ユーザがマルチファクタ認証を受けた後、デバイスを覚えておくために、Active Directory B2C Webアプリケーションを設定しようとしています。Azure AD B2Cマルチファクタ認証デバイスを記憶する
現在、ユーザーがログインするたびに、ログインしたかどうかに関係なく、MFAを完了するように求められます。
私は、B2C以外のテナントがデバイスの記憶を設定するための設定オプションがあることを知っていますが、私はB2Cテナントでこれを行う方法を理解できませんでした。
2つのサインインポリシーが作成されました。 1つはMFA、もう1つはMFAなし。
最初はMFA以外のサインインポリシーでユーザーをガイドし、自分のサイトにリダイレクトされたときに、ユーザー固有の固有の暗号化された値を持つ一意のユーザー固有のCookieを確認します彼らは過去14日間にMFAを通過したかどうかをシグナリングします。彼らがこのクッキーを持っていない場合、私はMFAサインインポリシーにユーザを渡すことができ、それがMFAの部分にまっすぐにスキップすることが分かった。ユーザーがこの手順を完了すると、成功したMFAを通知するCookieを作成し、14日後に有効期限が切れるように設定します。
もちろん、MFAサインインステップ中にキャンセルを処理する必要があるため、ウェブサイトでユーザーにサインアウトして、別のタブを開いてサイトに戻った場合(技術的にMFA以外の承認を受けたユーザーがアクセスできないようにします。
複数のポリシーを使用して、これを達成するためのクッキーを作成することができます。たとえば、ほぼ同じ2つのサインインポリシーを作成し、その中の1つはマルチファクタ認証を有効にし、もう1つは無効にします。ユーザーがログインしようとすると、Cookieを確認します。存在しない場合は、マルチファクタ認証が有効なポリシーを使用します(逆も同様です)。ユーザーが正常に認証されると、Cookieをチェックし、Cookieが存在しない場合は作成し、いつでも有効にするように設定します(14日後など)。
私の唯一の懸念は、誰がログインしようとしているのかわからないことです。理論上は、1人のユーザーがコンピュータのログインボタンをクリックしてMFAのプロンプトを表示し、そのCookieを作成することができましたが、ログオフして他のユーザーがログインするためにボタンをクリックすると、 。 – Arsamps