如何使用当前登录用户的B2C凭据访问Microsoft Graph API - 腾讯云开发者社区

文章/答案/技术大牛

发布

【壹刊】Azure AD B2C（一）初识

一，引言（上节回顾）　　上一节讲到Azure AD的一些基础概念，以及如何运用 Azure AD 包含API资源，Azure AD 是微软提供的云端的身份标识和资源访问服务，帮助员工/用户/管理员访问一些外部资源和内部资源...客户使用其首选的社交，企业或者本地账户标识对应用程序和API进行单一登录访问。　　Azure AD B2C 是一种贴牌式身份验证解决方案。...2.2 账户　　用户可以通过使用者帐户登录到通过 Azure AD B2C 保护的应用程序。但是，具有使用者帐户的用户无法访问 Azure 资源（例如 Azure 门户）。...2.3 外部标识提供者-第三方授权中心　　可以配置 Azure AD B2C，以允许用户使用外部社交或企业标识提供者 (IdP) 提供的凭据登录到你的应用程序。...三、结尾今天大概介绍了一下AD B2C的一些概述和功能，我们可以配置 Azure AD B2C，以允许用户使用外部社交或企业标识提供者 (IDP) 提供的凭据登录到你的应用程序。

3.2K4 0

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

一，引言上一节讲到如何在我们的项目中集成Azure AD 保护我们的API资源，以及在项目中集成Swagger，并且如何把Swagger作为一个客户端进行认证和授权去访问我们的WebApi资源的？...其实不难看出，这个账号就是我们当前azure portal的登录账号，也是当前订阅的管理员账号，而且我们在创建MyCommany这个租户的时候也是使用的当前登录的账号，所有当前登录的账号也就自然而然的成为当前租户下应用注册的资源所有者...参数必传　　　　username：用户的电子邮件地址　　　　password：用户的密码　2）访问 api/order 砰，成功！...://graph.microsoft.com/.default。...此值告知 Microsoft 标识平台终结点：在为应用配置的所有直接应用程序权限中，终结点应该为与要使用的资源关联的权限颁发令牌使用共享机密访问令牌请求：https://docs.microsoft.com

3K1 0

您找到你想要的搜索结果了吗？

是的

没有找到

Office开发者计划-永久白嫖Office365

安装并激活Microsoft365 方式1：可点击上述仪表盘中的转到订阅，随后使用刚刚生成的管理员账号登录，进入页面则可下载需要的内容方式2：使用Office Tool Plus...，之后访问并登陆作者搭建好的网站（使用Github账号），授权其实用你的应用客户端即可。...权限配置注册的应用程序API权限类型有两种，其主要区别如下表所示：权限类型委托的权限(用户登录) 应用程序权限(非用户登录) 官方释义应用程序必须以登录用户身份访问API 应用程序在用户未登录的情况下作为后台服务或守护程序运行...Graph API 发出请求的工具：Postman&Microsoft Graph API使用 c.Microsoft Graph 快速入门示例 Microsoft Graph入门...>创建一个authProvider用户凭据（根据实际身份验证的方式获取，不同渠道构建方式不同）构建GraphServiceClient客户端服务对象graphClient 用graphClient

11.4K3 2

基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

该服务器实时转发请求至真实的微软登录页面，并在用户输入凭据及完成多因素认证（MFA）的过程中，同步窃取生成的会话Cookie（Session Cookie）。...以下是一个基于Python的示例，演示如何利用Microsoft Graph API查询SharePoint共享活动，并基于启发式规则识别异常模式。...", "supplier-b.net", "client-c.org"}def get_access_token(self) -> str:"""获取Microsoft Graph API访问令牌"""...}/auditLogs/directoryAudits" # 简化示例，实际应使用unifiedAuditLogs# 注：Graph API中统一审计日志的端点可能需要特定权限和不同的查询方式# 此处仅为逻辑演示...fetch_sharing_activities函数负责从Microsoft Graph API拉取审计日志（实际部署中需处理分页和API限流）。

1111 0

使用Azure AD B2C为ASP.NET Core 设置登录注册

一，引言　上次关于Azure AD B2C 讲到一些概念，有介绍到，Azure AD B2C 也是一种身份验证的解决方案，但是它运行客户使用其首选的社交，企业或者本地账户标识对应用程序和API进行单一登录访问...今天，介绍如何使用 Azure Active Directory B2C (Azure AD B2C) 在 ASP.NET Web 应用程序中进行用户登录和注册。...”策略“-》"用户流"，点击 ”新建用户流“ 　　在“建议”选项卡上选择“注册和登录”用户流。　　...不应该使用user flow 来验证这个类型的用户。...下一篇继续介绍如何使用Azure AD B2C 保护的API资源。代码稍等，我会整理一下，上传到github中版权：转载请在文章明显位置注明作者及出处。如发现错误，欢迎批评指正。

