Active Directory + Google Authenticator-AD FS，还是如何？

（经过编辑以匹配答案作者的理解-此处发布了新的，干净的新问题：Active Directory + Google Authenticator-Windows Server中的本机支持？）

到目前为止的研究

有一篇technet文章，介绍如何将Google身份验证器与Active Directory联合服务（AD FS）结合使用：https : //blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time在ad-fs-3-0中进行多重验证的密码/

奇怪的是，它似乎是开发项目，需要一些代码和自己的SQL DB。

我们在这里不专门讨论AD FS。当您使用2FA时，我们希望它可以支持AD中内置的Google Authenticator RFC。

我们需要看看这里发生了什么。

AD FS与SAML有关。它将连接到Active Directory并将其用作SAML身份提供程序。Google已经有能力充当SAML服务提供商。将两者放在一起，以便Google信任您服务器的SAML令牌，并且您将通过Active Directory凭据登录到Google帐户。^1个

另一方面，Google身份验证器是身份提供者的一个因素，通常是Google自己的服务。也许您现在可以看到它与AD FS的真正区别。将AD FS与Google一起使用时，您实际上不再使用Google的身份提供程序，并且等到AD FS完成向Google的移交时，身份方面已经完成。如果您做了任何事情，它将配置Google要求Authenticator作为AD FS或其他SAML身份提供者之上（但与之分开）的补充身份确认。（注意：我不认为Google支持此功能，但他们应该支持）。

现在，这并不意味着您想做的事是不可能的……只是它可能不是最合适的。虽然主要与Active Directory一起使用，但AD FS还旨在用作更通用的SAML服务。您可以将其连接到Active Directory以外的其他身份提供者，并且它支持许多不同的选项和扩展。其中之一是能够创建自己的多重身份验证提供程序。此外，Google身份验证器支持TOTP标准以进行多因素身份验证。

将两者放在一起，应该有可能（尽管肯定不容易）将Google Authenticator用作AD FS的MuliFactor提供程序。您链接到的文章就是这种尝试的概念证明。但是，这并不是AD FS开箱即用的功能。取决于每个Multi-Factor服务来创建该插件。

也许MS可以为一些大型的多因素提供商提供第一方支持（如果有的话），但是Google Authenticator足够新，而AD FS 3.0足够老，以致于无法做到这一点在发布时间。此外，当MS对这些其他提供程序可能推送的更新时间或更新没有任何影响时，要维持这些更新将具有挑战性。

也许当Windows Server 2016淘汰时，更新的AD FS将使此操作变得更加容易。他们似乎已经做了一些工作以获得更好的多因素支持，但是我没有看到关于在包装盒中包括竞争对手的身份验证器的任何注释。取而代之的是，他们似乎希望您设置Azure来执行此操作，并可能向身份验证器为其自己的竞争对手提供iOS / Android / Windows应用程序。

我最终希望看到MS提供的是一个通用的 TOTP提供程序，在这里我做了一些配置以告诉我我正在与Google Authenticator进行通信，其余的工作都由它完成。也许有一天。也许我们对该系统进行了更详细的研究之后，就会显示它已经存在。

^{1作为记录，我已经做到了。请注意，进行跳转时，此信息将不适用于imap或使用该帐户的其他应用。换句话说，您正在破坏Google帐户的很大一部分。为了避免这种情况，您还需要安装和配置Google的密码同步工具。使用该工具，每次有人在Active Directory中更改密码时，您的域控制器都会将密码的哈希值发送给Google，以与其他身份验证配合使用。}

^{此外，对于您的用户而言，这是全部或全部。您可以限制端点IP地址，但不能基于用户。因此，如果您有不知道任何Active Directory凭据的旧用户（例如：大学的校友用户），则将其全部转移可能是一个挑战。因此，尽管我仍然希望最终实现飞跃，但我目前尚未将AD FS与Google配合使用。我们现在已经实现了这一飞跃。}

我认为您的问题做出了无效的假设，即为特定供应商的2FA / MFA解决方案添加支持是微软的职责。但是有很多2FA / MFA产品已经支持Windows和AD，因为供应商已选择添加该支持。如果Google认为增加支持并不重要，那并不是微软的错。与身份验证和授权相关的API有充分的文档记录，可以免费使用。

您链接到该示例代码的博客文章，任何人都可以编写示例代码，以向其自己的AD FS环境添加RFC6238 TOTP支持。它恰好与Google Authenticator一起使用只是支持该RFC的身份验证器的副作用。我还要指出，底层的免责声明涉及代码是“概念证明”，“没有适当的错误处理”和“并非出于安全考虑而创建”。

无论如何，没有。我认为Windows Server 2016不会明确支持Google Authenticator支持。但是，我认为没有任何因素会阻止Google在Server 2016或更早版本上自己添加支持。

答案，截至2017年10月：

使用Duo进行MFA启用可将LDAP返回AD的系统

我们已经研究或尝试了一切。

• Azure / Microsoft MFA（设置复杂且耗时，操作易碎）
• RADIUS服务器

尽管我们不喜欢DUO的运营成本，但对于多达50个用户而言，这对于我们来说值得设置和使用简单的成本。

到目前为止，我们已经使用了它：

• 用于VPN访问的Cisco ASA设备

• 用于VPN访问的Sonicwall远程访问设备（设备也对AD执行LDAP）

我们不知道可以在2-4小时内设置任何其他方法，并且MFA启用了挂起AD的LDAP服务。

我们仍然认为AD本身应支持Google身份验证器后面的TOTP / HOTP RFC，对于MS在Windows Server 2016中未能正确解决此问题，我们深表失望。

现在已经可以使用ADFS免费插入一次密码验证。与Google或Microsoft身份验证器应用程序配合使用时效果很好。有关更多信息，请参见www.securemfa.com。我使用它在生产中没有任何问题。