Azure B2C 安全 API MFA答案

【问题标题】：Azure B2C secure API MFAAzure B2C 安全 API MFA
【发布时间】：2019-06-23 19:58:39
【问题描述】：

我有一个 API（不在 Azure 中），其中一些资源只需要 SFA，而另一些则需要 MFA。使用 Azure B2C 的访问令牌，是否可以验证这一点，或者我是否需要获取 ID 令牌？如果用户是 SFA 但端点需要 MFA，那么正确的响应是什么？

我最初的想法是让 sfa 和 mfa 成为一个范围，然后为我需要的范围请求访问令牌，但访问令牌是基于应用程序而不是用户授予的，不是吗？能够为特定范围请求访问令牌会很好，该范围链接到身份验证策略，然后仅在用户通过该级别身份验证时才返回（如果不是，则让他们完成整个过程）

谢谢

【问题讨论】：

【解决方案1】：

您可以创建两个策略，一个包含 MFA，一个不包含。您可以在这些策略之间启用 SSO。需要 MFA 的 API 将使用具有 MFA 的策略。

如果用户使用 SFA 策略登录，然后尝试访问 MFA API，则用户将被阻止（因为使用 MFA 策略不会进行身份验证）。

API 应使用 iss 和 tfp 声明来验证是否使用了正确的策略。

【讨论】：