问题标签 [multi-factor-authentication]

我正在阅读有关 Microsoft Azure Active Directory 的 DUO 两因素身份验证扩展的信息，文档在此处。但是，DUO 似乎无法与 Azure AD B2C 集成，因为这些说明特定于 Azure AD（例如，在“创建 Duo MFA 自定义控件”标题下，步骤 #2 显示“转到 Azure Active Directory - > 条件访问”；但门户中的 Azure AD B2C 页面没有条件访问选项卡）。

因此，我的问题是：

1. 上面的 DUO 与内置的多重身份验证Azure AD B2C 解决方案有何不同？
2. DUO 是否与 Azure AD B2C 集成？

我计划为 Android 设备开发一个渐进式 Web 应用程序 - 一个主要问题是 PWA 是否可以访问主机电话号码。我们的业务是向我们的业务合作伙伴提供廉价的手机，如果我们的 PWA 可以访问设备的电话号码，我们可以更轻松地进行 2 因素身份验证。

我认为 PWA 可以访问主机电话号码的方式是当用户从手机的主屏幕启动应用程序时。

这有可能吗？不幸的是，Dan 的这个很好的回答没有涵盖这个问题： Progressive Web Apps has vs. native apps and there is what features do in Android

我正在通过构建演示来研究 AWS Cognito。现在我可以设置用户 MFA 首选项以启用 SMS 和/或 TOTP，并将其中之一设置为首选 MFA 类型。然后，下次用户进行身份验证时，将根据首选的 MFA 类型向用户发送 SMS 或 TOTP 验证码。

我的问题是，如果用户想在初始密码验证之后但在 MFA 响应之前切换 MFA 类型怎么办？例如，用户可能在他的手机以外的其他设备上拥有 TOTP。用户将 SMS 设置为首选 MFA 类型，但在发送密码并被要求提供 SMS 验证码后，他意识到他没有手机，但 TOTP 设备可用。用户此时如何切换到 TOTP？或者，如果用户偏好是 TOTP，但他想在相同的情况下切换到 SMS？调用什么API？

我找不到从文档中调用的 API 方法。也许这只能通过 lambda 触发器来实现？在我看来，这是一种相当普遍的情况，应该提供一个示例/API 方法。

此致，

必应

我在页面上有自定义企业登录并启用了多因素身份验证的 AAD。当登录到在此 AAD 中注册的任何应用程序时，将强制执行 MFA。现在，即使有人将此 AAD 中的帐户作为访客添加到某个外部 AAD，我也想强制执行 MFA。

但是，当我从以前的 AAD（启用 MFA）创建新 AAD 并添加来宾用户时，不会强制执行 MFA。 例如，我创建连接到这个新创建的 AAD 的 VSTS，使用我的公司帐户（这里是访客）登录，我转到我们的自定义 ESO，但我登录时没有 MFA。

现在，问题出在哪里？在父 AAD 中还是在新创建的 AAD 中？

我在 Azure 云中的 VM 上运行了 MFA 服务器。MFA 服务器使用 AD 作为后端。我正在使用 MFA 内置半径。

当我连接到虚拟机时，我使用 NTradPing 在 LAN IP 10.0.0.6 上测试了半径服务器，它运行良好我连接到半径服务器，它向我发送了一个电话我授权它并检查后端以确保我的凭据是好的。

我的虚拟机也有一个公共 IP，我已经关闭了虚拟机上的防火墙，并允许在虚拟机的网络安全组中打开端口 1812。

当我的笔记本电脑在公共 IP 上使用 nmap 时，它说端口是打开的：

$ sudo nmap -Pn -sU -p 1812 'ip 已删除'

在 2018 年 7 月 11 日 09:22开始 Nmap 6.40 ( http://nmap.org ) CDT Nmap 扫描报告“ip 已删除”主机已启动。端口状态
服务 1812/udp 打开|过滤半径

Nmap 完成：在 2.07 秒内扫描了 1 个 IP 地址（1 个主机启动）

当我运行 radtest（linux 命令行）时，我没有得到回复，也没有电话打到我的手机。

有任何想法吗？

PS-我还在 MFA/Radius 服务器上创建了具有正确 IP 的客户端。

我们在 Azure AD 中启用了多重身份验证 (MFA)。当用户访问受保护的资源（网站）时，这非常好。但是，在尝试实现包含自动化集成/验收测试的 CI 管道时会出现问题。为了解决这个问题，我们目前正在使用授权代码流来使用应用程序密钥对应用程序进行身份验证。

但是，Web 应用程序支持基于角色的安全性，并根据用户的角色启用/禁用各种功能。这很容易手动测试，因为我们可以使用与不同角色关联的测试帐户登录应用程序。因为我们必须在自动化测试中使用授权代码流来规避 MFA，所以我们无法测试应用程序的安全方面（除了需要经过身份验证的用户）。

有没有办法让这个工作，所以我们得到一个访问令牌，其中包含基于我们正在测试的特定角色的声明，就像我们以用户身份登录一样？

我的问题是是否可以对混合 Azure AD 加入域配置强制进行多重身份验证？用例：例如，我的一位员工在机场的酒吧，他将通过未注册的设备连接到 azure AD 域，他使用的是 azure AD 受信任的凭据进行连接。在这种情况下，我想强制进行多因素身份验证。

谢谢你。亲切的问候维托里奥

我使用 JavaScript AWS SDK 进行 MFA 设置并且有 2 个问题：首先，我更新电话号码（phone_number 属性与 updateUserAttributes 方法）。

它更新但返回空对象而不是（根据文档）：

其次，我正在尝试getAttributeVerificationCode使用以下有效负载向用户发送验证码：

我得到

作为错误。有任何想法吗？

我正在研究以下内容。我的账户中有多个 AWS 用户。一些用户具有控制台访问权限和编程访问权限。所有用户都附加了强制使用 MFA 的策略。对于想要以编程方式访问 AWS 的用户来说，这是一个问题。对于正常访问，我知道他们可以在 CLI 中添加令牌。但我遇到的问题是，当我们从其中一个帐户运行自动流程时。您不能只在代码中添加 MFA 令牌，因为令牌会更改，但强制 MFA 策略会阻止访问导致错误的 AWS。

我现在唯一可行的解​​决方案是使用单独的用户进行控制台访问和编程访问，并且只对控制台访问用户强制执行 MFA。但这是一个愚蠢的解决方案，需要人们管理单独的用户帐户。

有人有更好的解决方案吗？我尝试更改强制 MFA 策略，因此它只需要 MFA 与控制台访问一起使用，或者它需要连接的 MFA 设备，而不是 MFA 登录。但这没有用。

抱歉，如果有任何不清楚的地方，英语显然不是我的第一语言，如果您需要更多详细信息，请询问。

提前致谢！

我需要在我的应用程序中通过 azure ad 进行身份验证。我找到了这个示例代码：https ://github.com/Azure-Samples/active-directory-java-native-headless但我的 azure 配置了 MFA，我收到此错误：

现在我不确定如何向我的应用程序提供验证码。有没有人有任何示例代码，wiki 如何将它与 MFA 一起使用？