在 Azure Active Directory 中对自定义应用程序进行条件访问的多重身份验证
Mulitfactor authentication with conditional access in Azure Active Directory for custom app
我们有一个托管在 Hetzner 服务器上的自定义 Web 应用程序。当用户想要访问网站时,他们会被重定向到 Azure AD 以登录。我们的目标是仅为此应用程序启用 MFA,但它不起作用。只有正常登录,不需要二次验证
我们在 Azure AD 中添加了一个自定义云应用程序,并为此应用程序配置了一个激活 MFA 的策略(无论是哪个客户端、位置等)。当 MFA 在全球范围内激活时,它会起作用,并且用户必须 enable/use 第二个因素才能通过 Azure AD 登录。但随着政策它不起作用。
What-If 工具表示已使用该策略。 Azure AD 有一个 P2 许可证,用于测试一个用户也有一个 Cloud App Security 许可证。
有谁知道为什么不考虑条件访问规则?
我在身边测试过,一切正常。这是我的条件访问设置:
- Select 用户和组
- 选择应用
- 设置授权访问控制
- 启用策略
最后,当我尝试登录网络应用程序时,系统会要求我提供其他信息。但是,对于其他应用程序(Azure 门户、Office 门户等),我仍然可以直接登录。
我们终于为我们的 Web 应用程序找到了解决方案。
我们的应用程序在重定向到 Azure AD 时使用 response_type 代码和使用范围 user.read。我们已将 openid 添加到范围,现在执行条件访问策略。
我不知道为什么这样可以解决问题,但也许有人也掉进了这个陷阱,至少找到了解决办法。
我们有一个托管在 Hetzner 服务器上的自定义 Web 应用程序。当用户想要访问网站时,他们会被重定向到 Azure AD 以登录。我们的目标是仅为此应用程序启用 MFA,但它不起作用。只有正常登录,不需要二次验证
我们在 Azure AD 中添加了一个自定义云应用程序,并为此应用程序配置了一个激活 MFA 的策略(无论是哪个客户端、位置等)。当 MFA 在全球范围内激活时,它会起作用,并且用户必须 enable/use 第二个因素才能通过 Azure AD 登录。但随着政策它不起作用。 What-If 工具表示已使用该策略。 Azure AD 有一个 P2 许可证,用于测试一个用户也有一个 Cloud App Security 许可证。
有谁知道为什么不考虑条件访问规则?
我在身边测试过,一切正常。这是我的条件访问设置:
- Select 用户和组
- 选择应用
- 设置授权访问控制
- 启用策略
最后,当我尝试登录网络应用程序时,系统会要求我提供其他信息。但是,对于其他应用程序(Azure 门户、Office 门户等),我仍然可以直接登录。
我们终于为我们的 Web 应用程序找到了解决方案。 我们的应用程序在重定向到 Azure AD 时使用 response_type 代码和使用范围 user.read。我们已将 openid 添加到范围,现在执行条件访问策略。
我不知道为什么这样可以解决问题,但也许有人也掉进了这个陷阱,至少找到了解决办法。