用例:2FA 登录 Active Directory(例如登录 AD 上的公司台式计算机)
期望的解决方案:Google Authenticator 样式、基于 RFC 的 MFA 系统。此方法引人注目,因为它基于 RFC,并广泛用于基于互联网的应用程序,并且用户群已经拥有它并一直在使用它。我们原以为这会内置到 Server 2016 中,但似乎并非如此?
终极梦想:通过这种方式通过 2FA 增强 AD,我们使用的其他使用 AD 作为目录的应用程序将(我们希望)神奇地获得 2FA 的好处。
为了清晰起见:我们不会尝试使用 google(或其他)帐户登录 AD。我们尝试使用 google 身份验证器工具(或 authy 或任何其他实现该 RFC 的工具)将 2FA 添加到 AD 本身。(我们将 google 身份验证器与 Amazon AWS 和许多其他托管系统一起使用 - 这些系统中的每一个都有自己的用户数据库。)例如,这与面向 Web 的 OpenID 等无关。
我们今天的立场:如今,登录桌面和 PC 都是通过普通的简密码。但有些工具(如我们的 VPN 服务器)使用 AD 进行身份验证,并且在此基础上支持 Google Authenticator。我们希望物理登录与 VPN 一样紧密(并使用类似的身份验证工具)。
迄今完成的研究
有一篇关于如何将 Google 身份验证器与 Active Directory 联合服务 (AD FS) 结合使用的 Technet 文章:https://blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time-passwords-for-multi-factor-authentication-in-ad-fs-3-0/
奇怪的是,它似乎是一个开发项目,需要一些代码和自己的 SQL DB。
我们这里不是专门讨论 AD FS。我们正在寻找内置于 AD 中的 2FA,优先支持 Google Authenticator RFC。
难道 AD 没有对 Google Authenticator 提供原生支持(到现在,2016 年...)吗?
如果没有,那么预计会在 Server 2016 中推出吗?
(如果 Win Server 2016 选择不支持最流行的基于 RFC 的 2FA,请帮我理解为什么 MS 会做出这样的决定?)