Konfigurovatelné životnosti tokenů na platformě Microsoft Identity Platform (Preview)
Můžete zadat dobu života přístupového, ID nebo tokenu SAML vydaného platformou Microsoft Identity Platform. Životnost tokenů můžete nastavit pro všechny aplikace ve vaší organizaci, pro aplikace s více tenanty (více organizacemi) nebo pro instanční objekty. V současné době nepodporujeme konfiguraci životnosti tokenů pro instanční objekty spravované identity.
V Microsoft Entra ID představuje objekt zásad sadu pravidel, která jsou vynucena pro jednotlivé aplikace nebo pro všechny aplikace v organizaci. Každý typ zásady má jedinečnou strukturu s sadou vlastností, které se použijí na objekty, ke kterým jsou přiřazeny.
Zásady můžete určit jako výchozí zásady pro vaši organizaci. Zásady se použijí pro libovolnou aplikaci v organizaci, pokud zásady s vyšší prioritou nepřepíše. Zásady můžete také přiřadit konkrétním aplikacím. Pořadí priority se liší podle typu zásady.
Příklady konfigurace životnosti tokenů najdete v příkladech.
Poznámka:
Konfigurovatelné zásady životnosti tokenů platí jenom pro mobilní a desktopové klienty, kteří přistupuje k SharePointu Online a OneDrive pro firmy prostředkům, a nevztahuje se na relace webového prohlížeče. Ke správě životnosti relací webového prohlížeče pro SharePoint Online a OneDrive pro firmy použijte funkci životnosti relace podmíněného přístupu. Další informace o konfiguraci časových limitů nečinných relací najdete na blogu SharePointu Online.
Poznámka:
Možná budete chtít prodloužit životnost tokenu, aby se skript spustil déle než hodinu. Mnoho knihoven Microsoftu, jako je sada Microsoft Graph PowerShell SDK, prodlužuje životnost tokenu podle potřeby a nemusíte provádět změny zásad přístupového tokenu.
Požadavky na licenci
Použití této funkce vyžaduje licenci Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si téma Porovnání obecně dostupných funkcí edice Free a Premium.
Zákazníci s licencemi Microsoft 365 Business mají také přístup k funkcím podmíněného přístupu.
Zásady životnosti tokenů pro přístup, SAML a tokeny ID
Můžete nastavit zásady životnosti tokenů pro přístupové tokeny, tokeny SAML a tokeny ID.
Přístupové tokeny
Klienti používají přístupové tokeny pro přístup k chráněnému prostředku. Přístupový token lze použít pouze pro konkrétní kombinaci uživatele, klienta a prostředku. Přístupové tokeny nelze odvolat a jsou platné až do vypršení jejich platnosti. Aktér se zlými úmysly, který získal přístupový token, ho může použít v rozsahu své životnosti. Úprava doby životnosti přístupového tokenu je kompromisem mezi zlepšením výkonu systému a zvýšením doby, po kterou si klient zachová přístup po zakázání účtu uživatele. Vylepšený výkon systému se dosahuje snížením počtu, kolikrát klient potřebuje získat nový přístupový token.
Výchozí životnost přístupového tokenu je proměnná. Při vystavení se výchozí životnost přístupového tokenu přiřadí náhodné hodnotě v rozmezí od 60 do 90 minut (v průměru 75 minut). Výchozí životnost se také liší v závislosti na klientské aplikaci, která požaduje token nebo jestli je v tenantovi povolený podmíněný přístup. Další informace najdete v tématu Životnost přístupového tokenu.
Tokeny SAML
Tokeny SAML používají mnoho webových aplikací SaaS a získávají se pomocí koncového bodu protokolu SAML2 v Microsoft Entra ID. Využívají je také aplikace využívající WS-Federation. Výchozí životnost tokenu je 1 hodina. Z pohledu aplikace je doba platnosti tokenu určena hodnotou <conditions …>
NotOnOrAfter prvku v tokenu. Po uplynutí doby platnosti tokenu musí klient zahájit novou žádost o ověření, která bude často splněna bez interaktivního přihlášení v důsledku tokenu relace Jednotné přihlašování (SSO).
Hodnotu NotOnOrAfter lze změnit pomocí AccessTokenLifetime
parametru v souboru TokenLifetimePolicy
. Pokud existuje, nastaví se na dobu života nakonfigurovanou v zásadách a můžou se jednat o faktor nerovnoměrné distribuce hodin 5 minut.
