Office 365身份认证--深度解析(二)
上一章谈到的认证方式,最后的表格里忘记说明了灾备的情况,也就是说如果PTA+SSSO失效时,可以用密码哈希来访问Office 365,但是这需要跑一个PowerShell命令来做切换。
从ADFS迁移到PHS(密码哈希)或者PTA的流程如下:
另外,如果有使用自定义认证申明,那么需要把这些声明转换为Azuer AD的有条件访问策略。
接下来我们看一下“新式身份认证”(modern authentication),认证的流程图如下:
图片来源–https://www.ucprimer.com/tech-blog/modern-authentication-with-polycom-vvx-phones-using-adfs
这种认证方式使用的时新的协议,比如OAuth(并不是微软自己的协议)和Open ID Connect
- 用户登录Azure AD,提供用户名和密码
- SaaS(Exchange Online, SharePoint Online或者其他自己企业集成到公司的App)返回授权码(authorization code)。
这个授权码并不是给到用户,而是给到特定的SaaS Apps,让它们有权限去访问客户的资料,比如Outlook拿到授权码可以访问用户的邮箱 - Azure AD会根据这个授权码返回两个令牌:访问令牌和刷新令牌
- 用户使用访问令牌去访问需要的服务,比如SharePoint Online
- 一段时间后,用户如果还需要访问SharePoint Online,SharePoint Online回去检查这个访问令牌是否过期(注:访问令牌的有效期只有1个小时)
- 如果已经过期,那么用户需要向Azure AD获取一个新的访问令牌,但是这次要令牌时不需要认证的(输入用户名密码),除非
a. 密码过期
b. 账户被删
c. 公司部署了有条件访问策略
d. 等等等
更新令牌的有效期比较长,用户再次去找Azure AD获取令牌的时候,就可以提供这个刷新令牌,Azure AD会看用户的属性是否有变化,比如上面提到的3点,如果没有变化就直接颁发访问令牌
可以通过下表来更好的理解新式身份验证:
这里就提一个情况,因为访问令牌的有效期时1个小时,所以如果有用户离职,他的账户被删掉了,但是1个小时内,他/她仍然是可以访问服务的。
那么更新令牌的有效期是如何工作的?比如是上面写的90天,如果用户现在把电脑关机,然后第二天开机,更新令牌就从关机当日的89天,又变为90天了。所以如果用户没有出现去休个三个月的长假的情况(或者上面提到的密码过期等情况)那么更新令牌的有效期其实是无限的。更新令牌也是针对每个服务的,Exchange Online有自己的更新令牌,Teams也有自己的更新令牌。
现在来看看这个主更新令牌是什么。这个是针对Azure AD混合部署加入的设备,或者注册在Azure AD的设备。也就是说如果我在Azure AD里把这台电脑注册了(Win10以后的机器),那么Azure AD会为设备颁发一个主更新令牌。
有了这个主更新令牌,就不用每个服务都保留一个更新令牌了,但是每个服务还是有各自的访问令牌的。
这个好处是显而易见的,之前提到了访问每个服务都需要访问令牌,也就是都要输入一遍用户名密码,但是有了这个主更新令牌就只需要输入一次用户名密码(有点儿类似ADFS的感觉)。
另外一种Azure 支持的认证方式 SAML/WS-FED Federated。这种认证方式一边适用于位于Office 365里的其他App,比如SalesForce,Box(与Azure AD集成的App,这些App有些支持OAuth,有些不支持)
这里没有访问令牌和更新令牌的概念:
图片来源:https://www.ibm.com/support/knowledgecenter/en/SSCT62/com.ibm.iamservice.doc/concepts/c_azure_ad.html
流程:
- 用户访问服务
- 重定向给Azure AD,因为是这个App是Azure AD集成的
- Azure AD认证用户,并颁发SAML令牌(SAMK就是一个.xml文件,包含用户信息和一些声明,比如邮箱,部门等等)
- 这个令牌也是由Azure AD的签名证书签名的
- App会检查令牌是否是由有信任机构签名和颁发的
- 如果是,允许用户访问资源
那么在认证后,App会给用户一个cookie,除非cookie过期,在此之前用户再次访问无需认证。所以如果你清楚预览器缓存,历史记录等等以后,再次访问的话就需要认证了。
Office 365身份认证--深度解析(二)相关推荐
- Office 365身份认证--深度解析(一)
微软Office 365现在支持的认证方式,正准确的说是Azure Active Directory认证方式有下列两大块: 1.云端认证 a.纯云用户的云端认证(本文不讨论,因为也太多好讨论的) b. ...
