Microsoft identity platform如何识别用户使用了哪一种身份验证方式

炸天 周 140 信誉分
2024-11-05T09:53:44.5633333+00:00

Microsoft identity platform提供了OIDC和OAuth2的身份验证和授权流,也提供了条件访问身份验证强度的能力,租户可以选择用户可使用或必须使用的验证方式,但我在Microsoft identity platform没有找到有关客户端或者服务端如何知道用户使用的身份验证方式的材料,因此我有以下的问题:

1、Microsoft identity platform提供的OIDC或OAuth2是否支持条件访问身份验证强度能力?

2、OIDC或OAuth2是在客户端还是在服务端校验用户的身份验证方式?

3、OIDC或OAuth2如何校验用户的身份验证方式,我没有找到相关的资料,在访问令牌2.0或身份令牌2.0中我没有找到相关的描述,请问能否提供资料链接?

Microsoft identity platform平台文档:https://learn.microsoft.com/zh-cn/entra/identity-platform/v2-protocols-oidc

身份验证强度文档:https://learn.microsoft.com/zh-cn/entra/identity/authentication/concept-authentication-strengths

条件访问文档:https://learn.microsoft.com/zh-cn/entra/identity/conditional-access/policy-admin-phish-resistant-mfa

另外我有了解到Microsoft identity platform的JWT 1.0中带有amr字段,该字段标识令牌使用者的身份验证方法,但我看到该字段仅在 v1.0 令牌中提供,因此我还有以下的问题:

1、amr字段在Microsoft identity platform的认证中是包含在访问令牌还是ID令牌中?

2、目前2.0令牌使用什么方式替换了****amr字段,我在可选的字段列表中也没有发现amr字段,即没有发现如何确认用户做了哪些身份验证方式?

Microsoft Graph
Microsoft Graph
一种 Microsoft 可编程性模型,用于公开 REST API 和客户端库以访问 Microsoft 365 服务上的数据。
56 个问题
0 个注释 无注释
{count} 票

接受的答案
  1. CarlZhao-MSFT 43,411 信誉分
    2024-11-06T10:34:07.1466667+00:00

    Hi @炸天 周

    • Microsoft identity platform提供的OIDC或OAuth2是否支持条件访问身份验证强度能力?

    是的,Microsoft identity platform的OIDC和OAuth2协议支持条件访问身份验证强度能力。管理员可以定义访问资源所需的最小身份验证强度,例如基于用户的登录风险级别或资源的敏感性。

    • OIDC或OAuth2是在客户端还是在服务端校验用户的身份验证方式?

    OIDC和OAuth2的身份验证方式通常在服务端进行校验。客户端会将用户的身份验证请求发送到授权服务器(如Microsoft identity platform),然后由授权服务器验证用户的身份并返回相应的令牌。

    • OIDC或OAuth2如何校验用户的身份验证方式,我没有找到相关的资料,在访问令牌2.0或身份令牌2.0中我没有找到相关的描述,请问能否提供资料链接?

    在OIDC和OAuth2中,身份验证方式的校验主要通过令牌中的 amr 声明(claim)来实现。访问令牌和身份令牌中包含了关于用户身份验证的信息,例如多因素认证(MFA)状态等。你可以在令牌的声明中查找这些信息,以确定用户使用的身份验证方式。

    • amr字段在Microsoft identity platform的认证中是包含在访问令牌还是ID令牌中?

    该字段被包含在访问令牌中。

    • 目前2.0令牌使用什么方式替换了****amr字段,我在可选的字段列表中也没有发现amr字段,即没有发现如何确认用户做了哪些身份验证方式?

    据我所知,早在几年前曾有用户提出过这个问题,不过截至目前微软仍然尚未发布对 2.0 令牌的 amr 字段的替代方案。因此您可能需要在 2.0 令牌中添加一些自定义字段来记录用户的身份验证方式。


    Hope this helps.

    If the reply is helpful, please click Accept Answer and kindly upvote it. If you have additional questions about this answer, please click Comment.

    1 个人认为此答案很有帮助。

0 个其他答案

排序依据: 非常有帮助

你的答案

问题作者可以将答案标记为“接受的答案”,这有助于用户了解已解决作者问题的答案。