如何使用 Office 365 和 Azure AD 中的 MFA Fiddler 跟踪日志

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3106807
更多信息
如果联合为一个用户帐户,用户被重定向到服务令牌服务器 (STS) 的身份验证和到 login.microsoftonline.com 上,并由 STS 颁发的 SAML 令牌。如果用户处于托管状态,login.microsoftonline.com 进行身份验证的用户,通过用户的密码。

MFA 启动后按 Azure 广告已验证用户的密码或 STS。SANeeded = 1 将设置 cookie,如果用户启用 MFA Office 365 或 Azure 目录中的身份验证。在客户端和后密码身份验证的用户将如下所示进行 login.microsoftonline.com 之间的通信:
POST https://login.microsoftonline.com/login.srf HTTP/1.1Host: login.microsoftonline.comHTTP/1.1 302 FoundSet-Cookie: SANeeded=1; domain=login.microsoftonline.com;secure= ;path=/;HTTPOnly= ;version=1

方案 1: 工作 MFA 方案

SANeeded = 1 cookie 设置密码身份验证之后。网络通信重定向到该终结点: https://login.microsoftonline.com/StrongAuthCheck.srf?并请求可用的身份验证方法。




MFA 开始BeginAuth,,然后将电话呼叫触发在后端电话服务提供程序。




MFA 授权开始后,客户端开始每隔 10 秒查询EndAuth方法的同一个终结点来检查身份验证是否已完成。直到调用已领取并验证, Resultvalue将作为AuthenticationPending返回。




当电话已领料并验证时, EndAuth的下一次查询的提示问题答案将成功ResultValue 。此外,用户已完成 Mulitifactor 身份验证。此外设置 Cookie: SANeeded = xxxxxxx 在响应中,这样会给与该终结点设置 cookie: login.srf 到完整的身份验证。


方案 2: 电话时超出范围或电话不领取

当电话不领取并在 60 秒后执行调用验证时, ResultValue将被设置为UserVoiceAuthFailedPhoneUnreachable。并在EndAuth方法的第二个查询, UserVoiceAuthFailedPhoneUnreachable返回,Fiddler 所示。


方案 3: 欺诈警报触发时要阻止云中的帐户

当电话已不领料和呼叫后的 60 秒内发布一份欺诈警报, ResultValue将设置为AuthenticationMethodFailed。并在EndAuth方法的第二个查询, AuthenticationMethodFailed返回响应,Fiddler 所示。



方案 4: 为阻止帐户

如果用户被阻止,则ResultValue将设置为UserIsBlocked。在EndAuth方法的第一个查询,会返回UserIsBlocked ,Fiddler 所示。




解决方案: 在 Azure 订阅了 Azure MFA 方案中,您可以取消阻止先登录到 manage.windowsazure.com。然后,选择目录 1> 用户管理多因素身份验证>服务设置。在页的末尾,选择转至门户。现在,在 https://pfweb.phonefactor.net/framefactory选择阻止/放行用户查找被阻止的用户的列表。

如果通过 Office 365 启用 MFA,则与 Microsoft 取消阻止它开启支持案例。

方案 5: MFA 的管理帐户

在此情况下,身份验证都保持不变,但将终结点 https://login.microsoftonline.com/common/SAS/BeginAuthhttps://login.microsoftonline.com/common/SAS/EndAuth 而不是 https://login.microsoftonline.com/StrongAuthCheck.srf?作为联合帐户。

警告:本文已自动翻译

属性

文章 ID:3106807 - 上次审阅时间:11/09/2015 19:04:00 - 修订版本: 1.0

Microsoft Office 365, Microsoft Azure Active Directory

  • kbhowto kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3106807 KbMtzh
反馈