我对有关Azure AD和多重身份验证(MFA)的令牌有疑问。
因此,我已设法查看在为具有和未启用MFA的用户发送令牌时会发生什么情况。
我观察到的是,在令牌的有效负载中,"amr": []标记中有一个额外的声明。默认情况下,该对象中有一个“pwd”,但是对于MFA,还有一个名为“mfa”的声明。
所以现在我知道根据启用的选项,令牌会被修改。
是否有其他声明或机制来获取颁发令牌的设备的特定ID。通过Azure AD中的“Workplace Join”或通过Microsoft身份验证器应用程序可能与其重新设置相关的设备ID?
是否有与应用程序通行证相关的单独令牌在论坛和文档中不断讨论?
--------------------------更新-------------------- -------------
好的,读取应用程序密码,它基本上用作验证多因素身份验证的另一种形式。我猜它会存储在Azure AD上,也存储在身份验证应用程序内的手机上。
另一个问题是,是否可以从代码中访问此密码?
答案 0 :(得分:0)
Azure AD发布的id_token中没有关于设备信息的声明。您可以通过以下链接引用id_token中的所有声明:
Azure Active Directory v2.0 tokens reference
是否可以从代码中访问此密码?
据我所知,没有像Azure Graph REST这样的API,我们可以检索密码。如果您对MFA有任何建议,可以通过链接here提交。