Estoy tratando de entender qué habría que actualizar para que los sistemas basados en Windows admitan la autenticación multifactorial.
Posibles cosas que deberían modificarse:
Active Directory / Controladores de dominio
La propia aplicación (IIS, Apache + el sitio web)
El servidor o la estación de trabajo Proveedor de credenciales (la nueva GINA)
Realmente depende de la tecnología que uses para implementar autenticación multifactor. Si usa tarjetas inteligentes con Active Directory, entonces necesita modificar todos los dispositivos cliente para que sean compatibles con tarjetas inteligentes y configurar cada cuenta de usuario en AD para certificados. No tiene que modificar IIS si está planeando hacer solo la autenticación de Windows, pero si desea una autenticación mutua en IIS con certificados de cliente, tendrá que configurarlo. Si la aplicación que se ejecuta en IIS no es compatible con Windows Auth, la aplicación debe modificarse para que sea compatible con la autenticación multifactor. Si utiliza una solución de terceros, entonces todo depende de cómo la implementen. La empresa para la que trabajo tiene un proveedor de credenciales para Windows, así como una API para aplicaciones personalizadas y un módulo ISAPI para IIS, etc. La solución de RSA es similar, al igual que el 99% de todas las demás soluciones.
Como he dicho, depende de la tecnología que use, pero básicamente todo se reduce a: tiene que modificar todos los puntos de autenticación en los que requiere autenticación multifactor y, si no puede admitirla, desactívela.
Le recomiendo que considere usar el complemento de MS Radius para agregar autenticación de dos factores a sus aplicaciones. Debe configurar sus aplicaciones para hablar de radio o poner algo frente a ellas que pueda manejar la autenticación de radio, como Forefront o SSL-VPN. Hablarán de radio a NPS, lo que impondrá condiciones como la pertenencia a un grupo. Si todo está bien, NPS enviará las credenciales al servidor de autenticación de dos factores. Consulte enlace para una breve descripción.
Los beneficios: una ubicación para deshabilitar usuarios (AD), usuarios con nombre de usuario y OTP, así que no use su contraseña fuera de la LAN, está utilizando un estándar fuerte en radio y puede agregar muchos otros sistemas e intercambiarlos sin problemas.
La GINA es otra cosa todos juntos. Puedes mirar algo como pgina que soporta el radio, pero hay problemas. Creo que esa es la razón por la que muchas empresas optan por soluciones de escritorio remoto.
Lea otras preguntas en las etiquetas authentication multi-factor active-directory