在网站中集成 Azure 多重身份验证以对其用户进行身份验证

Question

我有一个网站（内置 PHP），网络服务器的操作系统是来自 AWS EC2 的 Linux (Ubuntu)，

我想在网站中集成 Azure MFA 以使用 2FA（2 因素身份验证）对用户进行身份验证，

我使用 Node JS https://github.com/Azure-Samples/active-directory-node-webapp-openidconnect 检查了这段代码

这是一个来自 Azure 的示例应用程序，用户可以使用 Azure 凭据登录示例应用程序，并可以从 Azure 获取配置文件信息，

对我来说效果很好，但是：

1) 需要先在 Active Directory (AD) 中添加用户，所以我可以直接对用户进行身份验证，而无需在 Azure AD 上注册吗？ 另外，我的网站有超过 3000 个活跃用户，我需要全部注册吗？

2) 用户在身份验证过程中在 Microsoft 网站上完全重定向，有什么方法可以不重定向，或者使用一些 UI 的东西（使用弹出窗口）？

任何帮助或建议都会对我有所帮助，

提前致谢， 赫里

Answer 1

1.是否需要先在 Active Directory (AD) 中添加用户？

是的，你是！首先，您需要在 Azure 门户上添加您的用户，然后他们需要进行身份验证，同时他们会尝试访问每个操作中的任何内容。

2。我可以直接对用户进行身份验证，而无需在 Azure AD 上注册吗？

不，你不能！对于身份验证，您需要首先在您的 azure 门户上定义一个用户。

3.我的网站有 3000 多个活跃用户，我需要 全部注册？

由于您的 Web 端有数千名用户，您可以通过批量操作添加他们。 为避免手动注册，您可以使用Azure PowerShell 命令对其进行广告宣传。如果您将所有用户添加到 CSV 文件中，您可以通过以下脚本轻松添加它们：

拥有所有用户 CSV 文件后，您可以运行此 New-AzureADUser 命令，如下格式。

foreach($user in import-csv "E:\userinfo.csv") 
{ 
     Write-Host "Processing item with.. UserName="$user.DisplayName

   # Make use of variables like $user.DisplayName and so on in your commands here..
   # New-AzureADUser -DisplayName $user.DisplayName ... and so on..
}

您可以在参考文档中查看类似的详细信息here

3.身份验证期间用户在 Microsoft 站点上完全重定向 过程，有没有什么方法不用重定向，或者使用一些 UI 东西（使用弹出窗口）？

由于您在此流程中使用OpenIdConnect 协议进行身份验证，因此您无法在身份验证过程中停止 Microsoft 站点上的重定向。但是有办法 使用Resource owner password credentials flow

不建议使用资源所有者密码凭证 在这种情况下流 ROPC。如果用户使用它更像是钓鱼网站 不信任您的网络应用。

资源所有者密码凭证（即用户名和 密码）可以直接用作授权授予来获得 访问令牌。凭证仅应在存在高 资源所有者和客户之间的信任程度（例如， 客户端是设备操作系统的一部分或具有高度特权的 应用程序），并且当其他授权授予类型不是 可用（如授权码）

当我们选择 OAuth 2 授权框架的交互式流程时，会重定向到身份提供者，因为它是这样工作的！

希望它能帮助您解决问题。谢谢！