用Azure AD 实现Web 应用身份认证的Multi-Factor Authentication(MFA)

最近客户有个需求,希望把面向public的Web应用中的终端用户数据库由Azure AD来实现,同时希望可以用MFA来实现用户身份认证。这个想法非常好,通过使用Azure的managed service AAD,耗时耗力的数据库运维工作由Azure来完成, 安全管控也同样由Azure完成,开发只要在代码中调用相应的AAD SDK并做相应配置就可以实现集成。 可是印象中Azure中国是只支持在portal登录时候的多重身份验证(MFA)。那么问题来了,客户自己开发的应用能不能用到这个服务呢?比方说,一个外卖app的用户登录app时候能不能也在MFA保护之下?三个team的小伙伴一起做research,最后确认Azure中国是支持对和AAD集成的应用提供MFA保障。考虑到客户都是Java技术栈的,这里Java sample code演示用Azure AD(AAD) 实现Web 应用身份认证的Multi-Factor Authentication(MFA)的过程。整个流程分为三部分:

  • Web应用和AAD集成
  • 配置MFA
Note: 关于Oauth2.0和OpenID Connect的授权鉴权流程,可以参考以下link: https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-protocols-openid-connect-code 
 
Web应用和AAD集成
 
  • AAD的配置
   首先我们需要一个AAD的管理员账户并且登录Azure Portal,在左边的服务菜单栏选定 “Azure Active Directory”。
 
  接下来在AAD注册我们的Web应用.这是一个部署在本地电脑上的Web应用,登录url是http://localhost:8080/adal4jsample/。 点击“新应用程序注册”,输入以下信息并点击创建
 
 
 
  创建成功后需要把注册好的的应用程序 ID记录下来,在接下来的应用程序的配置里需要使用这个ID,另外“需要使用用户分配”这个选项记得要选“是”
 
  此外,还需要设置 回复url,这个url也可以由Web应用的开发提供
 
还需要配置启用访问权限
 
最后要配置一个秘钥 (添加秘钥的时候必须记录下秘钥值,不然之后再回到页面秘钥值就被隐藏起来)
 

 

对了,还需要记下订阅的tenant id。这个大家用powershell或者azure cli登录一下就知道了

 

  • Web应用的配置
   集成AAD的代码(示范代码可以从以下url下载 https://github.com/Azure-Samples/active-directory-java-webapp-openidconnect//archive/complete.zip)使用了Java 库 ADAL4J,这个库用来实现发送SignIn/SignOut的request,管理用户 session,获取用户信息,源代码可以https://github.com/AzureAD/azure-activedirectory-library-for-java获取。
 
        在这个示范代码里所需的改动如下:
 
  1. 在\src\main\webapp\WEB-INF\web.xml里修改authority(必须如下图所示),tenant (上文提到的tenant id),client_id(上文提到的应用程序ID),secret_key(上文创建的秘钥值)的值 。

改动前:

 

改动后:

 

  2. 在\src\main\java\microsoft\aad\adal4jsample\AadController.java里修改方法 getUsernamesFromGraph

 

  3. 在\src\main\java\microsoft\aad\adal4jsample\BasciFilter.java里把“graph.windows.net”修改为“graph.chinacloudapi.cn”

 

全部完成后打包编译,mvn package ,把war包部署到本机的tomcat,在browser里输入http://localhost:8080/adal4jsample,得到以下页面

点击secure page,页面跳转到中国的Azure AD做身份鉴权,

输入用户名和密码后登陆Web应用的主页如下。

 

 

配置MFA

接下来我们要做的事情是在Azure AD里添加web应用的用户,assign用户到web应用并且开启MFA

 

在注册了Web应用的AAD 目录里添加用户MFAuser

 

选择“Enable Multi-Factor Authentication" 选项,这里我们还会收到一个临时的password

 

进入应用程序页面中我们上文注册的Web 应用,把新创建的用户assign给Web应用

 

打开浏览器,输入http://localhost:8080/adal4jsample/,页面跳转到中国AAD做身份认证,输入新建的用户名和临时密码,页面显示要求配置MFA

 

AAD MFA可以配置电话,短信,移动device等多种选项,我们选择Authentication Phone和Send me a code by text message

之后,手机会收到一个来自国外的短消息,用里面的code就可以完成最后的verify步骤

 

重新打开浏览器,输入http://localhost:8080/adal4jsample/,页面跳转到中国AAD做身份认证,这次只需要给出用户名,手机会收到验证码

 

输入验证码后,身份验证成功,登陆系统正常

 

 
代码化的AAD用户和MFA配置
 
既然AAD被当做一个Web应用的终端用户数据库,那用户数据的添加,删除以及MFA的配置这些task需要有一个编程接口来实现
小伙伴试验了一下,目前只找到了powershell的实现:(。
 
eg. Import MSONLINE V1的模块(https://docs.microsoft.com/en-us/powershell/module/msonline/?view=azureadps-1.0)即可实现。代码如下
Import-Module MSOnline 
$username=’xxxxxx’ 
$password=’yyyyyyyy’ 
$securepassword=Convertto-SecureString –String $password –AsPlainText –force 
$credentials=New-object System.Management.Automation.PSCredential $username,$securepassword 
Connect-MsolService –Credential $credentials 
$users = Get-msoluser -All | where {$_.UserPrincipalName -like '*zzzzzz'} 
$mfausers = $users | select DisplayName,@{N='Email';E={$_.UserPrincipalName}},@{N='StrongAuthenticationRequirements';E={($_.StrongAuthenticationRequirements.State)}} | Sort-Object StrongAuthenticationRequirements 
$nostrong = $mfausers | Where-Object StrongAuthenticationRequirements -like '' | Select-Object DisplayName,Email,StrongAuthenticationRequirements 
$auth = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement 
$auth.RelyingParty = "*" 
$auth.State = "Enabled" 
$auth.RememberDevicesNotIssuedBefore = (Get-Date) 
$nostrong | Foreach {Set-MsolUser -UserPrincipalName $_.Email -StrongAuthenticationRequirements $auth}

 

 最后提醒一下,电话和短信平台都在海外,所以都是通话和短消息英语

 
 
       

 

posted @ 2017-12-28 18:58 MeowMeow 阅读(...) 评论(...) 编辑 收藏