上一章談到的認證方式，最后的表格里忘記說明了災備的情況，也就是說如果PTA+SSSO失效時，可以用密碼哈希來訪問Office 365，但是這需要跑一個PowerShell命令來做切換。
從ADFS遷移到PHS（密碼哈希）或者PTA的流程如下：

另外，如果有使用自定義認證申明，那么需要把這些聲明轉換為Azuer AD的有條件訪問策略。
接下來我們看一下“新式身份認證”（modern authentication），認證的流程圖如下：

圖片來源–https://www.ucprimer.com/tech-blog/modern-authentication-with-polycom-vvx-phones-using-adfs

這種認證方式使用的時新的協議，比如OAuth（并不是微軟自己的協議）和Open ID Connect

用戶登錄Azure AD，提供用戶名和密碼

SaaS（Exchange Online, SharePoint Online或者其他自己企業集成到公司的App）返回授權碼（authorization code）。
這個授權碼并不是給到用戶，而是給到特定的SaaS Apps，讓它們有權限去訪問客戶的資料，比如Outlook拿到授權碼可以訪問用戶的郵箱

Azure AD會根據這個授權碼返回兩個令牌：訪問令牌和刷新令牌

用戶使用訪問令牌去訪問需要的服務，比如SharePoint Online

一段時間后，用戶如果還需要訪問SharePoint Online，SharePoint Online回去檢查這個訪問令牌是否過期（注：訪問令牌的有效期只有1個小時）

如果已經過期，那么用戶需要向Azure AD獲取一個新的訪問令牌，但是這次要令牌時不需要認證的（輸入用戶名密碼），除非
a. 密碼過期
b. 賬戶被刪
c. 公司部署了有條件訪問策略
d. 等等等
更新令牌的有效期比較長，用戶再次去找Azure AD獲取令牌的時候，就可以提供這個刷新令牌，Azure AD會看用戶的屬性是否有變化，比如上面提到的3點，如果沒有變化就直接頒發訪問令牌
可以通過下表來更好的理解新式身份驗證：

這里就提一個情況，因為訪問令牌的有效期時1個小時，所以如果有用戶離職，他的賬戶被刪掉了，但是1個小時內，他/她仍然是可以訪問服務的。
那么更新令牌的有效期是如何工作的？比如是上面寫的90天，如果用戶現在把電腦關機，然后第二天開機，更新令牌就從關機當日的89天，又變為90天了。所以如果用戶沒有出現去休個三個月的長假的情況（或者上面提到的密碼過期等情況）那么更新令牌的有效期其實是無限的。更新令牌也是針對每個服務的，Exchange Online有自己的更新令牌，Teams也有自己的更新令牌。

現在來看看這個主更新令牌是什么。這個是針對Azure AD混合部署加入的設備，或者注冊在Azure AD的設備。也就是說如果我在Azure AD里把這臺電腦注冊了（Win10以后的機器），那么Azure AD會為設備頒發一個主更新令牌。
有了這個主更新令牌，就不用每個服務都保留一個更新令牌了，但是每個服務還是有各自的訪問令牌的。
這個好處是顯而易見的，之前提到了訪問每個服務都需要訪問令牌，也就是都要輸入一遍用戶名密碼，但是有了這個主更新令牌就只需要輸入一次用戶名密碼（有點兒類似ADFS的感覺）。

另外一種Azure 支持的認證方式 SAML/WS-FED Federated。這種認證方式一邊適用于位于Office 365里的其他App，比如SalesForce，Box（與Azure AD集成的App，這些App有些支持OAuth，有些不支持）
這里沒有訪問令牌和更新令牌的概念：

圖片來源：https://www.ibm.com/support/knowledgecenter/en/SSCT62/com.ibm.iamservice.doc/concepts/c_azure_ad.html

流程：

用戶訪問服務

重定向給Azure AD，因為是這個App是Azure AD集成的

Azure AD認證用戶，并頒發SAML令牌（SAMK就是一個.xml文件，包含用戶信息和一些聲明，比如郵箱，部門等等）

這個令牌也是由Azure AD的簽名證書簽名的

App會檢查令牌是否是由有信任機構簽名和頒發的

如果是，允許用戶訪問資源
那么在認證后，App會給用戶一個cookie，除非cookie過期，在此之前用戶再次訪問無需認證。所以如果你清楚預覽器緩存，歷史記錄等等以后，再次訪問的話就需要認證了。

總結

以上是生活随笔為你收集整理的Office 365身份认证--深度解析（二)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。