Обход MFA для мультитенантного приложения Azure с использованием Graph API для доступа к партнерским арендаторам - PullRequest
Новая
       95

Обход MFA для мультитенантного приложения Azure с использованием Graph API для доступа к партнерским арендаторам

0 голосов
/ 13 марта 2020

Мы являемся MSP, который управляет нашими клиентами по аренде Office 365.

У нас есть портал, в который мы подключаемся с использованием библиотеки аутентификации Microsoft (MSAL. js) и получаем токен, аутентифицирующийся по приложению, успешно .

Поскольку у нас есть установленные «Отношения» с этими клиентами, мы можем управлять ими с разрешениями глобального администратора, используя наши собственные учетные данные (делегированные разрешения). Структура выглядит примерно так:

  1. Наш Арендатор
    1. Клиент 1
    2. Клиент 2

Один раз Зарегистрировавшись на нашем портале, у нас есть массив идентификаторов арендаторов для Клиента 1 и Клиента 2. Мы используем одну и ту же MSAL. js для подключения к их арендатору, указав идентификатор приложения и полномочия https://login.microsoftonline.com/{tenantId}

Аутентификация прошла успешно, и мы можем использовать Graph API для сбора данных ie, https://graph.microsoft.com/v1.0/organization

Мы можем запускать это неограниченное количество раз, когда заходим на наш портал, и он будет рекурсивно проходить через каждого арендатора и успешно получить данные.

Как только мы выйдем из портала и вернемся, у нас появится следующая ошибка:

AADSTS50076: Из-за изменения конфигурации, сделанного вашим администратором, или потому что вы переехали в другое место, вы должны использовать многофакторную аутентификацию для доступа к «00000003-0000-0000-c000-000000000000».

Многофакторная функция появляется на моем телефоне для каждого клиента, о После того, как это снова разрешено, я могу использовать API постоянно, однако при следующем выходе из системы происходит та же проблема.

Я указал Named Locations с IP-адресом нескольких сайтов, я также исключил эти конкретные IP-адреса. для MFA, который работает при простом входе в https://portal.office.com, мы не получаем запрос MFA.

Технические специалисты Office 365 рассмотрели это со мной, но не смогли заставить его работать и направили меня Azure поддержка, требующая дополнительной подписки.

Кто-нибудь знает способ, который мы можем использовать для обхода MFA при подключении к арендаторам с помощью API?

EDIT:

Наш метод получения токена изложен здесь: https://docs.microsoft.com/en-us/graph/auth-cloudsolutionprovider

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...