Azure智能卡身份验证

Question

我试图了解如何在Azure上进行智能卡身份验证。我了解我们需要本地ADFS，但是我正在尝试弄清两件事：

1）：Azure与客户端之间进行了哪些确切的交换？如下所示：

  

获取https://login.microsoftonline.com/ {tenant} / oauth2 / authorize？   client_id = 6731de76-14a6-49ae-97bc-6eba6914391e
  ＆response_type = id_token + code＆redirect_uri = http％3A％2F％2Flocalhost％3a12345   ＆response_mode = form_post＆scope = openid＆resource = https％3A％2F％2Fservice.contoso.com％2F＆state = 12345＆nonce = 678910

2）如何验证智能卡？是质询响应还是证书已验证？如果遇到挑战响应，客户端会生成签名数据，并经过ADFS验证？

Answer 1

  

1）Azure和客户端之间发生了什么确切的交换？

您提到的示例请求是对get access tokens的登录请求，有关Azure和客户端之间的确切交换，只需参考此link。

  

2）如何验证智能卡？是质询响应还是证书已验证？如果遇到挑战响应，客户端会生成签名数据，并经过ADFS验证？

我认为这可能是一个挑战性的响应，客户端将生成经过ADFS验证的签名数据。

您可以参考此article，如联合访问如何与Windows Azure一起使用（第4步）：

  

KDC向客户发出服务票证，其中包含多因素声明（这假定IT策略在桌面登录时强制进行智能卡身份验证，否则， AD FS可以挑战在此Windows期间出示智能卡 Azure管理门户登录顺序）。

     

客户端PC将服务凭单提供给AD FS。 AD FS会验证Kerberos票证并在下一步为Windows Azure AD生成签名的SAML令牌。 AD FS仅在凭据有效的情况下才发送签名的SAML令牌。