我有一个关于Azure AD和多因素身份验证(MFA)的令牌的问题。
因此,我已经设法研究了当代币被发送给启用和不启用MFA的用户时会发生什么。
我观察到,在令牌的有效负载中,:"amr": []标记中有一个额外的声明。默认情况下,该对象中有一个"pwd",但MFA也有一个名为"MFA"的声明。
所以现在我知道令牌会根据启用的选项进行修改。
是否有其他声明或机制可以获得令牌颁发给的设备的特定ID。通过Azure AD中的"Workplace Join"或通过Microsoft Authenticator应用程序可能与其管理相关的设备ID?
是否有与论坛和文档中不断讨论的应用程序通行证相关的单独令牌正在发送?
--------------------------更新-------------------------------
好的,所以读取应用程序密码,它基本上被用作验证多因素身份验证的另一种形式。我想它既存储在Azure AD上,也存储在身份验证应用程序内的手机上。
那么另一个问题是,是否可以从代码中访问此密码?
Azure AD发布的id_token中没有关于设备信息的声明。您可以从以下链接引用id_token:中的所有声明
Azure AD令牌引用
Azure Active Directory v2.0令牌引用
有可能通过代码访问此密码吗?
据我所知,没有像Azure Graph REST这样的API,我们可以检索密码。如果你对MFA有任何建议,你可以从这里的链接提交。