Azure B2C - Add/Update 身份验证联系信息
Azure B2C - Add/Update Authentication Contact Info
我们将 Azure B2C 与 使用 MFA 重置密码策略一起使用。 ADAL 用于身份验证,Graph API 用于创建/更新用户。
当用户调用重置密码策略(通过应用程序上的 link)时,他首先需要提供一个用于发送验证码的电子邮件地址。然后(因为启用了 MFA),如果用户在他的 Authentication Contact Info 中有一个 phone 号码,Azure 可以发送短信或拨打这个号码来进行二次认证检查。
但是,如果用户的身份验证联系信息中没有 phone 号码,则 Azure 会要求用户输入 phone 号码以发送短信/拨打该号码.此时,用户可以输入任何数字,所以它并没有真正增加一层安全性!!
所以我有两个问题:
当我通过 ADAL + Graph (C#) 创建用户时,如何指定 phone 号码作为身份验证联系信息 (我试过 Mobile 或 TelephoneNumber 但显然,这些字段不正确),这样 Azure 就不会要求我输入随机 phone 号码来执行 MFA ?
如果 1. 可行,如何在身份验证信息部分更新此 phone 号码(在 C# 中以编程方式)?
谢谢!
截至今天,AD Graph API 不支持以编程方式为 AAD B2C 用户添加 MFA phone 号码。因此,您可能希望在注册期间启用 MFA,以便捕获用户的 phone 号码并将其存储在目录中,并用于需要 MFA 的后续身份验证。
您看到的情况是用户的 phone 号码未在目录中注册 MFA。这可能在多种情况下发生:
- 在注册过程中,用户验证了他们的电子邮件地址并提供了密码,单击提交(因此在目录中创建了一个帐户),但在完成 MFA 之前退出。
- 用户帐户是以编程方式创建的,在这种情况下,无法以编程方式添加 phone 号码(可以通过管理员 UI 添加,如您在问题中所述)。
- 该应用程序最初使用没有 MFA 的策略开始,但后来决定在部分或所有策略中引入 MFA。
在所有这些情况下,当用户第一次尝试访问需要 MFA 且 phone 号码不存在于帐户中的应用程序(或其任何部分)时,Azure AD B2C 将需要用户验证并将他们的 phone 号码放在帐户上。只有这样,应用程序才会获得令牌。
这并非特定于密码重置,而是针对我上述情况的所有策略。例如,一个应用程序可以将 MFA 添加到登录策略中,如果记录中没有 phone,则在登录时,将要求用户提供一个 phone 号码并验证它。
我们将 Azure B2C 与 使用 MFA 重置密码策略一起使用。 ADAL 用于身份验证,Graph API 用于创建/更新用户。
当用户调用重置密码策略(通过应用程序上的 link)时,他首先需要提供一个用于发送验证码的电子邮件地址。然后(因为启用了 MFA),如果用户在他的 Authentication Contact Info 中有一个 phone 号码,Azure 可以发送短信或拨打这个号码来进行二次认证检查。
但是,如果用户的身份验证联系信息中没有 phone 号码,则 Azure 会要求用户输入 phone 号码以发送短信/拨打该号码.此时,用户可以输入任何数字,所以它并没有真正增加一层安全性!!
所以我有两个问题:
当我通过 ADAL + Graph (C#) 创建用户时,如何指定 phone 号码作为身份验证联系信息 (我试过 Mobile 或 TelephoneNumber 但显然,这些字段不正确),这样 Azure 就不会要求我输入随机 phone 号码来执行 MFA ?
如果 1. 可行,如何在身份验证信息部分更新此 phone 号码(在 C# 中以编程方式)?
谢谢!
截至今天,AD Graph API 不支持以编程方式为 AAD B2C 用户添加 MFA phone 号码。因此,您可能希望在注册期间启用 MFA,以便捕获用户的 phone 号码并将其存储在目录中,并用于需要 MFA 的后续身份验证。
您看到的情况是用户的 phone 号码未在目录中注册 MFA。这可能在多种情况下发生:
- 在注册过程中,用户验证了他们的电子邮件地址并提供了密码,单击提交(因此在目录中创建了一个帐户),但在完成 MFA 之前退出。
- 用户帐户是以编程方式创建的,在这种情况下,无法以编程方式添加 phone 号码(可以通过管理员 UI 添加,如您在问题中所述)。
- 该应用程序最初使用没有 MFA 的策略开始,但后来决定在部分或所有策略中引入 MFA。
在所有这些情况下,当用户第一次尝试访问需要 MFA 且 phone 号码不存在于帐户中的应用程序(或其任何部分)时,Azure AD B2C 将需要用户验证并将他们的 phone 号码放在帐户上。只有这样,应用程序才会获得令牌。
这并非特定于密码重置,而是针对我上述情况的所有策略。例如,一个应用程序可以将 MFA 添加到登录策略中,如果记录中没有 phone,则在登录时,将要求用户提供一个 phone 号码并验证它。