Azure Active Directory MFA

Question

我们的客户使用 Azure AD 进行操作，并希望将 Azure AD MFA 集成到我们的 Web 应用程序 (PHP) 中以提高安全性。不使用 Microsoft 身份平台 (SSO) 是否可以实现此目的？我似乎也找不到 Azure AD MFA 的 REST API。我可以使用任何替代选项来实施 MFA？一些建议将受到高度赞赏。谢谢。

Answer 1

如果您尚未在 azure 广告中注册 php 应用程序，如下所示：
快速入门：应用程序注册-常规- Microsoft 身份平台 | Microsoft Docs

在 azuread 中进行应用注册。

1. 将重定向 URI 设置为 https://your.domain.name/oauth.php
2. 复制客户端ID 和租户 ID，粘贴到 config.inc 中的 _OAUTH_TENANTID 和 _OAUTH_CLIENTID 中。
3. 在证书和Secret 页面通过添加新的 Secret 来复制 Secret 值，以后无法访问该 Secret，因此在创建时复制。
4. 将其粘贴到 config.inc 内的 _OAUTH_SECRET 中。确保 _OAUTH_METHOD 包含“秘密”。

您可以在 Katy 的技术博客中查看详细信息。

有关代码配置详细信息，请参阅通过演示站点登录 PHP Azure AD（使用 oAuth）-GitHub 参考。

对于包括多重身份验证**(MFA)**：

• 您可以转到 azure ad >企业应用程序并检查您的应用程序
  刚刚注册并创建了包含 MFA 要求的政策
  它要求用户使用您的方法进行额外的身份验证
  启用短信、电话等

下一步

<图像src="https://i.sstatic.net/q4Uhr.png" alt="在此处输入图像描述">

或者您可以直接进行条件访问并在创建访问策略时选择所需的应用程序。

在条件访问中完成所有设置后，请确保启用策略并保存，以开始使用需要 MFA 的 Azure 广告进行身份验证。

另请检查参考：

1. 使用 Microsoft Graph 通过 PHP 进行 Azure AD 身份验证。 单个 PHP 页面
2. Azure AD 多重身份验证的部署注意事项 | Microsoft Docs
3. 集成 Azure 多网站中的因素身份验证以对其用户进行身份验证 - Thinbug