Upravit

Sdílet prostřednictvím


Konfigurace zásad životnosti tokenů (Preview)

V následujících krocích implementujete běžný scénář zásad, který ukládá nová pravidla pro životnost tokenu. Je možné zadat životnost přístupového tokenu, SAML nebo ID vydaného platformou Microsoft Identity Platform. To se dá nastavit pro všechny aplikace ve vaší organizaci nebo pro konkrétní aplikaci nebo objekt zabezpečení. Dají se také nastavit pro více organizací (víceklientských aplikací). Možná budete chtít prodloužit životnost tokenu, aby se skript spustil déle než hodinu. Mnoho knihoven Microsoftu, jako je sada Microsoft Graph PowerShell SDK, prodlužuje životnost tokenu podle potřeby a nemusíte provádět změny zásad přístupového tokenu. Další informace najdete v tématu Konfigurovatelné životnosti tokenů.

Požadavky

Začněte tím, že si stáhnete nejnovější sadu Microsoft Graph PowerShell SDK.

Vytvoření zásady a jejich přiřazení k aplikaci

V následujících krocích vytvoříte zásadu, která vyžaduje, aby se uživatelé ve webové aplikaci ověřili méně často. Přiřaďte zásadu k aplikaci, která nastaví životnost tokenů přístupu/ID na 4 hodiny pro vaši webovou aplikaci.

Install-Module Microsoft.Graph

Connect-MgGraph -Scopes  "Policy.ReadWrite.ApplicationConfiguration","Policy.Read.All","Application.ReadWrite.All"

# Create a token lifetime policy
$params = @{
  Definition = @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"4:00:00"}}') 
    DisplayName = "WebPolicyScenario"
  IsOrganizationDefault = $false
}
$tokenLifetimePolicyId=(New-MgPolicyTokenLifetimePolicy -BodyParameter $params).Id

# Display the policy
Get-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId

# Assign the token lifetime policy to an app
$params = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/$tokenLifetimePolicyId"
}

$applicationObjectId="aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

New-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -BodyParameter $params

# List the token lifetime policy on the app
Get-MgApplicationTokenLifetimePolicy -ApplicationId $applicationObjectId

# Remove the policy from the app
Remove-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -TokenLifetimePolicyId $tokenLifetimePolicyId

# Delete the policy
Remove-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId

Vytvoření zásady a jeho přiřazení k instančnímu objektu

V následujících krocích vytvoříte zásadu, která vyžaduje, aby se uživatelé ve webové aplikaci ověřili méně často. Přiřaďte zásadu instančnímu objektu, který nastaví životnost tokenů přístupu/ID na 8 hodin pro vaši webovou aplikaci.

  1. Vytvořte zásadu životnosti tokenu.

    POST https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies
    Content-Type: application/json
    {
        "definition": [
            "{\"TokenLifetimePolicy\":{\"Version\":1,\"AccessTokenLifetime\":\"8:00:00\"}}"
        ],
        "displayName": "Contoso token lifetime policy",
        "isOrganizationDefault": false
    }
    
  2. Přiřaďte zásadu instančnímu objektu.

    POST https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies/$ref
    Content-Type: application/json
    {
      "@odata.id":"https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
    }
    
  3. Vypíše zásady instančního objektu.

    GET https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies
    
  4. Odeberte zásadu z instančního objektu.

    DELETE https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/$ref
    

Zobrazení existujících zásad v tenantovi

Pokud chcete zobrazit všechny zásady vytvořené ve vaší organizaci, spusťte rutinu Get-MgPolicyTokenLifetimePolicy . Všechny výsledky s definovanými hodnotami vlastností, které se liší od výchozích hodnot uvedených výše, jsou v rozsahu vyřazení.

  1. Spuštěním příkazu Get-MgPolicyTokenLifetimePolicy zobrazíte všechny zásady vytvořené ve vaší organizaci.

    Get-MgPolicyTokenLifetimePolicy
    
  2. Spustit seznam se vztahuje na jakékoli ID zásad, abyste zjistili, které aplikace jsou propojené s konkrétní identifikovanou zásadou.

    GET https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/4d2f137b-e8a9-46da-a5c3-cc85b2b840a4/appliesTo
    

Další krok