Одноразовое подтверждение телефона при регистрации

Сегодня политика Azure AD B2C либо «запрашивает и требует MFA», либо «не запрашивает и не требует MFA».

Сегодня есть несколько клиентов Azure AD B2C, которые позволяют входить в систему без MFA, а затем запускать «вход с политикой MFA», когда они пытаются получить доступ к защищенному разделу веб-сайта.

Однако я интерпретирую ваше требование - разрешить некоторым клиентам подписаться на MFA, и как только они это сделают, их учетная запись должна быть доступна только с использованием MFA. Это возможно, но для этого потребуется обходной путь:

1. Добавьте в каталог настраиваемый атрибут, чтобы указать, хочет ли каждый пользователь MFA или не хочет MFA (назовем его «requireMFA»).
2. Создайте две политики в Azure AD B2C «signupsignin_with_mfa», «signupsignin_without_mfa». Обе политики будут настроены так, чтобы возвращать "requireMFA" в качестве утверждения.
3. После того, как пользователи вошли в систему без MFA, вы можете предложить ссылку «Добавить MFA» и отправить их в политику signupsignin_with_mfa, которая требует MFA. На этом этапе Azure AD B2C предложит пользователю ввести второй коэффициент, если он не существует. Если ваше приложение проверяющей стороны получает обратно токен от signupsignin_with_mfa, это означает, что был добавлен второй фактор. Приложение должно вызвать Graph API, чтобы обновить свойство «requireMFA» до TRUE.
4. Теперь, когда пользователь входит в систему с помощью signupsignin_without_mfa, но для параметра requireMFA установлено значение TRUE, ваше приложение знает, что оно должно отправить его в политику signupsignin_with_mfa, прежде чем разрешить доступ.