将MFA硬件令牌与Identity Framework经验结合使用

Question

我目前正在将基于电话的MFA与通过Identity Framework Experience创建的自定义流程一起使用。我将如何扩展它以使用硬件令牌或基于应用程序的身份验证器，例如Google或Microsoft身份验证器。

Answer 1

您可以使用Hardware OATH tokens in Azure MFA

扩展MFA。

随着Microsoft预览具有Azure多因素身份验证的硬件OATH令牌。

要求：

  

以下是完成此configuration的先决条件：

     

  

• Azure AD Premium P1或P2许可证

  

• Token2硬件令牌

  
• 令牌设备的CSV文件。您将收到一封包含CSV的电子邮件，确认您的送达*
  

CSV设备

由于我现在没有设备，这就是为什么我使用虚拟设备模拟器的原因，请参考here

您必须使用此设备创建机密。秘密是上载到Azure AD所必需的，并且是具有六列的CSV文件形式所必需的：

秘密如下：

此CSV文件必须包含以下信息：

  

upn，序列号，秘密密钥，时间间隔，制造商，型号

应与天蓝色门户网站相匹配，如下所示：

  

确保第一列中的每个UPN与您要发布的设备匹配   给用户，然后将CSV文件上传到Azure AD。

     

这是通过 Azure门户> Azure Active Directory左侧菜单>完成的   MFA（在“安全性”区域中）> OAUTH令牌（在“设置”区域中）

上传CSV

一旦您从具有given above

的给定仿真器创建了csv文件，

您必须在Azure门户上上传文件。

  

CSV格式

     

upn，序列号，密钥，时间间隔，制造商，型号   gulnara @ token2.onmicrosoft.com，60234567,1234567890abcdef1234567890abcdef，30，Token2，c101

     

注意：请确保您在CSV文件中包含标题行，如上所示。另外，请不要在Excel中使用CSV文件编辑   文本编辑器（记事本）代替

点击上传并浏览您的CSV文件。只要没有错误，它将正常上传。错误显示在通知区域中。上传完成后，单击刷新以查看导入的硬件令牌。如果在30天内创建了用户，则分配给不存在的用户的令牌将在创建用户后出现

然后，您只需单击“激活”即可激活硬件令牌

请参见下面的屏幕截图

一旦您很快激活了验证码，提示如下：

一旦激活OATH令牌并将其设置为默认MFA方法，用户即可使用它登录。如下所示

  

请注意，该登录页面仍会询问“身份验证器应用”   登录页面上的代码，但由硬件令牌生成的OTP   肯定会被接受，没有任何问题。

现在输入来自硬件或您的emulator的代码。令牌每30秒更改一次，并且在设备上显示令牌的任一时间短暂有效。

查看屏幕截图：

  

对于大型组织，他们还可以在以下位置设置其他MFA方法   除了硬件令牌。这样可以确保用户仍然可以登录   万一硬件令牌丢失或损坏。额外的MFA   用户可以配置短信或移动应用等因素   放在this page上。

像下面这样：

如果您需要更多信息，可以参考here

Microsoft参考检查here

硬件令牌设备信息请参见here