Potvrzení předmětu NotOnOrAfter zadané v <SubjectConfirmationData>
elementu není ovlivněno konfigurací Životnost tokenu.
Tokeny ID
Tokeny ID se předávají webům a nativním klientům. Tokeny ID obsahují informace o profilu uživatele. Token ID je vázán na konkrétní kombinaci uživatele a klienta. Tokeny ID se považují za platné až do vypršení jejich platnosti. Webová aplikace obvykle odpovídá životnosti relace uživatele v aplikaci k době života tokenu ID vydaného uživateli. Dobu životnosti tokenu ID můžete upravit, abyste mohli řídit, jak často vyprší platnost relace aplikace a jak často vyžaduje, aby se uživatel znovu ověřil pomocí platformy Microsoft Identity Platform (buď bezobslužně, nebo interaktivně).
Zásady životnosti tokenů pro obnovovací tokeny a tokeny relací
Nemůžete nastavit zásady životnosti tokenů pro obnovovací tokeny a tokeny relací. Informace o životnosti, vypršení časového limitu a odvolání obnovovacích tokenů najdete v tématu Obnovovací tokeny.
Důležité
Od 30. ledna 2021 nemůžete konfigurovat životnosti obnovovacího a tokenu relace. Microsoft Entra už neresektuje konfiguraci tokenu aktualizace a relace v existujících zásadách. Nové tokeny vydané po vypršení platnosti existujících tokenů jsou teď nastavené na výchozí konfiguraci. Po vyřazení konfigurace tokenu aktualizace a tokenu relace můžete stále nakonfigurovat dobu platnosti tokenů SAML a ID.
Životnost existujícího tokenu se nezmění. Po vypršení platnosti se vystaví nový token na základě výchozí hodnoty.
Pokud potřebujete pokračovat v definování časového období před tím, než se uživateli zobrazí výzva k opětovnému přihlášení, nakonfigurujte frekvenci přihlašování v podmíněném přístupu. Další informace o podmíněném přístupu najdete v tématu Konfigurace správy relací ověřování pomocí podmíněného přístupu.
Konfigurovatelné vlastnosti životnosti tokenu
Zásada životnosti tokenu je typ objektu zásad, který obsahuje pravidla životnosti tokenu. Tato zásada řídí, jak dlouho se považují za platné tokeny přístupu, SAML a ID pro tento prostředek. Zásady životnosti tokenů nelze nastavit pro tokeny aktualizace a relace. Pokud není nastavená žádná zásada, systém vynutí výchozí hodnotu životnosti.
Vlastnosti zásad životnosti tokenu SAML2, ID a SAML2
Omezení vlastnosti Životnost přístupového tokenu snižuje riziko, že přístupový token nebo token ID používá škodlivý objekt actor po delší dobu. (Tyto tokeny nelze odvolat.) Kompromisem je, že výkon je nepříznivě ovlivněn, protože tokeny musí být nahrazeny častěji.
Příklad najdete v tématu Vytvoření zásady pro přihlášení k webu.
Konfigurace tokenu ACCESS, ID a SAML2 jsou ovlivněna následujícími vlastnostmi a jejich nastavenými hodnotami:
- Vlastnost: Životnost přístupového tokenu
- Řetězec vlastnosti zásady: AccessTokenLifetime
- Vliv: Přístupové tokeny, tokeny ID, tokeny SAML2
- Výchozí hodnota:
- Přístupové tokeny: liší se v závislosti na klientské aplikaci požadující token. Například klienti podporující průběžné vyhodnocování přístupu (CAE), kteří vyjednávají relace s podporou caE, uvidí dlouhou životnost tokenu (až 28 hodin).
- Tokeny ID, tokeny SAML2: 1 hodina
- Minimum: 10 minut
- Maximum: 1 den
Vlastnosti zásad životnosti tokenu aktualizace a relace
Konfigurace tokenu aktualizace a relace jsou ovlivněna následujícími vlastnostmi a jejich odpovídajícími nastavenými hodnotami. Po vyřazení konfigurace tokenu aktualizace a relace 30. ledna 2021 bude ID Microsoft Entra respektovat pouze výchozí hodnoty popsané níže. Pokud se rozhodnete používat podmíněný přístup ke správě četnosti přihlašování, vaše aktualizace a tokeny relací se nastaví na výchozí konfiguraci k tomuto datu a už nebudete moct měnit jejich životnost.
