我们正在使用带有 的 Azure B2C使用 MFA 重置密码策略 . ADAL 用于身份验证和 Graph API 以创建/更新用户。
当用户调用重置密码策略(通过应用程序上的链接)时,他首先需要提供一个用于发送验证码的电子邮件地址。然后(因为启用了 MFA),如果用户的 中有电话号码认证联系方式 , Azure 可以发送短信或调用此号码以执行第二次身份验证检查。
但是,如果用户的身份验证联系信息中没有电话号码,则 Azure 会要求用户输入电话号码以发送短信/调用该号码。此时,用户可以输入任何数字,因此并没有真正增加一层安全性!
所以我有两个问题:
谢谢 !
最佳答案
截至今天,AD Graph API 不支持以编程方式为 AAD B2C 用户添加 MFA 电话号码。因此,您可能希望在注册期间启用 MFA,以便捕获用户的电话号码并将其存储在目录中,并用于需要 MFA 的后续身份验证。
您看到的情况是用户的电话号码未在目录中注册 MFA。这可能在多种情况下发生:
在所有这些场景中,当用户第一次尝试访问需要 MFA 的应用程序(或其任何部分)并且帐户中不存在电话号码时,Azure AD B2C 将要求用户验证并输入他们的电话号码在帐户上。只有这样,应用程序才会获得 token 。
这并非特定于密码重置,而是针对我上面描述的场景的所有策略。例如,应用程序可以将 MFA 添加到登录策略中,如果记录中没有电话,则在登录期间,将要求用户提供电话号码并进行验证。
关于azure-ad-b2c - Azure B2C - 添加/更新身份验证联系信息,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46463700/