使用案例 :2FAlogin到Active Directory(例如login到AD上的公司桌面计算机)
期望的解决scheme :Google Authenticator风格,基于RFC的MFA系统。 这个path是引人注目的,因为它是基于RFC的,并被广泛用于基于互联网的应用程序,并且用户基础已经拥有并且始终使用它。 我们认为这将被内置到服务器2016年,但似乎不是?
终极梦想 :以这种方式,AD以2FA提升,其他我们使用AD作为目录的应用程序(我们希望)能够神奇地获得2FA的好处。
为了清楚起见 :我们不是试图使用谷歌(或其他)帐户login到AD。 我们正试图使用谷歌身份validation工具(或authy或任何其他实现该RFC的工具)将2FA添加到AD本身。 (我们使用谷歌身份validation与亚马逊AWS,和许多其他托pipe系统 – 每个系统都有自己的用户数据库。)例如,这不是面向Web面向OpenID等。
我们今天的立场 :今天,login到桌面和个人电脑是通过简单的简洁的密码。 但是有些工具(如我们的VPN服务器),使用AD进行身份validation并支持Google身份validation器。 我们希望物理login与VPN一样紧密(并使用类似的身份validation工具)。
目前的研究已经完成
有关于如何使用谷歌身份validation与Active Directory联合服务(AD FS)的TechNet文章: https : //blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwords换多因子authentication在-AD-FS-3-0 /
奇怪的是,它似乎是一个开发项目,需要一些代码和自己的SQL DB。
我们在这里不是专门针对AD FS的。 我们正在寻找2FA的解决scheme,并支持内置于AD的Google Authenticator RFC。
对于Google身份validation器,AD是否有本地支持(到现在为止,2016 …)?
如果没有,是否在Server 2016中预期?
(如果Win Server 2016select不支持最stream行的基于RFC的2FA,请帮我理解为什么MS会做出这样的决定?)