RADIUS consente un'eventuale e graduale adozione dell'autenticazione di 2 fattori in un ambiente AD?

3

Abbiamo diverse applicazioni che sfruttano AD

  • SAML (via Ping Federate)
  • Autenticazione LDAP da applicazioni di terze parti
  • workstation Windows / autenticazione di Exchange (Kerberos)
  • IIS e componenti web (su4user, rappresentazione, ecc.)

Non ho mai implementato l'autenticazione a 2 fattori in un ambiente AD e ricordo di aver letto che RADIUS è stato sfruttato in un modo per adattarsi a molti se non a tutti gli scenari sopra riportati, con un impatto minimo sugli utenti finali.

Qualcuno può spiegare l'infrastruttura necessaria per una società privata per distribuire 2FA nella propria foresta AD e consentire a terze parti (come Salesforce, Dropbox, Office 365) di sfruttare tale autenticazione?

    
posta random65537 28.05.2014 - 19:05
fonte

1 risposta

1

Una risposta parziale che potrebbe portarti sulla giusta strada è configurare NPS come server radius e ottenere il maggior numero di applicazioni usando raggio. Questo è semplice da fare per le VPN. Le tue app di terze parti dovranno supportare sia radius che ldap. LDAP non inoltrerà le credenziali a un server di terze parti come il raggio. Autorizzazione del raggio di supporto IIS. Non sono sicuro che Ping supporti il raggio. Non utilizzare il raggio su Internet, ad eccezione di un tunnel crittografato.

L'accesso alla stazione di lavoro è molto difficile da raggiungere via radio poiché GINA non lo supporta.

Abbiamo un documento su come aggiungere due fattori a NPS: link e abbiamo un pdf sulla sua architettura qui: link .

    
risposta data 28.05.2014 - 19:25
fonte

Leggi altre domande sui tag