MS OAuth 2.0 не работает для многофакторной аутентификации

Question

Мы используем следующий URL для генерации кода с использованием OAuth 2.0

https://login.microsoftonline.com/common/oauth2/authorize

Когда мы пытаемся сгенерировать токен обновления и доступа из кода, используя этот URL:

https://login.microsoftonline.com/common/oauth2/token

Мы получаем следующее сообщение об ошибке

Из-за изменения конфигурации, сделанного вашим администратором, или из-за вы переехали на новое место, вы должны использовать многофакторную аутентификацию для доступа '00000003-0000-0000-c000-000000000000.

Поток OAuth работает, когда код генерируется в наших настольных браузерах. Это сообщение об ошибке выдается только при создании кода авторизации в мобильных браузерах.

Администратор Azure AD разрешил всем пользователям разрешать мобильный вход.

Answer 1

Я видел это сообщение об ошибке до получения кода авторизации. После завершения проверки подлинности и получения кода авторизации Azure должен использовать код авторизации для немедленного создания токенов доступа / обновления.

Вы видели это сообщение об ошибке до получения кода авторизации? Если это так, вы должны пройти этап MFA, и вы сможете успешно получить токены.

Answer 2

Если вы получили эту ошибку, вы можете перенаправить пользователя для повторной аутентификации с помощью amr_values=mfa. Это заставляет МИД иметь место.

Это, честно говоря, похоже на ошибку в AAD, если пользователь смог аутентифицировать приложение, оно должно сразу же получить токен.