Azure AD B2C связывает пользовательский поток с приложением один-к-одному

Question

При изучении вопроса о том, как требовать многофакторную аутентификацию для конкретного приложения, я столкнулся с этой проблемой:

• В Azure AD B2C можно создавать пользовательские потоки (политики), для которых требуется либо MFA, либоили нет
• Можно использовать любой пользовательский поток в любом приложении.Выбор пользовательского потока выполняется на стороне клиента в предоставленных примерах, поэтому было бы относительно легко обойти требование MFA, просто используя подходящий пользовательский поток.Это можно угадать или найти в другом приложении.

Есть ли способ требовать, чтобы приложение использовало определенный поток пользователя или ограничивало поток пользователя для использования с конкретными приложениями?

Дополнительная информация:

• Использование определенного пользовательского потока в приложении: https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-tutorials-spa

• Кодпример: https://github.com/Azure-Samples/active-directory-b2c-javascript-msal-singlepageapp

• Пользовательские потоки в Azure B2C: https://docs.microsoft.com/en-ca/azure/active-directory-b2c/active-directory-b2c-reference-policies

Answer 1

В Azure AD B2C вы не можете ограничить приложение потоком или наоборот, однако данное приложение может гарантировать выполнение определенного потока, проверяя утверждение tfp в маркере идентификатора., который ему выдан.

Заявка tfp установлена ​​на имя политики (например, b2c_1_signupsignin1), которая была выполнена для получения токена ID.

Answer 2

Если кому-то это нужно сегодня, это достигается с помощью пользовательских политик путем переопределения технического профиля JwtIssuer и добавления элемента метаданных для "IssuanceClaimPattern" .