我正在使用 Azure 移动应用服务并使用 azure AD B2C 进行身份验证。我看到 B2C 支持多因素身份验证。但我能做的是,我可以在每次身份验证和注册期间激活多因素身份验证。我想要的是仅在用户想要将电话号码添加到个人资料时验证用户的电话号码一次。有什么办法可以做到这一点?
问问题
613 次
1 回答
1
如今,Azure AD B2C 策略要么“提示并要求 MFA”,要么“不提示且不需要 MFA”。
今天有一些 Azure AD B2C 客户允许你在没有 MFA 的情况下登录,然后在他们尝试访问网站的安全部分时触发“使用 MFA 登录策略”。
但是,我将您的要求解释为允许某些客户选择加入 MFA,一旦他们选择加入,他们的帐户应该只能使用 MFA 访问。这可能是可能的,但需要一种解决方法:
- 向目录添加自定义属性,以维护每个用户是否想要 MFA 或不想要 MFA(我们称之为“requireMFA”)。
- 在 Azure AD B2C“signupsignin_with_mfa”、“signupsignin_without_mfa”中创建两个策略。两种策略都将配置为将“requireMFA”作为声明返回。
- 用户在没有 MFA 的情况下登录后,您可以提供指向“添加 MFA”的链接,并将他们发送到需要 MFA 的 signupsignin_with_mfa 策略。此时,Azure AD B2C 会提示用户输入第二个因子(如果不存在)。如果您的依赖方应用程序从 signupsignin_with_mfa 接收到一个令牌,这意味着添加了第二个因素。应用程序应调用 Graph API 以将“requireMFA”属性更新为 TRUE。
- 现在,当用户使用 signupsignin_without_mfa 登录但 requireMFA 设置为 TRUE 时,您的应用程序知道它必须在允许访问之前将其发送到 signupsignin_with_mfa 策略。
于 2017-07-25T17:55:30.037 回答