Azure Active Directory B2C с многофакторной проверкой подлинности — запросы для интеграции с веб-сайтом
Я хочу интегрировать многофакторную аутентификацию (MFA) через Azure Active Directory (AD), я проверил его документацию и несколько примеров кода, а затем узнал, что Azure AD B2C имеет некоторые функции, которые соответствуют моим требованиям.
ПРИМЕЧАНИЕ. Мне нужна только функция MFA из Azure AD B2C,
Я попробовал этот пример кода, представленный в официальных документах, https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-tutorials-spa.
Но у меня есть несколько вопросов:
1) Есть ли в Azure B2C какой-либо сервис, который может напрямую предоставлять средства MFA для интеграции без необходимости регистрировать пользователей в Azure AD?
2) Могу ли я в Azure B2C контролировать поток пользователей с помощью информации моего веб-сайта? Так что этот адрес электронной почты и номер телефона будут принадлежать моему веб-сайту во время потока пользователей. (Я спрашиваю об этом, потому что согласно моему плану я собираюсь интегрировать его после входа в систему на своем веб-сайте)
3) В Azure B2C существует 3 типа учетных записей (рабочая учетная запись, гостевой пользователь, потребительский пользователь). Какой тип пользователя наиболее подходит? (Мне нужен только MFA для пользователя, и мне потребуется управлять пользователями через Graph или любой официальный API)
4) Откуда я могу решить, какой тип пользователя будет зарегистрирован? потому что код, который я пробовал, не упоминает о типе пользователя (на самом деле я хочу знать, есть ли какой-либо параметр или опция в пользовательском потоке, который может определить тип пользователя, который будет зарегистрирован через этот поток)
Любая помощь или предложения будут полезны для меня,
Заранее спасибо,
Пока я знаю, что вы добавляете в свое приложение только 1 внешний URL-адрес ответа, который появится в раскрывающемся списке пользовательского потока. В этом аспекте вы не можете, потому что опция сброса пароля отправит вам код на вашу электронную почту, поскольку вы включили «MFA». Вы можете посмотреть здесь docs.microsoft.com/en-us/azure/active-directory-b2c/…
Хм, спасибо, вы правы, мне нужно вручную перенаправить пользователя для сброса пароля, определив ответ из потока Sign in/Sign up. Также, пожалуйста, помогите мне понять, как я могу определить из ответа, какой пользователь был аутентифицирован через Azure MFA, здесь ответ на jwt.ms Ответ, Могу ли я использовать ключ emails для идентификации аутентифицированного пользователя? Это надежно?
А вот и моя главная цель Пожалуйста, нажмите на меня
Я изучаю это. Но если данный ответ был полезен в отношении вашего предыдущего вопроса, вы можете пометить его как ответ, чтобы помочь другим, кроме того, что я также выясняю ваш новый план. Поскольку ваш новый план состоит в том, чтобы долго отвечать в комментариях, я бы посоветовал вам поднять новый вопрос, чтобы ответить подробно, вы знаете, что комментарий имеет ограниченные привязки символов. Спасибо
Вы также можете использовать email его более рекомендуемый и надежный. Я изучаю ваш новый план.
Давайте продолжить обсуждение в чате.
Не могли бы вы взглянуть на stackoverflow.com/q/55626201/11306050
Да, глядя на это. Спасибо
Ответы 1
1. Есть ли в Azure B2C какой-либо сервис, который может напрямую предоставлять MFA возможность интеграции без необходимости регистрировать пользователей в Azure AD?
Да, вы можете запретить новому пользователю подписывать и регистрироваться с помощью MFA. Для этого необходимо включить МИД. Его глобальный МИД для всех. См. снимок экрана ниже.
Note: You can also implement MFA for each individual user.
Смотрите скриншот ниже для Individual MFA
Once you implement MFA you would be prompted to verify your phone number like below
Note:
For Testing MFA Userflow need native application on application drop down
См. снимок экрана ниже
2. Могу ли я в Azure B2C управлять пользовательским потоком с помощью информации о моем Веб-сайт? Так что электронная почта и номер телефона будут принадлежать моему веб-сайту во время поток пользователей. (Я спрашиваю об этом, потому что по моему плану я собираюсь интегрировать его после входа в систему на моем веб-сайте)
Да, вы можете настроить свой поток пользователей. Вы можете добавить новый пользовательский поток в соответствии с вашим.
Для этого выберите All services в верхнем левом углу портала Azure, а затем найдите и выберите Azure AD B2C
Затем в левом меню выберите User flows, а затем выберите New user flow
См. снимок экрана ниже:
3. В Azure B2C существует 3 типа учетных записей (рабочая учетная запись, гостевой пользователь, пользователь-потребитель). Какой тип пользователя наиболее подходит? (Мне нужен только MFA для пользователя, и мне потребуется управлять пользователями через Graph или любой официальный API)
Короче говоря, Work account имеет более привилегированный арендатор B2C, как говорит официальный документ. Поскольку потребительский счет не может получить доступ к некоторым ресурсам на портале. Для доступа к API-интерфейс Microsoft GraphГость есть некоторые ограничения даже на портале Azure.
Note: As per your requirement I would suggest you to go with Work account which has some benefits while you would access Microsoft API
Хотя тип учетной записи в основном зависит от потребностей вашего бизнеса, но Рабочий аккаунт более полезен по сравнению со всеми аспектами.
Скажем, если вы хотите добавить некоторых пользователей, которые уже зарегистрировали какую-либо другую организацию, но вам нужно добавить их в свою конкретную привилегию приложения. Поэтому нужно добавить пользователя в качестве привилегии Guest.
4. Откуда я могу решить, какой тип пользователя будет зарегистрирован?
Сложный вопрос немного сбивает с толку, как я уже говорил ранее, это будет зависеть от потребностей вашего бизнеса. Рабочая учетная запись обычно лучше всего подходит для пользователя-арендатора. Поэтому, когда вы чувствуете себя внутри своего арендатора, если нужно добавить нового пользователя, используйте Work account. Как только вы укажете свою потребность, вам определенно будет легче, какого пользователя вам нужно добавить. До сих пор нет такой ссылки, которая могла бы хорошо объяснить.
Note: You could try adding all the user type to check how the user account behave using portal and accessing resources.
@HerryShawn Взгляните на ответ, если у вас все еще есть путаница, просто дайте мне знать.
Спасибо за ответ, я проверил пользовательский поток, но он не дает возможности предварительно заполнить адрес электронной почты и номер телефона, I am asking about this because I am going to integrate it after login process in my website, поэтому идентификатор электронной почты должен быть автоматически заполнен для текущего пользователя,
@HerryShawn Так что ты хотел сделать? не могли бы вы уточнить? Вы хотели ограничить пользователя перед регистрацией?
да, я хочу ограничить адрес электронной почты и номер телефона пользователей в процессе входа/регистрации,
@HerryShawn Я обновил ответ, пожалуйста, проверьте. Тем не менее, если у вас есть какие-либо вопросы, не стесняйтесь спрашивать. Для пользователей подписать UP регистрация пользователя MFA не является обязательной.
Я создал пользовательский поток для
sign inиsign upи запустил его через портал Azure, нажав «▶ Запустить пользовательский поток», в этом потоке, если я нажму на ссылкуForgot your password?, он перенаправит меня наReply URLс сообщениемThe user has forgotten their password., так что Можно ли перенаправить поток наReset Passwordвсякий раз, когда вы нажимаете наForgot your password??