Active Directory + Google Authenticator-AD FS、またはどのように？

（アンサーライターの理解に合わせて編集-ここに投稿された新しくて新鮮できれいな質問：Active Directory + Google Authenticator-Windows Serverのネイティブサポート？）

これまでに行われた研究

Active Directoryフェデレーテッドサービス（AD FS）でgoogleオーセンティケーターを使用する方法に関するTechnetの記事があります：https ://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwords-for-multi-factor-authentication-in-ad-fs-3-0 /

奇妙なことに、それは開発プロジェクトのようで、いくつかのコードと独自のSQL DBが必要です。

ここでは特にAD FSについては触れていません。私たちは、あなたがそれに到達したときに、ADに組み込まれたGoogle認証システムRFCをサポートする2FAを探しています。

ここで何が起こっているのかを調べる必要があります。

AD FSはすべてSAMLに関するものです。Active Directoryに接続してSAML IDプロバイダーとして使用します。GoogleにはすでにSAMLサービスプロバイダーとして機能する機能があります。2つを組み合わせると、GoogleはサーバーのSAMLトークンを信頼し、Active Directoryの認証情報を使用してGoogleアカウントにログインします。¹

一方、Google Authenticatorは、IDプロバイダーの1つの要素として機能します。通常は、Google独自のサービスに対してです。たぶん、それがAD FSに実際には適合しないことを理解できるでしょう。GoogleでAD FSを使用すると、実際にはGoogleのIDプロバイダーは使用されなくなり、AD FSがGoogleへのハンドオフを完了するまでに、ID側はすでに完了しています。何かをした場合は、AD FSまたはその他のSAML IDプロバイダーの上に（ただしそれとは別に）追加の ID確認としてオーセンティケーターを要求するようにGoogleを構成することになります。（注：Googleはこれをサポートしていないと思いますが、サポートする必要があります）。

だからといって、やりたいことが不可能だというわけではありません。AD FSは主にActive Directoryで使用されますが、より一般的なSAMLサービスとして機能するようにも設計されています。Active Directory以外のIDプロバイダーに接続でき、さまざまなオプションと拡張機能をサポートしています。これらの1つは、独自の多要素認証プロバイダーを作成する機能です。さらに、Google認証システムは多要素認証のTOTP標準をサポートしています。

2つを組み合わせると、Google AuthenticatorをAD FSのMuliFactorプロバイダーとして使用することが可能になります（確かに簡単ではありません）。あなたがリンクした記事は、そのような試みの概念の証明です。ただし、これはAD FSがすぐにできることではありません。そのプラグインを作成するのは、各Multi-Factorサービス次第です。

たぶん、MSはいくつかの大きなマルチファクタープロバイダーにファーストパーティサポートを提供できるかもしれません（そのようなものがあれば）。これはリリース時です。さらに、これらの他のプロバイダーがプッシュする更新のタイミングや内容に影響がない場合、MSがこれらを維持することは困難です。

Windows Server 2016がリリースされたときに、更新されたAD FSによってこれが容易になる可能性があります。彼らは多要素サポートを改善するためにいくつかの作業を行ったようですが、競合他社の認証システムを同梱することについてのメモはありません。代わりに、Azureをセットアップしてこれを実行し、Authenticatorの競合他社にiOS / Android / Windowsアプリを提供してもらいたいようです。

最終的にMSが配信してほしいのは、汎用の TOTPプロバイダーです。GoogleAuthenticatorと通信していることを伝えるためにいくつかの設定を行い、残りの処理を行います。多分いつか。システムをより詳細に見ると、実際に取得できたら、そこにあることがわかります。

^{1念のため、これを行いました。ジャンプするとき、この情報は、そのアカウントを使用するimapまたは他のアプリには適用されないことに注意してください。つまり、Googleアカウントの大部分を破壊していることになります。これを回避するには、Googleのパスワード同期ツールもインストールして設定する必要があります。このツールを使用すると、誰かがActive Directoryでパスワードを変更するたびに、ドメインコントローラーがパスワードのハッシュをGoogleに送信して、これらの他の認証で使用します。}

^{さらに、これはユーザーにとってすべてかゼロかです。エンドポイントIPアドレスで制限できますが、ユーザーに基づくことはできません。したがって、Active Directoryの資格情報を知らないレガシーユーザー（たとえば、大学の同窓生ユーザー）がいる場合、それらすべてを移動することは困難な場合があります。このため、私は現在GoogleでAD FSを使用していませんが、最終的には飛躍することを望んでいます。私たちは今、その飛躍を遂げました。}

あなたの質問は、特定のベンダーの2FA / MFAソリューションのサポートを追加するのはマイクロソフトの仕事であるという誤った仮定をしていると思います。ただし、ベンダーがそのサポートを追加することを選択したため、すでにWindowsとADをサポートしている2FA / MFA製品はたくさんあります。グーグルがサポートを追加することが十分に重要であると考えない場合、それは実際にはマイクロソフトの責任ではありません。認証と承認に関連するAPIは十分に文書化されており、無料で使用できます。

RFC6238 TOTPサポートを独自のAD FS環境に追加するためにだれでも記述できるサンプルコードにリンクしたブログ投稿。Google Authenticatorで動作することは、そのRFCをサポートする認証システムの副作用にすぎません。また、コードが「概念実証」、「適切なエラー処理なし」、「安全性を考慮して作成されていない」ことについての免責事項の最下部にも注意してください。

いずれにせよ、いいえ。Google AuthenticatorのサポートがWindows Server 2016で明示的にサポートされるとは思いませんが、GoogleがServer 2016以前にサポートを追加することを妨げているとは思いません。

回答、2017年10月現在：

使用デュオ MFAには、ADへのLDAPバックを行うシステムを実現します

私たちはすべてを調査または試しました。

• Azure / Microsoft MFA（設定に複雑で時間がかかり、操作が壊れやすい）
• RADIUSサーバー

DUOの運用コストは好きではありませんが、最大50人のユーザーにとって、セットアップと使用が簡単なため、このコストは価値があります。

これまでのところ使用しました：

• VPNアクセス用のCisco ASAデバイス

• VPNアクセス用のSonicwallリモートアクセスアプライアンス（ADに対してもLDAPを実行するデバイス）

2〜4時間でセットアップできる他のアプローチについては認識しておらず、MFAはADに接続するLDAPサービスを有効にします。

AD自体がGoogleオーセンティケーターの背後にあるTOTP / HOTP RFCをサポートする必要があると私たちは引き続き信じており、MSがWindows Server 2016でこれを適切に解決していないことに深く失望しています。

ADFSを使用したワンタイムパスワード認証のための無料のプラグインがすでにあります。googleまたはmicrosoftの認証アプリで正常に動作します。詳細については、www.securemfa.comを参照してください。本番環境で問題なく使用しています。