2.1K2 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...其中，利用OAuth 2.0授权框架中的“用户同意”（User Consent）机制实施的钓鱼攻击，因其完全运行于合法认证流程之内，成为当前最隐蔽且最具破坏力的威胁之一。...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...用户难以判断风险。3.3 缺乏应用行为基线监控SIEM系统通常未将“新应用首次访问Graph API”与“大量邮件读取”关联分析。即使启用日志，也因数据量庞大而忽略异常。...4.2 条件访问：基于权限范围的策略拦截创建条件访问策略，阻止包含高危权限的应用获取令牌：策略逻辑：触发条件：应用请求包含Mail.ReadWrite、User.ReadWrite.All等；操作：阻止登录

2431 0

云邮箱钓鱼攻击趋势与企业防御体系重构

本文聚焦于云邮箱钓鱼攻击的技术本质与防御失效根源，旨在回答以下核心问题：（1）当前钓鱼攻击如何利用云平台特性提升欺骗性？（2）为何现有安全控制措施在身份层存在结构性漏洞？...典型流程如下：用户在钓鱼页面输入凭据；攻击脚本实时将凭据转发至真实登录接口，完成身份验证；获取有效的会话Cookie或OAuth 2.0访问令牌；直接注入浏览器或API调用，绕过MFA校验。...关键措施包括：自动化会话吊销：通过API批量注销用户所有活动会话；凭据紧急重置：强制更改密码并撤销刷新令牌；行为回溯：利用审计日志定位首次异常活动时间点。...Microsoft Graph API吊销会话示例：import requestsdef revoke_user_sessions(user_id, access_token):url = f"https...5.2 多云环境的策略统一大型企业常同时使用Microsoft 365与Google Workspace，需确保安全策略一致性。

2251 0

每周云安全资讯-2023年第9周

https://cloudsec.tencent.com/article/1LUTwE 2 Azure B2C – 加密滥用和帐户泄露 Microsoft 的 Azure Active Directory...B2C 服务包含一个加密缺陷，允许攻击者使用任何用户帐户的内容制作 OAuth 刷新令牌。...攻击者可以将此刷新令牌兑换为会话令牌，从而获得对受害者帐户的访问权限，就好像攻击者已通过合法登录流程登录一样。...，而71%的用户仍在使用公有云服务商提供的默认业务帐号。...，从而窃取企业账户的登录凭据。

6844 0

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

一旦用户因恐慌拨打电话，攻击者便以“微软账单专员”身份进行话术诱导，要求用户下载 AnyDesk、TeamViewer 等远程控制软件，或引导其访问仿冒的微软登录页面输入凭据。...，用户点击后需使用其现有 Microsoft 账户或工作账户登录，完成接受流程。整个流程符合 OAuth 2.0 与 OpenID Connect 标准，具备端到端加密与令牌绑定。...一旦获得权限，攻击者可通过 Microsoft Graph API 发送邀请。...Single User条件：同一用户在 1 小时内发送超过 5 次邀请响应：自动禁用该用户邀请权限并告警Graph API 查询示例：GET https://graph.microsoft.com/v1.0...；即使绕过（如使用管理员账户），邮件也被标记，用户识别率提升 78%。此外，通过 Graph API 监控，我们能在 5 分钟内检测到异常邀请模式并自动响应。

1720 0

利用Defender for Identity保护企业身份安全

云服务会连接到Microsoft Intelligent Security Graph通过机器学习分析安全威胁信号，达到防护、侦测、回应甚至反击的效果，传感器的主要功能如下：捕获并检查域控制器网络流量...得知了管理员用户后，继续SMB会话枚举，收集管理员和用户的登录位置，为后续横向移动做准备。 ? 接下来，抓取本地内存中的用户信息，成功收集到了内存中管理员的NTML Hash。 ?...同时，Defender for identity也会标记出登录用户中的可疑用户。 ?...在警报控制台中我们还可以看到sccmadmin在sccm这台计算机中遭到泄露，并利用可疑的kerberos协议在DC进行了身份验证。 ? 大多数安全工具无法检测何时使用合法凭据来访问合法资源。...不仅可以发现凭据被盗，还可以了解***者使用盗用票证访问和***的资源。

1.6K2 0

FIDO 降级攻击的机理分析与纵深防御策略研究

本文系统剖析该攻击的技术原理、实施路径与现实可行性，基于对Microsoft Entra ID等主流平台的实证分析，指出“多因素共存”策略在缺乏精细化访问控制时所引入的安全盲区。...2.2 攻击流程分解以Proofpoint针对Entra ID的PoC为例，攻击流程可分为四步：步骤一：诱导用户访问钓鱼站点攻击者发送高度仿真的钓鱼邮件（如“您的安全密钥需要重新验证”），内含指向secure-microsoft-login...步骤四：会话重放与账户接管攻击者使用窃取的会话Cookie直接访问目标应用（如Outlook Web），无需任何进一步认证，实现完全的账户接管。...WebAuthn 会话绑定示例（前端）：// 登录成功后，将服务器颁发的会话ID与当前FIDO凭证ID绑定navigator.credentials.get({ publicKey: challenge...安全团队的工作重心，应从“是否部署了MFA”转向“如何确保用户始终走在最强的认证路径上”。编辑：芦笛（公共互联网反网络钓鱼工作组）

