我有一个API(不在Azure中),其中某些资源仅需要SFA,而某些则需要MFA。 使用来自Azure B2C的访问令牌,是否可以对此进行验证,或者我是否需要获取ID令牌? 另外,如果用户是SFA但端点需要MFA,则正确的响应是什么?
我最初的想法是使sfa和mfa成为作用域,然后为我需要的作用域请求访问令牌,但是访问令牌是基于应用程序而不是基于用户授予的,不是吗?能够要求特定范围的访问令牌是很好的,该范围链接到身份验证策略,然后仅当用户通过该级别的身份验证时才返回(如果未通过,则通过整个过程进行处理)
谢谢
答案 0 :(得分:0)
您可以创建两个策略,一个带有MFA,另一个不带有。您可以在这些策略之间启用SSO。需要MFA的API将与MFA一起使用该政策。
如果用户使用SFA策略登录,并且稍后尝试访问MFA API,则该用户将被阻止(因为MFA策略不会进行身份验证)。
API应该使用iss和tfp声明来验证是否使用了正确的策略。