(Editado para corresponder ao entendimento dos redatores de respostas - Pergunta nova, atualizada e clara postada aqui: Active Directory + Google Authenticator - Suporte nativo no Windows Server? )
Pesquisa feita até agora
Há um artigo da technet sobre como usar o Google Authenticator com Active Directory Federated Services (AD FS): https://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwords-for-multi-factor-authentication-in-ad-fs-3-0/
Estranhamente, parece ser um projeto de desenvolvimento, exigindo algum código e seu próprio banco de dados SQL.
Não estamos falando aqui do AD FS especificamente. Estamos procurando, quando você chegar lá, 2FA, preferencialmente compatível com RFCs do Google Authenticator, integrado ao AD.
Precisamos ver o que está acontecendo aqui.
O AD FS tem tudo a ver com SAML . Ele se conectará ao Active Directory para usá-lo como um provedor de identidade SAML. O Google já pode atuar como provedor de serviços SAML . Junte os dois, para que o Google confie no token SAML do seu servidor e você faça login em uma Conta do Google por meio das credenciais do Active Directory. 1
O Google Authenticator, por outro lado, atua como um fator de um provedor de identidade... geralmente para o próprio serviço do Google. Talvez você possa ver agora como ele realmente não se encaixa no AD FS. Ao usar o AD FS com o Google, você não está mais usando o provedor de identidade do Google e, quando o AD FS conclui a transferência de volta para o Google, o lado da identidade já está concluído. Se você fizesse alguma coisa, seria configurar o Google para exigir o Autenticador como uma confirmação de identidade complementar sobre (mas separada) do AD FS ou de outros provedores de identidade SAML. (Observação: não acho que o Google ofereça suporte a isso, mas deveria).
Agora, isso não significa que o que você quer fazer seja impossível... apenas que talvez não seja o mais adequado. Embora seja usado principalmente com o Active Directory, o AD FS também foi projetado para funcionar como um serviço SAML mais genérico; você pode conectá-lo a outros provedores de identidade além do Active Directory e oferece suporte a muitas opções e extensões diferentes. Uma delas é a capacidade de criar seus próprios provedores de autenticação multifator. Além disso, o Google Authenticator oferece suporte ao padrão TOTP para autenticação multifator.
Junte os dois e deve ser possível (embora certamente não trivial) usar o Google Authenticator como um provedor MuliFactor com AD FS. O artigo ao qual você vinculou é uma prova de conceito de uma dessas tentativas. No entanto, isso não é algo que o AD FS faz imediatamente; cabe a cada serviço Multi-Factor criar esse plug-in.
Talvez a MS possa fornecer suporte primário para alguns dos grandes provedores multifatoriais (se é que existe), mas o Google Authenticator é novo o suficiente e o AD FS 3.0 é antigo o suficiente para que não fosse viável fazer isso na hora do lançamento. Além disso, seria um desafio para a MS mantê-los, quando eles não têm influência sobre quando ou quais atualizações esses outros provedores podem enviar.
Talvez quando o Windows Server 2016 for lançado, o AD FS atualizado torne isso mais fácil. Eles parecem ter feito algum trabalho para melhorar o suporte multifatorial , mas não vejo nenhuma observação sobre a inclusão do autenticador de um concorrente na caixa. Em vez disso, parece que eles vão querer que você configure o Azure para fazer isso e, possivelmente, forneça um aplicativo iOS/Android/Windows para seu próprio concorrente ao Authenticator.
O que eu gostaria de ver o MS entregar é um provedor TOTP genérico , onde eu configuro algumas coisas para dizer que estou falando com o Google Authenticator, e ele faz o resto. Talvez algum dia. Talvez uma olhada mais detalhada no sistema, uma vez que possamos obtê-lo, mostre que ele está lá.
1 Só para constar, eu fiz isso. Esteja ciente de que, quando você fizer o salto, essas informações não se aplicarão ao imap ou a outros aplicativos que usam a conta. Em outras palavras, você está quebrando uma grande parte da conta do Google. Para evitar isso, você também precisará instalar e configurar a ferramenta de sincronização de senha do Google . Com a ferramenta, sempre que alguém alterar a senha no Active Directory, seu controlador de domínio enviará um hash da senha ao Google para uso com essas outras autenticações.
Além disso, isso é tudo ou nada para seus usuários. Você pode restringir por endereço IP do endpoint, mas não com base em usuários. Portanto, se você tiver usuários legados (por exemplo: usuários ex-alunos em uma faculdade) que não conhecem nenhuma credencial do Active Directory, pode ser um desafio movê-los. Por esse motivo,
atualmente não estou usando o AD FS com o Google, embora ainda espere dar o salto.Agora demos esse salto.Acho que sua pergunta faz a suposição inválida de que é trabalho da Microsoft adicionar suporte para a solução 2FA/MFA de um determinado fornecedor. Mas há muitos produtos 2FA/MFA que já suportam Windows e AD porque os fornecedores optaram por adicionar esse suporte. Se o Google não considera importante o suficiente adicionar suporte, isso não é realmente culpa da Microsoft. As APIs relacionadas à Autenticação e Autorização são bem documentadas e de uso gratuito.
A postagem do blog que você vinculou ao código de exemplo que qualquer um poderia escrever para adicionar suporte RFC6238 TOTP ao seu próprio ambiente AD FS. O fato de funcionar com o Google Authenticator é apenas um efeito colateral do autenticador que suporta esse RFC. Eu também observaria a ladainha de isenções de responsabilidade na parte inferior sobre o código ser "prova de conceito", "sem tratamento de erros adequado" e "não criado com a segurança em mente".
Em todo caso, não. Não acredito que o suporte do Google Authenticator será explicitamente suportado no Windows Server 2016. Mas não acho que nada esteja impedindo o Google de adicionar suporte no Server 2016 ou anterior.
A resposta, em outubro de 2017:
Use Duo para MFA habilitar sistemas que fazem LDAP de volta para AD
Nós pesquisamos ou tentamos de tudo.
Embora não gostemos do custo operacional do DUO, para até 50 usuários, o custo, para nós, vale a pena pela simplicidade de configuração e uso.
Nós o usamos até agora:
Dispositivos Cisco ASA para acesso VPN
Sonicwall Remote Access Appliance para acesso VPN (com o dispositivo fazendo LDAP também para AD)
Não temos conhecimento de nenhuma outra abordagem que possa ser configurada em 2 a 4 horas e o MFA permite serviços LDAP que travam o AD.
Continuamos a acreditar que o próprio AD deve oferecer suporte ao TOTP/HOTP RFC por trás do autenticador do Google e estamos profundamente desapontados com o fato de a MS não ter resolvido isso adequadamente no Windows Server 2016.
Já existe um plug-in gratuito para autenticação de senha única com ADFS. Funciona bem com aplicativos autenticadores do Google ou da Microsoft. Consulte www.securemfa.com para obter mais informações. Estou usando sem problemas na produção.