用Azure AD 实现Web 应用身份认证的Multi-Factor Authentication(MFA)

最近客户有个需求，但愿把面向public的Web应用中的终端用户数据库由Azure AD来实现，同时但愿能够用MFA来实现用户身份认证。这个想法很是好，经过使用Azure的managed service AAD，耗时耗力的数据库运维工做由Azure来完成， 安全管控也一样由Azure完成，开发只要在代码中调用相应的AAD SDK并作相应配置就能够实现集成。 但是印象中Azure中国是只支持在portal登陆时候的多重身份验证（MFA）。那么问题来了，客户本身开发的应用能不能用到这个服务呢？比方说，一个外卖app的用户登陆app时候能不能也在MFA保护之下？三个team的小伙伴一块儿作research，最后确认Azure中国是支持对和AAD集成的应用提供MFA保障。考虑到客户都是Java技术栈的，这里Java sample code演示用Azure AD（AAD） 实现Web 应用身份认证的Multi-Factor Authentication(MFA)的过程。整个流程分为三部分：

• Web应用和AAD集成
• 配置MFA

Note： 关于Oauth2.0和OpenID Connect的受权鉴权流程，能够参考如下link： https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-protocols-openid-connect-code 

 

Web应用和AAD集成

 

• AAD的配置

 　　首先咱们须要一个AAD的管理员帐户而且登陆Azure Portal，在左边的服务菜单栏选定 “Azure Active Directory”。

 

　　接下来在AAD注册咱们的Web应用.这是一个部署在本地电脑上的Web应用，登陆url是http://localhost:8080/adal4jsample/。 点击“新应用程序注册”，输入如下信息并点击建立

 

 

 

　　建立成功后须要把注册好的的应用程序 ID记录下来，在接下来的应用程序的配置里须要使用这个ID，另外“须要使用用户分配”这个选项记得要选“是”

 

　　此外，还须要设置 回复url，这个url也能够由Web应用的开发提供

 

还须要配置启用访问权限

 

最后要配置一个秘钥 （添加秘钥的时候必须记录下秘钥值，否则以后再回到页面秘钥值就被隐藏起来）

 

 

对了，还须要记下订阅的tenant id。这个你们用powershell或者azure cli登陆一下就知道了

 

• Web应用的配置

　　 集成AAD的代码（示范代码能够从如下url下载 https://github.com/Azure-Samples/active-directory-java-webapp-openidconnect//archive/complete.zip）使用了Java 库 ADAL4J，这个库用来实现发送SignIn/SignOut的request，管理用户 session，获取用户信息，源代码能够https://github.com/AzureAD/azure-activedirectory-library-for-java获取。

 

        在这个示范代码里所需的改动以下：

 

1. 在\src\main\webapp\WEB-INF\web.xml里修改authority（必须以下图所示）,tenant （上文提到的tenant id）,client_id（上文提到的应用程序ID）,secret_key（上文建立的秘钥值）的值 。

改动前：

 

改动后：

 

　　2. 在\src\main\java\microsoft\aad\adal4jsample\AadController.java里修改方法 getUsernamesFromGraph

 

　　3. 在\src\main\java\microsoft\aad\adal4jsample\BasciFilter.java里把“graph.windows.net”修改成“graph.chinacloudapi.cn”

 

所有完成后打包编译，mvn package ，把war包部署到本机的tomcat，在browser里输入http://localhost:8080/adal4jsample，获得如下页面

点击secure page，页面跳转到中国的Azure AD作身份鉴权，

输入用户名和密码后登录Web应用的主页以下。

 

 

配置MFA

接下来咱们要作的事情是在Azure AD里添加web应用的用户，assign用户到web应用而且开启MFA

 

在注册了Web应用的AAD 目录里添加用户MFAuser

 

选择“Enable Multi-Factor Authentication" 选项，这里咱们还会收到一个临时的password

 

进入应用程序页面中咱们上文注册的Web 应用，把新建立的用户assign给Web应用

 

打开浏览器，输入http://localhost:8080/adal4jsample/，页面跳转到中国AAD作身份认证，输入新建的用户名和临时密码，页面显示要求配置MFA

 

AAD MFA能够配置电话，短信，移动device等多种选项，咱们选择Authentication Phone和Send me a code by text message

以后，手机会收到一个来自国外的短消息，用里面的code就能够完成最后的verify步骤

 

从新打开浏览器，输入http://localhost:8080/adal4jsample/，页面跳转到中国AAD作身份认证，此次只须要给出用户名，手机会收到验证码

 

输入验证码后，身份验证成功，登录系统正常

 

 

代码化的AAD用户和MFA配置

 

既然AAD被当作一个Web应用的终端用户数据库，那用户数据的添加，删除以及MFA的配置这些task须要有一个编程接口来实现

小伙伴试验了一下，目前只找到了powershell的实现：（。

 

eg. Import MSONLINE V1的模块(https://docs.microsoft.com/en-us/powershell/module/msonline/?view=azureadps-1.0)便可实现。代码以下

Import-Module MSOnline 
$username=’xxxxxx’ 
$password=’yyyyyyyy’ 
$securepassword=Convertto-SecureString –String $password –AsPlainText –force 
$credentials=New-object System.Management.Automation.PSCredential $username,$securepassword 
Connect-MsolService –Credential $credentials 
$users = Get-msoluser -All | where {$_.UserPrincipalName -like '*zzzzzz'} 
$mfausers = $users | select DisplayName,@{N='Email';E={$_.UserPrincipalName}},@{N='StrongAuthenticationRequirements';E={($_.StrongAuthenticationRequirements.State)}} | Sort-Object StrongAuthenticationRequirements 
$nostrong = $mfausers | Where-Object StrongAuthenticationRequirements -like '' | Select-Object DisplayName,Email,StrongAuthenticationRequirements 
$auth = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement 
$auth.RelyingParty = "*" 
$auth.State = "Enabled" 
$auth.RememberDevicesNotIssuedBefore = (Get-Date) 
$nostrong | Foreach {Set-MsolUser -UserPrincipalName $_.Email -StrongAuthenticationRequirements $auth}

 

 最后提醒一下，电话和短信平台都在海外，因此都是通话和短消息英语