研究到目前为止
有一篇关于如何将Google身份验证器与Active Directory联合服务(AD FS)一起使用的technet文章:@L_404_1@
奇怪的是,它似乎是一个开发项目,需要一些代码和自己的sql DB.
我们并没有特别提到AD FS.我们正在寻找2FA,支持Google身份验证器RFC,内置于AD.
AD FS大约是SAML.它将连接到Active Directory以将其用作SAML身份提供程序.将两者放在一起,这样Google就会信任您服务器的SAML令牌,并且您将通过Active Directory凭据登录Google帐户.
另一方面,Google身份验证器是身份提供商的一个因素……通常用于Google自己的服务.也许你现在可以看到它如何与AD FS不相符.在谷歌使用AD FS时,您不再使用谷歌的身份提供商,并且当AD FS完成向谷歌的移交时,身份方面已经完成.如果您做了任何事情,那么它将配置Google以要求Authenticator作为AD FS或其他SAML身份提供商之上(但与之分开)的补充身份确认. (注意:我不认为谷歌支持这一点,但他们应该).
现在,这并不意味着你想做的事情是不可能的……只是它可能不是最合适的.虽然它主要用于Active Directory,但AD FS也可用作更通用的SAML服务;您可以将其连接到除Active Directory之外的其他身份提供程序,它支持许多不同的选项和扩展.其中之一是能够创建自己的多重身份验证提供程序.此外,Google身份验证器支持TOTP standard进行多重身份验证.
将两者放在一起,应该可以(尽管肯定不是微不足道)将Google Authenticator用作AD FS的MuliFactor提供商.您链接的文章是一次此类尝试的概念证明.然而,这不是AD FS开箱即用的东西;每个多因素服务都可以创建该插件.
也许MS可以为一些大型多因素提供商提供第一方支持(如果有这样的事情),但Google Authenticator足够新,AD FS 3.0已经足够老了以至于它不可行这是在发布时间.此外,当MS对这些其他提供商可能推送的更新或更新内容没有任何影响时,MS维持这些将是一项挑战.
也许当Windows Server 2016推出时,更新的AD FS将使这更容易. They seem to have done some work for better multi-factor support,但我没有看到任何关于在包装盒中包含竞争对手验证器的说明.相反,看起来他们会希望您设置Azure来执行此操作,并可能为他们自己的Authenticator竞争对手提供iOS / Android / Windows应用程序.
我最终希望看到MS提供的是一个通用的TOTP提供商,我在其中配置了一些事情来告诉它我正在与Google身份验证器交谈,剩下的就完成了.也许有一天.也许对系统进行更详细的研究,一旦我们真正得到它,就会显示出来.
1为了记录,我已经做到了.请注意,当您进行跳转时,此信息将不适用于imap或其他使用该帐户的应用.换句话说,你打破了Google帐户的很大一部分.为了避免这种情况,您还需要安装和配置Google’s Password Sync Tool.使用该工具,每当有人在Active Directory中更改其密码时,您的域控制器都会向Google发送密码哈希值,以便与其他身份验证一起使用.
此外,这对您的用户来说是全有或全无.您可以按端点IP地址限制,但不能基于用户.因此,如果您有遗留用户(例如:大学校友用户),他们不知道任何Active Directory凭据,那么将他们全部移动可能是一项挑战.出于这个原因,我目前没有在谷歌使用AD FS,尽管我仍然希望最终实现这一目标.我们现在已经实现了这一飞跃.