- Office 365身份认证管理-安装并配置活动目录同步
首先以管理员身份登录office365管理中心 在用户和组中,点击设置活动目录同步 点击激活同步 确认激活 提示激活同步需要最多24小时 点击并下载同步工具 安装同步工具 同意安装许可 配置安装目录 ...
- Office 365身份认证管理-添加并验证联合认证域
首先需要安装MicrosoftOnlineServicesSign-inAssistant 接受许可并安装 安装完成 接着安装WindowsAzureActiveDirectoryModuleforW ...
- Office 365 身份验证和单一登录部署(4)
配置本地和Office 365联合信任 建议将DirSync tool和Windows Azure Active Directory 模块安装在ADFS服务器上,这样就不用去设置ADFS contex ...
- Microsoft Graph for Office 365 - 身份验证路线图和访问令牌
博客地址:http://blog.csdn.net/FoxDave 本篇我们介绍并展望Microsoft Graph的身份验证状况,特别是获取访问令牌的部分. 任何对Microsoft Graph的请 ...
- SVO深度解析(二)之跟踪部分
本篇博客总结了SVO的前端跟踪部分 转载请说明出处: http://blog.csdn.net/zhubaohua_bupt/article/details/74910568 2 跟踪部分 跟踪部分主 ...
- HashMap深度解析(二)
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/16890151,转载请注明. 上一篇比较深入的分析了Hash ...
- 【身份认证与控制二】分布式session共享(序列化问题)
在首次获取session后,将sessionid作为键将对应session域信息序列化后保存到redis数据库内 需要获取session域信息时,拿着request携带的cookie中的session ...
- 使用Office 365前,企业必须要知道的10件事
目前的市场上充斥着很多关于微软Office 365的炒作,相信厂商.客户或者企业的都有自己不同的考虑.Office 365是微软云版本的Office,用户可以通过互联网创建一个帐户,付款.下载应用安装 ...
最新文章
- 了解一下MongoDB中的写关注(write concern)
- html设置团偏跟着移动,雷阵雨云团向东偏南移动,北京两地将有强降雨+7级大风+冰雹!...
- php使用fopen乱码,php下fopen中文文件名乱码怎么办?
- linux ftp下载文件_Linux系统中10个使用Wget命令下载文件示例
- python 追加到字典_使用Python读取,写入和解析JSON
- 信号与系统 chapter8 LTI连续系统的描述
- Vue之组件之间的数据传递
- mysql空间是什么格式_MySQL数据类型 - 空间数据类型 (6)
- Freeswitch NAT问题
- Spring中使用的九种设计模式
- html页面改成wap页面,wap网页怎么制作 这五大常见问题你要了解一下了!
- 2021年中国鱼油发展现状及进出口状况分析:我国鱼油需求进一步扩大 [图]
- 聊聊激光雷达原理之i-TOF
- 如何用python制作动画电影_动画电影是如何制作的?
- python m3u8_python 实践应用(一)解析M3U8
- 2.1.1.15使用WIFI网卡1_准备工作及配置内核
- 安卓修改Airpods的双击功能,改“播放暂停”————下一首
- 这个屡获大奖的Firefox浏览器又推出新版本啦,完全免费
- JS将数字金额转换为大写人民币汉字
- html网页标签用法