带有ROPC流的AAD用户登录

Question

当在AAD中使用ROPC流时，被邀请的用户是否共享他必须在其他AAD租户\MS帐户上使用的凭证(用户名、密码)。

我看到ROPC不是推荐的流程，因为我们的客户不应该处理凭据。但只是想知道，我们正在妥协的其他，然后培训用户钓鱼网站，并失去一些重要的功能，如MFA等。

https://learn.microsoft.com/en-us/azure/active-directory/develop/v2-oauth-ropc

如果我有我的帐户在父Azure目录(A)，我是邀请客人\成员在Azure目录(B)。然后，对于Enterprise (无论它属于哪个目录)，使用ROPC流的用户将使用相同的用户名，即登录应用程序的密码。这将危及两个Azure帐户，如果凭据被黑。所以，当我们邀请用户时，他们不应该与现有的Azure目录(即A或B)相关联。

Answer 1

那么，当我们邀请用户时，他们是否应该与现有的Azure目录(即A或B)相关联呢？

简而言之，NO。

当您选择ROPC流时，意味着您需要承担风险。无论您在您自己的租户中还是在其他租户中使用ROPC流，您的凭据都有泄漏的风险。

因此，如果您对此感到担忧，那么选择另一个身份验证流是您的第一选择。

我假设您只是不想以交互方式登录，然后可以考虑客户凭证流，它可以轻松地访问租户A和B中的数据。

Answer 2

你已经提到了一个主要的问题。客户端正在处理凭据。将有很高的信任，需要给予客户。

除上述各点外，我还可以考虑以下几点：

1. 在使用ROPC授予类型时，无法区分资源所有者(用户)是提出请求还是客户端发出请求。
2. 联邦标识对于此授予类型也不可用。
3. 不适用于实时帐户(@outlook.com、@hotmail.com等)
4. 单点登录也不可行。
5. 如果您是在本地哈希和存储密码，如果有密码过期-那么这将失败。