Azure Active Directory 多因素授权检查答案

【问题标题】：Azure Active Directory multi-factor check for authorizationAzure Active Directory 多因素授权检查
【发布时间】：2019-07-22 17:47:16
【问题描述】：

我们有要求启用 MFA 来检查特定的业务流程。这意味着用户可以在没有 MFA 的情况下登录并做一些事情，但某些流程需要 MFA 验证。

例如，用户可以创建策略，但如果没有 MFA，他不能编辑、删除策略。

我们使用 Azure Active Directory 和 OpenID Connect 进行身份验证/授权。

我已经检查了 Graph API 中是否有任何用于此类事情的选项，但没有找到类似的东西。

您能否就实施此类要求的可能选项提出建议或建议？

【问题讨论】：

我在这里的回答可能对stackoverflow.com/a/51824130/1658906有帮助。您可以要求 MFA。然后您可以检查它包含的令牌，例如"amr":["pwd", "mfa"]
@JoeCai，感谢您的帮助。我们可以关闭这个话题，你的建议看起来是我能找到的最好的了

标签： azure azure-active-directory multi-factor-authentication

【解决方案1】：

正如junnas所说，将amr_values=ngcmfa添加到force MFA的授权URL，然后解码将包含"amr": ["pwd","mfa"]的令牌

https://login.microsoftonline.com/common/oauth2/authorize?
client_id=xxxxxxxxxxxxxxxxxxx
&response_type=id_token
&redirect_uri=https://localhost:123
&response_mode=fragment
&scope=https://graph.microsoft.com/v1.0/me
&nonce=7362CAEA-9CA5-4B43-9BA3-34D7C303EBA7
&amr_values=ngcmfa

【讨论】：