Implementering af Google Authenticator til 2FA med LDAP/AD

  • Blog
  • Implementering af Google Authenticator til 2FA med LDAP/AD

Vidensdatabase

Erfaring med webstedets pålidelighed

Se kategorier

Implementering af Google Authenticator til 2FA med LDAP/AD

2 min læses

Indholdsfortegnelse

Hvad er Google Authenticator? #

Google Authenticator er en mobilapp, der tilbyder en ekstra godkendelsesfaktor ved hjælp af tidsbaserede engangsadgangskoder (TOTP).
Det bruges i vid udstrækning til implementering af tofaktorgodkendelse (2FA) og fungerer uden internetforbindelse, når det er konfigureret.

Sådan fungerer Google Authenticator: TOTP vs. HOTP #

Google Authenticator understøtter to algoritmer til generering af engangsadgangskoder:

  • TOTP (tidsbaseret engangsadgangskode): Den mest almindelige implementering. Engangskoden ændres hvert 30. sekund og er baseret på en delt hemmelighed og det aktuelle tidsstempel.
  • HOTP (HMAC-baseret engangsadgangskode): Mindre almindeligt anvendt. Den genererer engangskoder baseret på en tæller, der øges, hver gang en kode anmodes om. Serveren skal spore tællerens tilstand.

At RELIANOID, vi bruger TOTP for vores 2FA-portal, da den sikrer problemfri tidsbaseret validering og undgår problemer med tællersynkronisering.

RELIANOID 2FA med Google Authenticator og AD/LDAP-integration #

Højniveaustrømning #

  1. Brugeren logger ind med sit brugernavn og sin adgangskode (valideret mod LDAP/AD).
  2. Hvis brugeren ikke har en TOTP-hemmelighed registreret:
    • En ny TOTP-hemmelighed genereres på backend'en.
    • En QR-kode (som indeholder hemmeligheden i URI-format) vises, som brugeren kan scanne med Google Authenticator.
    • Brugeren indtaster derefter den første 6-cifrede engangskode for at fuldføre registreringen.
    • Hemmeligheden er gemt i en brugerdefineret LDAP/AD-attribut (f.eks. otpSecret).
  3. Hvis brugeren allerede har en registreret hemmelighed:
    • Backend-systemet verificerer den angivne OTP mod hemmeligheden ved hjælp af en TOTP-algoritme (f.eks. RFC 6238).

Sikkerhedsovervejelser #

  • Sikker kommunikation med LDAP (LDAPS eller StartTLS).
  • Begræns adgangen til otpSecret attribut.
  • Gem hemmeligheder ved hjælp af base32-kodning og undgå almindelig synlighed i logfiler.
  • Brug ursynkronisering (f.eks. NTP) for at sikre ensartet TOTP-adfærd.

Konklusion #

Integrering af Google Authenticator i RELIANOID 2FA-portalen forbedrer brugersikkerheden uden at gå på kompromis med brugervenligheden. Med understøttelse af AD og LDAP er implementeringen problemfri i de fleste virksomhedsmiljøer.

Brug for hjælp til at konfigurere din 2FA-integration? Kontakt og RELIANOID supportteam – tilgængeligt døgnet rundt.

📄 Download dette dokument i PDF-format #

    EMAIL: *

    drevet af BetterDocs