Vlastnost | Řetězec vlastnosti zásady | Ovlivňuje | Výchozí |
---|---|---|---|
Maximální doba nečinnosti obnovovacího tokenu | MaxInactiveTime | Obnovovací tokeny | 90 dní |
Maximální stáří tokenu pro jednofaktorové aktualizace | MaxAgeSingleFactor | Obnovovací tokeny (pro všechny uživatele) | Do odvolání |
Maximální stáří tokenu multi-Factor Refresh | MaxAgeMultiFactor | Obnovovací tokeny (pro všechny uživatele) | Do odvolání |
Maximální věk tokenu jednofaktorové relace | MaxAgeSessionSingleFactor | Tokeny relace (trvalé a trvalé) | Do odvolání |
Maximální stáří tokenu multi-Factor Session | MaxAgeSessionMultiFactor | Tokeny relace (trvalé a trvalé) | Do odvolání |
Tokeny relace, které nejsou trvalé, mají maximální dobu nečinnosti 24 hodin, zatímco tokeny trvalých relací mají maximální dobu nečinnosti 90 dnů. Kdykoli se token relace jednotného přihlašování použije během doby platnosti, doba platnosti se prodlouží o dalších 24 hodin nebo 90 dnů. Pokud se token relace jednotného přihlašování v rámci svého maximálního časového období nepoužívá, považuje se za prošlý a už nebude přijat. Všechny změny tohoto výchozího období by se měly změnit pomocí podmíněného přístupu.
Pomocí PowerShellu můžete najít zásady, které budou ovlivněny vyřazením. Pomocí rutin PowerShellu můžete zobrazit všechny zásady vytvořené ve vaší organizaci nebo zjistit, které aplikace jsou propojené s konkrétní zásadou.
Vyhodnocení zásad a stanovení priorit
Můžete vytvořit a přiřadit zásadu životnosti tokenu konkrétní aplikaci a vaší organizaci. Na konkrétní aplikaci se může použít více zásad. Zásady životnosti tokenu, které se projeví, se řídí těmito pravidly:
- Pokud je zásada explicitně přiřazená organizaci, vynucuje se.
- Pokud organizace explicitně nepřiřazuje žádnou zásadu, zásady přiřazené k aplikaci se vynutí.
- Pokud nejsou k organizaci nebo objektu aplikace přiřazeny žádné zásady, vynucují se výchozí hodnoty. (Viz tabulka v Konfigurovatelné vlastnosti životnosti tokenu.)
Platnost tokenu se vyhodnocuje v okamžiku, kdy se token použije. Zásady s nejvyšší prioritou aplikace, ke které se přistupuje, se projeví.
Všechny zde použité časové intervaly jsou formátovány podle objektu TimeSpan jazyka C# – D.HH:MM:SS. Takže 80 dní a 30 minut by bylo 80.00:30:00
. Počáteční hodnota D se dá vynechat, pokud je nula, takže 90 minut by bylo 00:90:00
.
REST API – referenční informace
Můžete nakonfigurovat zásady životnosti tokenů a přiřadit je k aplikacím pomocí Microsoft Graphu. Další informace najdete v tokenLifetimePolicy
typu prostředku a souvisejících metodách.
Odkaz na rutinu
Jedná se o rutiny v sadě Microsoft Graph PowerShell SDK.
Správa zásad
Ke správě zásad můžete použít následující příkazy.
Rutina | Popis |
---|---|
New-MgPolicyTokenLifetimePolicy | Vytvoří novou zásadu. |
Get-MgPolicyTokenLifetimePolicy | Získá všechny zásady životnosti tokenu nebo zadanou zásadu. |
Update-MgPolicyTokenLifetimePolicy | Aktualizuje existující zásadu. |
Remove-MgPolicyTokenLifetimePolicy | Odstraní zadanou zásadu. |
Zásady použití
Pro zásady aplikací můžete použít následující rutiny.
Rutina | Popis |
---|---|
New-MgApplicationTokenLifetimePolicyByRef | Propojuje zadanou zásadu s aplikací. |
Get-MgApplicationTokenLifetimePolicyByRef | Získá zásady přiřazené k aplikaci. |
Remove-MgApplicationTokenLifetimePolicyByRef | Odebere zásadu z aplikace. |
Další kroky
Další informace najdete v příkladech konfigurace životnosti tokenů.