 못했습니다. 대신 Azure에서이를 수행하도록 설정하고 자신의 경쟁자에게 Authenticator에 iOS / Android / Windows 앱을 제공하는 것이 좋습니다.

궁극적으로 MS가 제공하는 것은 일반적인 TOTP 공급자입니다. 여기서는 Google OTP와 대화 중임을 알리기 위해 몇 가지 사항을 구성하고 나머지는 수행합니다. 언젠가는. 시스템을 좀 더 자세히 살펴보면 실제로 얻을 수 있으면 시스템이 있음을 알 수 있습니다.

^{1 기록을 위해이 작업을 수행했습니다. 점프 할 때이 정보 는 계정을 사용하는 imap 또는 다른 앱 에는 적용되지 않습니다 . 즉, 당신은 파괴하고 거대한 구글 계정의 일부를. 이를 피하려면 Google의 비밀번호 동기화 도구 를 설치하고 구성해야합니다 . 이 도구를 사용하면 누군가가 Active Directory에서 비밀번호를 변경할 때마다 도메인 컨트롤러가 이러한 다른 인증에 사용하기 위해 비밀번호 해시를 Google에 보냅니다.}

^{또한 이것은 사용자에게 전부 또는 아무것도 아닙니다. 엔드 포인트 IP 주소로 제한 할 수 있지만 사용자를 기반으로 할 수는 없습니다. 따라서 Active Directory 자격 증명을 모르는 레거시 사용자 (예 : 대학의 동문 사용자)가있는 경우 모든 사용자를 이동시키는 것이 어려울 수 있습니다. 이러한 이유로 현재 Google에서 AD FS를 사용하고 있지 않지만 결국에는 도약하기를 희망하고 있습니다. 우리는 이제 그 도약을 만들었습니다.}

귀하의 질문에 특정 벤더의 2FA / MFA 솔루션에 대한 지원을 추가하는 것이 Microsoft의 일이라고 잘못 가정 한 것 같습니다. 그러나 공급 업체가 해당 지원을 추가하기로 선택했기 때문에 이미 Windows 및 AD를 지원하는 2FA / MFA 제품이 많이 있습니다. Google이 지원을 추가하는 것만 큼 중요하지 않다고 생각한다면 이는 실제로 Microsoft의 잘못이 아닙니다. 인증 및 권한 부여 관련 API는 잘 문서화되어 있으며 무료로 사용할 수 있습니다.

블로그 게시물은 누구나 자신의 AD FS 환경 에 RFC6238 TOTP 지원을 추가하기 위해 작성할 수있는 샘플 코드에 링크했습니다 . Google OTP와 함께 작동한다는 것은 RFC를 지원하는 인증 자의 부작용 일뿐입니다. 또한 코드의 "개념 증명", "적절한 오류 처리 없음", "안전을 염두에두고 작성되지 않음"에 관한 최하위 조항을 언급 할 것입니다.

어쨌든 아닙니다. Windows Server 2016에서 Google OTP 지원이 명시 적으로 지원 될 것이라고는 생각하지 않습니다. 그러나 Google이 Server 2016 또는 이전 버전에서 자체적으로 지원을 추가하지 못하는 것은 없습니다.

2017 년 10 월 기준 답변 :

사용 듀오 MFA로는 AD에 LDAP를 다시 할 시스템을 가능하게

우리는 모든 것을 연구하거나 시도했습니다.

• Azure / Microsoft MFA (복잡하고 시간이 오래 걸리고 작동하기 쉬움)
• RADIUS 서버

우리는 최대 50 명의 사용자를위한 DUO의 운영 비용이 마음에 들지 않지만 설치 및 사용이 간편 할만한 가치가 있습니다.

우리는 지금까지 그것을 사용했습니다 :

• VPN 액세스를위한 Cisco ASA 장치

• VPN 액세스를위한 Sonicwall Remote Access Appliance (LDAP에서 AD 로의 장치도 사용)

2 ~ 4 시간 내에 설정할 수있는 다른 접근 방식과 AD를 중단시키는 MFA 사용 LDAP 서비스에 대해서는 알지 못합니다.

우리는 AD 자체가 구글 인증 자 뒤에 TOTP / HOTP RFC를 지원해야한다고 믿고 있으며, MS가 Windows Server 2016에서이 문제를 제대로 해결하지 못한 것에 대해 매우 실망했습니다.

ADFS를 통한 일회용 암호 인증을위한 무료 플러그가 이미 있습니다. Google 또는 Microsoft 인증 자 앱에서 잘 작동합니다. 자세한 내용은 www.securemfa.com을 참조하십시오. 프로덕션에 아무런 문제없이 사용하고 있습니다.