3051 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

研究揭示了当前OAuth生态中重定向URI校验宽松、客户端凭据管理疏漏、用户授权界面缺乏风险提示等关键脆弱点，并结合真实攻击链路，提出涵盖策略控制、运行时检测与响应、开发安全加固三位一体的纵深防御框架。...尤其在Microsoft 365、Google Workspace等企业生产力平台中，OAuth被深度集成于单点登录（SSO）、API调用、跨应用数据共享等关键场景。...；用户在授权服务器页面登录并同意权限请求；授权服务器生成授权码（Authorization Code），通过重定向返回至Client指定的redirect_uri；Client使用授权码、client_secret...向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...可使用Microsoft Graph PowerShell批量设置：# 禁止用户同意应用Set-MgPolicyAuthorizationPolicy -PermissionGrantPolicyId

2861 0

RaccoonO365开发者落网背后：一场钓鱼即服务（PaaS）产业链的崩塌与重生

），恶意脚本可轻易读取并通过sendBeacon异步回传，即使用户关闭页面也不影响数据传输。...管理员可通过Microsoft Entra ID策略强制高风险用户使用FIDO2：# 使用Microsoft Graph PowerShell SDK启用FIDO2策略Connect-MgGraph -...CAE需满足两个前提：使用支持CAE的应用（如Outlook、Teams新版客户端）；在Entra ID中启用“安全默认值”或自定义条件访问策略。...（3）监控凭据泄露：主动狩猎而非被动响应RaccoonO365窃取的凭据常被批量出售或用于撞库。...企业应定期扫描Have I Been Pwned、DeHashed等泄露数据库，或使用Microsoft Defender for Identity的“泄露凭据警报”功能。

1441 0

利用Defender for Identity保护企业身份安全

云服务会连接到Microsoft Intelligent Security Graph通过机器学习分析安全威胁信号，达到防护、侦测、回应甚至反击的效果，传感器的主要功能如下：捕获并检查域控制器网络流量...[image.png] 得知了管理员用户后，继续SMB会话枚举，收集管理员和用户的登录位置，为后续横向移动做准备。...[image.png] 同时，Defender for identity也会标记出登录用户中的可疑用户。...[image.png] 大多数安全工具无法检测何时使用合法凭据来访问合法资源。尤其在后续还会进行的攻击链过程，看起来都是合法的访问请求。...不仅可以发现凭据被盗，还可以了解攻击者使用盗用票证访问和入侵的资源。

2K1 0

快速提升Entra ID安全性的实用指南

此配置在许多当前环境中仍然存在。现在已更改为以下可用选项。...为任何用户（包括全局管理员）设置或重置任何身份验证方法（包括密码）。……强制用户针对现有的非密码凭据（如MFA或FIDO）重新注册，并撤销设备上的记住MFA，在所有用户下次登录时提示MFA。"...AppRoleAssignment.ReadWrite.All允许应用程序代表登录用户管理对任何API的应用程序权限授予和任何应用程序的应用程序分配。...RoleManagement.ReadWrite.Directory允许应用程序在没有登录用户的情况下读取和管理租户的基于角色的访问控制（RBAC）设置。...MMP在引入租户90天后开启（设置为启用）目前专注于3个领域：访问Microsoft管理员门户的管理员的MFA为用户配置的每用户MFA的MFA风险登录的MFA和重新身份验证关键条件访问策略要求具有管理角色的帐户使用

2081 0

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

本文聚焦于近期在Microsoft 365环境中频发的“设备代码钓鱼”（Device Code Phishing）攻击，深入剖析攻击者如何滥用OAuth 2.0设备授权流程，在不获取用户密码的前提下实现账户接管...攻击者通过伪造IT部门通知、安全警报或软件更新提示，诱使用户访问看似合法的指令页面，并要求其在https://microsoft.com/devicelogin 输入一串六位字母数字组合的设备代码。...一旦授权完成，攻击者即可通过device_code兑换令牌，获得与用户同等的API访问权限。...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json...即使用户撤销授权，若攻击者已导出refresh_token，仍可续期访问。

