Sto cercando di capire cosa dovrebbe essere aggiornato per fare in modo che i sistemi basati su Windows supportino l'autenticazione multifactor.
Possibili cose che potrebbero dover essere modificate:
Active Directory / Domain Controller
L'applicazione stessa (IIS, Apache + il sito web)
Il Provider di credenziali del server o della workstation (la nuova GINA)
Dipende molto dalla tecnologia che usi per implementare l'autenticazione multifactor. Se si utilizzano le smartcard con Active Directory, è necessario modificare tutti i dispositivi client per supportare le smart card e configurare ciascun account utente in AD per i certificati. Non è necessario modificare IIS se si prevede di eseguire solo l'autenticazione di Windows, ma se si desidera l'autenticazione reciproca in IIS con i certificati client, è necessario configurarlo. Se l'app in esecuzione in IIS non supporta l'autenticazione di Windows, l'app deve essere modificata per supportare l'autenticazione multifactor. Se si utilizza una soluzione di terze parti, tutto dipende da come lo implementano. La società per cui lavoro ha un provider di credenziali per Windows e un'API per applicazioni personalizzate e un modulo ISAPI per IIS, ecc. La soluzione di RSA è simile, così come il 99% di tutte le altre soluzioni.
Come ho detto, dipende dalla tecnologia che utilizzi, ma fondamentalmente si riduce a: devi modificare tutti i punti di autenticazione dove hai bisogno di auth multifactor e se non può supportarlo, disabilitalo.
Ti consiglio di utilizzare il plug-in MS Radius per aggiungere l'autenticazione a due fattori alle tue applicazioni. Devi configurare le tue app per parlare radius o mettere qualcosa di fronte a loro in grado di gestire l'autenticazione del raggio, come Forefront o SSL-VPN. Parleranno di raggio a NPS che imporrà condizioni come l'appartenenza al gruppo. Se tutto è a posto, NPS convaliderà le credenziali al server di autenticazione a due fattori. Vedi link per una breve panoramica.
I vantaggi: una posizione per disabilitare gli utenti (AD), gli utenti accedono con nome utente e OTP, quindi non usare la loro password al di fuori della LAN, stai utilizzando uno standard strong nel raggio e puoi aggiungere numerosi altri sistemi e scambiarli senza problemi.
La GINA è un'altra cosa tutta insieme. Puoi guardare qualcosa come pgina che supporta il raggio, ma ci sono problemi. Penso che sia il motivo per cui molte aziende optano per soluzioni desktop remote.
Leggi altre domande sui tag authentication active-directory multi-factor