Office 365身份认证--深度解析(二)
上一章談到的認(rèn)證方式,最后的表格里忘記說明了災(zāi)備的情況,也就是說如果PTA+SSSO失效時(shí),可以用密碼哈希來訪問Office 365,但是這需要跑一個(gè)PowerShell命令來做切換。
從ADFS遷移到PHS(密碼哈希)或者PTA的流程如下:
另外,如果有使用自定義認(rèn)證申明,那么需要把這些聲明轉(zhuǎn)換為Azuer AD的有條件訪問策略。
接下來我們看一下“新式身份認(rèn)證”(modern authentication),認(rèn)證的流程圖如下:
圖片來源–https://www.ucprimer.com/tech-blog/modern-authentication-with-polycom-vvx-phones-using-adfs
這種認(rèn)證方式使用的時(shí)新的協(xié)議,比如OAuth(并不是微軟自己的協(xié)議)和Open ID Connect
這個(gè)授權(quán)碼并不是給到用戶,而是給到特定的SaaS Apps,讓它們有權(quán)限去訪問客戶的資料,比如Outlook拿到授權(quán)碼可以訪問用戶的郵箱
a. 密碼過期
b. 賬戶被刪
c. 公司部署了有條件訪問策略
d. 等等等
更新令牌的有效期比較長,用戶再次去找Azure AD獲取令牌的時(shí)候,就可以提供這個(gè)刷新令牌,Azure AD會(huì)看用戶的屬性是否有變化,比如上面提到的3點(diǎn),如果沒有變化就直接頒發(fā)訪問令牌
可以通過下表來更好的理解新式身份驗(yàn)證:
這里就提一個(gè)情況,因?yàn)樵L問令牌的有效期時(shí)1個(gè)小時(shí),所以如果有用戶離職,他的賬戶被刪掉了,但是1個(gè)小時(shí)內(nèi),他/她仍然是可以訪問服務(wù)的。
那么更新令牌的有效期是如何工作的?比如是上面寫的90天,如果用戶現(xiàn)在把電腦關(guān)機(jī),然后第二天開機(jī),更新令牌就從關(guān)機(jī)當(dāng)日的89天,又變?yōu)?0天了。所以如果用戶沒有出現(xiàn)去休個(gè)三個(gè)月的長假的情況(或者上面提到的密碼過期等情況)那么更新令牌的有效期其實(shí)是無限的。更新令牌也是針對(duì)每個(gè)服務(wù)的,Exchange Online有自己的更新令牌,Teams也有自己的更新令牌。
現(xiàn)在來看看這個(gè)主更新令牌是什么。這個(gè)是針對(duì)Azure AD混合部署加入的設(shè)備,或者注冊在Azure AD的設(shè)備。也就是說如果我在Azure AD里把這臺(tái)電腦注冊了(Win10以后的機(jī)器),那么Azure AD會(huì)為設(shè)備頒發(fā)一個(gè)主更新令牌。
有了這個(gè)主更新令牌,就不用每個(gè)服務(wù)都保留一個(gè)更新令牌了,但是每個(gè)服務(wù)還是有各自的訪問令牌的。
這個(gè)好處是顯而易見的,之前提到了訪問每個(gè)服務(wù)都需要訪問令牌,也就是都要輸入一遍用戶名密碼,但是有了這個(gè)主更新令牌就只需要輸入一次用戶名密碼(有點(diǎn)兒類似ADFS的感覺)。
另外一種Azure 支持的認(rèn)證方式 SAML/WS-FED Federated。這種認(rèn)證方式一邊適用于位于Office 365里的其他App,比如SalesForce,Box(與Azure AD集成的App,這些App有些支持OAuth,有些不支持)
這里沒有訪問令牌和更新令牌的概念:
圖片來源:https://www.ibm.com/support/knowledgecenter/en/SSCT62/com.ibm.iamservice.doc/concepts/c_azure_ad.html
流程:
那么在認(rèn)證后,App會(huì)給用戶一個(gè)cookie,除非cookie過期,在此之前用戶再次訪問無需認(rèn)證。所以如果你清楚預(yù)覽器緩存,歷史記錄等等以后,再次訪問的話就需要認(rèn)證了。
總結(jié)
以上是生活随笔為你收集整理的Office 365身份认证--深度解析(二)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: buck电路 dac stm32_BUC
- 下一篇: 低通滤波器和高通滤波器的程序实现原理推导