我们要求使MFA能够检查特定的业务流程。这意味着用户可以在没有MFA的情况下登录并执行某些操作,但是某些流程将需要MFA验证。
例如,用户可以创建策略,但没有MFA便无法编辑,删除策略。
我们使用Azure Active Directory和OpenID Connect进行身份验证/授权。
我已经检查了Graph API中是否有用于此类事情的选项,但没有找到类似的东西。
请问您是否可以提出建议或建议以实施这些要求?
答案 0 :(得分:0)
正如junnas所说,将amr_values=ngcmfa添加到force MFA的授权URL中,然后解码将包含"amr": ["pwd","mfa"]的令牌
https://login.microsoftonline.com/common/oauth2/authorize?
client_id=xxxxxxxxxxxxxxxxxxx
&response_type=id_token
&redirect_uri=https://localhost:123
&response_mode=fragment
&scope=https://graph.microsoft.com/v1.0/me
&nonce=7362CAEA-9CA5-4B43-9BA3-34D7C303EBA7
&amr_values=ngcmfa