Sie sollten vermeiden, die Anmeldeinformationen des Benutzers zu behandeln. Beim Sammeln von Benutzeranmeldeinformationen, die durch die Verwendung von OAuth 2.0 oder OpenID Connect gemildert werden, treten schwerwiegende Sicherheitsrisiken auf, um ein Token zu erhalten, ohne die Anmeldeinformationen direkt zu verarbeiten. Wenn Sie über eine eigene Benutzeroberfläche für die Erfassung von Anmeldeinformationen verfügen, wird diese Anmeldung möglicherweise später fehlschlagen, wenn die Multi-Faktor-Authentifizierung aktiviert ist. In diesem Fall können weitere Informationen erforderlich sein, um den Benutzer zu authentifizieren, als Sie erfassen, z. B. ein einmaliges Kennwort. Wenn Sie zulassen, dass Azure AD die Authentifizierungserfahrung über OAuth 2.0 oder OpenID Connect darstellt, sind Sie von der verwendeten spezifischen Authentifizierungsmethode isoliert. Sammeln der Benutzer Azure AD-Anmeldeinformationen sind eine schlechte Übung, die nach Möglichkeit vermieden werden sollte.
Ich habe nicht genug Details über das genaue Szenario, um sicher zu sein, dass das folgende Beispiel gilt, aber es wird zumindest einen guten Ausgangspunkt bieten. In diesem Beispiel wird gezeigt, wie eine native App erstellt wird, die eine REST-API aufruft, die eine Azure-Ressource auf die sicherste Weise aufrufen kann.
https://github.com/AzureADSamples/WebAPI-OnBehalfOf-DotNet
Sie können hier viele andere Proben finden, die verwendet werden können, um eine Lösung für Ihr spezielles Szenario zu konstruieren.
https://github.com/AzureADSamples
Wenn Sie bieten etwas mehr Detail, das ich mehr spezifische Leitlinien geben kann.
Sie meinen, wie OAuth verwenden 2.0 mit Azure ANZEIGE? Der Call-by-Call-Prozess ist [hier] beschrieben (https://msdn.microsoft.com/en-us/library/azure/dn645543.aspx). Die [Azure AD Authentication Library] (https://msdn.microsoft.com/en-us/library/azure/jj573266.aspx) vereinfacht diesen Prozess –
Danke - das ist genau das, was ich brauchte – COBOL
Die Tatsache, dass Sie erwähnen, die Benutzer Anmeldeinformationen macht mich nervös. Könnten Sie Ihrer Frage etwas mehr Detail hinzufügen? Ist das Szenario: native App -> Ihre REST-API -> Azure AD Rest-API. Oder ist es: Web App -> Ihre REST API -> Azure AD Rest API. Oder etwas anderes. Abhängig vom genauen Szenario kann ich Sie auf Stichproben hinweisen, die verhindern, dass Sie jemals mit den Anmeldeinformationen des Benutzers umgehen müssen, was aus Sicherheitsgründen viel sicherer wäre. –