已结束的基本身份验证与没有 MFA 的现代身份验证有什么区别https://docs.microsoft.com/en-us/powershell/exchange/connect-to-exchange-online-powershell?view=exchange-ps#connect -to-exchange-online-powershell-without-using-mfa。
问问题
203 次
1 回答
0
虽然像上面这样的 Powershell 示例看起来与原始的基本身份验证示例非常相似,但 Exchange Online 的“现代身份验证”在底层使用了完全不同的机制。旧机制是使用基于 Windows 的 Active Directory 协议交换凭据,而新机制使用 OAuth 授权代码授予机制。这与您使用 Google 或 Facebook 凭据登录第三方网站时使用的机制相同。它允许网站或应用程序根据第三方对您的身份验证(称为身份验证联合)信任您,而无需知道您的登录详细信息,并且旨在通过网络安全地工作。
微软为什么要做出这样的改变?
Microsoft 可能进行此更改的原因有几个:
- 它是跨平台的,是一种通用的 Web 标准身份验证机制
- 他们可以在整个产品中使用相同的机制
- 只需要支持一种机制。使 Powershell、C# 等与 Web UI 的工作方式保持一致
- 适用于 Windows、Mac、Linux
- 很多人已经很熟悉了
- Microsoft 已将 OAuth 标准作为 Active Directory 之上的一个层来实施。迁移到 OAuth 应该允许 Exchange Online 和其他产品使用其他实现 OAuth 的身份验证服务器,从而将它们释放到微软正在进入的非 Windows 世界中。
OAuth 授权码授予
流程看起来像这样。其中大部分是必要的 1)因为所涉及的应用程序正在委派身份验证,以及 2)在通过 Web 传递时尽可能保证细节的安全。您可以看到 Powershell 隐藏了很多复杂性。图片来源:C# 角
于 2021-06-30T11:53:15.627 回答