Azure Active Directory 多因素授权检查

Question

我们有要求启用MFA来检查特定的业务流程。这意味着用户可以在没有 MFA 的情况下登录并执行一些操作，但某些流程将需要 MFA 验证。

例如，用户可以创建一个策略，但他不能在没有 MFA 的情况下编辑、删除策略。

我们使用 Azure Active Directory 和 OpenID Connect authentication/authorization。

我已经检查了 Graph API 中是否有此类选项，但没有找到类似的选项。

您能否就实现此类要求的可能选项提出建议或建议？

Answer 1

正如junnas所说，将amr_values=ngcmfa添加到URL到的授权中，然后解码包含"amr": ["pwd","mfa"]

的令牌

https://login.microsoftonline.com/common/oauth2/authorize?
client_id=xxxxxxxxxxxxxxxxxxx
&response_type=id_token
&redirect_uri=https://localhost:123
&response_mode=fragment
&scope=https://graph.microsoft.com/v1.0/me
&nonce=7362CAEA-9CA5-4B43-9BA3-34D7C303EBA7
&amr_values=ngcmfa

Azure Active Directory 多因素授权检查

Azure Active Directory multi-factor check for authorization

azure

azure-active-directory

multi-factor-authentication