azure - 使用 AAD 的 ROPC 流程的用户登录
问题描述
将 ROPC 流与 AAD 一起使用时,受邀用户是否共享他必须在其他 AAD 租户\MS 帐户上使用的相同凭据(用户名、密码)。
我看到 ROPC 不是推荐的流程,因为我们的客户端不应该处理凭据。但只是想知道我们在为网络钓鱼站点培训用户和失去一些重要功能(如 MFA 等)之外还有什么妥协。
https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-oauth-ropc
e. g 如果我在父 Azure 目录 (A) 中有我的帐户,并且在 Azure 目录 (B) 中邀请我来宾\成员。然后对于企业 SPA 应用程序(无论它属于哪个目录),使用 ROPC 流程的用户将使用相同的用户名、密码登录到应用程序。如果凭据被黑客入侵,这将危及 Azure 帐户。那么当我们邀请用户时,有没有办法让他们不应该与现有的 Azure 目录(即 A 或 B)相关联。
解决方案
那么当我们邀请用户时,有没有办法让他们不应该与现有的 Azure 目录(即 A 或 B)相关联?
简而言之,不。
当您选择 ROPC 流程时,意味着您需要承担风险。无论您是在自己的租户中还是在其他租户中使用 ROPC 流,您的凭据都有泄漏的风险。
因此,如果您担心这一点,选择替代身份验证流程是您的首选。
我假设您根本不想交互式登录,那么您可以考虑客户端凭据流,它可以轻松访问租户 A 和 B 中的数据。
推荐阅读
- php - 基于每个域用户的 PHP 配置在 fastcgi apache 服务器运行时不起作用
- javascript - 将键转换为大写
- wpf - Wpf MVVM 和编辑 DatagridCell
- sql-server - XML 路径/资料组合中的对象名称无效
- mysql - 选择所有出现多次的行 - 在同一天
- android - 将 Android Studio 项目添加到新的 git 存储库
- javascript - 预期有一个匹配条件的请求
- amazon-web-services - S3 - 撤销拥有对象的“full_control”权限
- r - SLES12.3上的离线r-base安装
- vb.net - 用鼠标点击和键盘UP和DOWN VB.NET选择listview的项目