将 ROPC 流与 AAD 结合使用时,受邀用户是否共享他必须在其他 AAD 租户\MS 帐户上使用的相同凭据(用户名、密码)。
我发现 ROPC 不是推荐的流程,因为我们的客户端不应处理凭据。但只是想知道除了培训网络钓鱼网站用户并失去一些重要功能(例如 MFA 等)之外,我们还损害了什么。
https://learn.microsoft.com/en-us/azure/active-directory/develop/v2-oauth-ropc
e. g 如果我在父 Azure 目录 (A) 中有我的帐户,并且我被邀请在 Azure 目录 (B) 中 guest \成员。然后,对于 Enterprise SPA 应用程序(无论它属于哪个目录),使用 ROPC 流程的用户将使用相同的用户名、密码登录应用程序。如果凭据被黑客攻击,这将危及 Azure 帐户的安全。那么,当我们邀请用户时,有没有办法让他们不与现有的 Azure 目录(即 A 或 B)关联。
最佳答案
So is there a way when we invite user they should not be associated with existing Azure directory (i.e A or B)?
简而言之,不。
当您选择ROPC流程时,就意味着您需要承担风险。无论您在自己的租户还是其他租户中使用 ROPC 流,您的凭据都面临泄露的风险。
因此,如果您担心这一点,选择替代身份验证流程是您的首选。
我假设您根本不想交互登录,那么您可以考虑client credential flow ,可以轻松访问租户A和B中的数据。
关于azure - 用户通过 AAD 的 ROPC 流程登录,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/65811063/