2491 0

凭据收集总结

通过带有 /netonly的runas 凭据登录 #注，这里的用户并不是有效的用户，任意的用户即可 #尽管以用户的身份登录，但是日志中登录类型为9，表示源自新进程的任何网络连接都使用下凭据 ?...PsExec From An Elevated Prompt #其他机器上psexec至当前主机，使用的是当前用户的默认票据， #登录类型为3 网络登录 mimikatz 转储的凭据中没有该凭据。...保护和取消数据使用dpapi::protect加密只有当前登录的用户才能访问的数据：简单来说调用DPAPI接口加密 "spotless" #如果不指定字符，默认是"mimikatz"字符 ?...#相关票据可打开控制面板查看，也可以使用以下命令 #显示所有已存储的用户名和票据 #添加用户名和密码为凭据 #不指定密码添加凭据 #删除远程访问存储的凭据 #删除凭据 #注：该命令修改的是Windows...凭据，非Web凭据 #注：不同用户的%localappdata%不同，cmdkey 修改只对当前用户的凭据，例如：在A用户使用cmdkey 修改，B（可以是域用户）用户是无法查看的。

7.3K3 0

用ASP.NET Core 2.1 建立规范的 REST API -- 保护API和其它

本文介绍如何保护API，无需看前边文章也能明白吧。...标准的认证流程开始于一个访问服务器被保护资源的匿名请求, HTTP服务器随后处理了该请求并决定拒绝让它访问被保护的资源, 因为该请求没有凭据; 随后HTTP Server发送了一个WWW-Authenticate...NTLM认证方案, 它是NTLAN Manager的缩写, 它是一种挑战--响应的方案, 要比Digest更安全. 这种方案使用Windows凭据来转化盘问的数据, 而不是使用编码的凭据....如果应用部署在云上, 可以使用Azure Active Directory(AAD) 和 Azure Active Directory B2C (Azure AD B2C)....API 文档业界通常会使用Swagger OpenAPI来对RESTful API进行格式化描述，而Swagger OpenAPI的当前版本是v3.

1.7K2 0

聊天、会议、多媒体一体化：多平台支持的即时通讯系统 | 开源日报 No.44

基于 Edge Runtime 实现了新的获取和缓存机制动态生成 OG 图片 (Open Graph) 使用 Tailwind CSS 进行样式设计集成 Shopify 完成结账与支付功能，并支持自动根据系统设置切换浅色...Library (MSAL) for .NET 是 Microsoft 提供的一款用于开发者身份验证和调用受保护 API 的库。...它使用行业标准的 OAuth2 和 OpenID Connect，支持获取安全令牌来访问受保护的 API，并且还提供了对 Azure AD B2C 的支持。...强大而灵活：通过 MSAL.NET 可以轻松地实现用户登录并获得所需权限，从而调用各类受保护的服务或资源。...官方文档齐备：详细介绍了如何在不同平台上使用 MSAL.NET 进行快速入门，并提供相关示例代码进行参考。

1.6K3 0

译 | 在 App Service 上禁用 Basic 认证

原文：Jason Freeberg, Shubham Dhond 翻译：汪宇杰导语 App Service 使用网站的发布配置文件中的基本身份验证凭据访问 FTP 和 WebDeploy。...本文介绍如何禁用基本授权，监控任何登录尝试或成功的登录，以及如何使用Azure策略来确保所有新站点都禁用了基本身份验证。...另外，禁用或启用基本身份验证的API由AAD和RBAC支持，因此您可以控制哪些用户或角色能够重新启用站点的基本身份验证。 ? 禁用访问权限以下各节假定您具有对该站点的所有者级别的访问权限。...要确认FTP访问被阻止，您可以尝试使用FileZilla这样的FTP客户端进行身份验证。要检索发布凭据，请转到网站的欢迎页，然后单击“下载发布配置文件”。...view=vs-2019 创建自定义RBAC角色上一节中的 API 支持基于 Azure 角色的访问控制（RBAC），这意味着您可以创建自定义角色来阻止用户使用该 API 并将权限较低的用户分配给该角色

2.5K2 0

点击加载更多

【壹刊】Azure AD B2C（一）初识

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

Office开发者计划-永久白嫖Office365

基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

使用Azure AD B2C为ASP.NET Core 设置登录注册

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

云邮箱钓鱼攻击趋势与企业防御体系重构

每周云安全资讯-2023年第9周

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

利用Defender for Identity保护企业身份安全

FIDO 降级攻击的机理分析与纵深防御策略研究

高级OAuth钓鱼攻击的演化机制与防御体系构建

RaccoonO365开发者落网背后：一场钓鱼即服务（PaaS）产业链的崩塌与重生

利用Defender for Identity保护企业身份安全

快速提升Entra ID安全性的实用指南

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

凭据收集总结

用ASP.NET Core 2.1 建立规范的 REST API -- 保护API和其它

聊天、会议、多媒体一体化：多平台支持的即时通讯系统 | 开源日报 No.44

译 | 在 App Service 上禁用 Basic 认证

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