Freigeben über


Aktualisieren von Token in der Microsoft-Identitätsplattform

Ein Aktualisierungstoken wird verwendet, um neue Zugriffs- und Aktualisierungstokenpaare abzurufen, wenn das aktuelle Zugriffstoken abläuft. Wenn ein Client ein Zugriffstoken für den Zugriff auf eine geschützte Ressource abruft, erhält er auch ein Aktualisierungstoken.

Aktualisierungstoken werden auch verwendet, um zusätzliche Zugriffstoken für andere Ressourcen abzurufen. Aktualisierungstoken sind an eine Kombination aus Benutzer und Client gebunden, aber nicht an eine Ressource oder einen Mandanten. Ein Client kann ein Aktualisierungstoken verwenden, um Zugriffstoken für eine beliebige Kombination von Ressourcen und Mandanten zu erwerben, sofern er dazu berechtigt ist. Aktualisierungstoken werden verschlüsselt und können nur von Microsoft Identity Platform gelesen werden.

Lebensdauer von Token

Aktualisierungstoken haben eine längere Gültigkeitsdauer als Zugriffstoken. Die Standarddauer für die Aktualisierungstoken beträgt 24 Stunden für Einzelseiten-Apps und 90 Tage für alle anderen Szenarien. Aktualisierungstoken ersetzen sich bei jeder Verwendung selbst durch ein neues Token. Microsoft Identity Platform widerruft keine alten Aktualisierungstoken, wenn damit neue Zugriffstoken abgerufen werden. Löschen Sie das alte Aktualisierungstoken dauerhaft, nachdem Sie ein neues Token abgerufen haben. Aktualisierungstoken müssen wie Zugriffstoken oder Anwendungsanmeldeinformationen sicher gespeichert werden.

Hinweis

Aktualisierungstoken, die an einen als spa registrierten Umleitungs-URI gesendet werden, laufen nach 24 Stunden ab. Weitere Aktualisierungstoken, die mithilfe des ersten Aktualisierungstoken abgerufen werden, übernehmen diese Gültigkeitsdauer. Apps müssen also darauf vorbereitet sein, den Autorisierungscodeflow mithilfe einer interaktiven Authentifizierung erneut auszuführen, um alle 24 Stunden ein neues Aktualisierungstoken abzurufen. Benutzer müssen ihre Anmeldeinformationen nicht eingeben und sehen in der Regel keine zugehörige Benutzeroberfläche. Stattdessen wird Ihre Anwendung neu geladen. Der Browser muss die Anmeldeseite in einem Frame der obersten Ebene besuchen, um die Anmeldesitzung anzuzeigen. Dies liegt an den Datenschutzfunktionen bei Browsern, die Cookies von Drittanbietern blockieren.

Tokenablauf

Aktualisierungstoken können aufgrund von Timeouts und Sperrungen jederzeit widerrufen werden. Ihre App muss Sperrungen durch den Anmeldedienst angemessen verarbeiten, indem sie den Benutzer an eine interaktive Anmeldeaufforderung sendet, um sich erneut anzumelden.

Tokenzeitüberschreitungen

Sie können die Gültigkeitsdauer eines Aktualisierungstokens nicht konfigurieren. Sie können ihre Gültigkeitsdauer nicht verkürzen oder verlängern. Es ist daher wichtig, Aktualisierungstoken abzusichern, da sie an öffentlichen Speicherorten von böswilligen Akteuren extrahiert werden können oder sogar vom Gerät selbst, wenn dieses kompromittiert wird. Sie können einige Dinge erledigen:

Nicht alle Aktualisierungstoken folgen den Regeln, die in der Richtlinie für die Tokengültigkeitsdauer festgelegt sind. Insbesondere in Single-Page-Apps verwendete Aktualisierungstoken sind stets auf 24 Stunden Aktivität festgelegt, als würde für sie eine MaxAgeSessionSingleFactor-Richtlinie von 24 Stunden gelten.

Widerrufen von Token

Der Server kann Aktualisierungstoken aufgrund einer Änderung der Anmeldeinformationen, einer Benutzeraktion oder einer Administratoraktion widerrufen. Aktualisierungstoken werden in zwei Klassen unterteilt: Token, die für vertrauliche Clients ausgestellt werden (die Spalte ganz rechts), und Token, die für öffentliche Clients (alle anderen Spalten) ausgestellt werden.

Change Kennwortbasiertes Cookie Kennwortbasiertes Token Nicht kennwortbasiertes Cookie Nicht kennwortbasiertes Token Vertrauliches Clienttoken
Kennwort läuft ab Bleibt aktiv Bleibt aktiv Bleibt aktiv Bleibt aktiv Bleibt aktiv
Kennwort wird vom Benutzer geändert Widerrufen Widerrufen Bleibt aktiv Bleibt aktiv Bleibt aktiv
Benutzer verwendet SSPR Widerrufen Widerrufen Bleibt aktiv Bleibt aktiv Bleibt aktiv
Administrator setzt Kennwort zurück Widerrufen Widerrufen Bleibt aktiv Bleibt aktiv Bleibt aktiv
Der Benutzer widerruft seine Aktualisierungstoken Widerrufen Widerrufen Widerrufen Widerrufen Widerrufen
Der Administrator widerruft alle Aktualisierungstoken für einen Benutzer Widerrufen Widerrufen Widerrufen Widerrufen Widerrufen
Einmaliges Abmelden Widerrufen Bleibt aktiv Widerrufen Bleibt aktiv Bleibt aktiv

Hinweis

Aktualisierungstoken werden für B2B-Benutzer und -Benutzerinnen in ihrem Ressourcenmandanten nicht widerrufen. Das Token muss im Home-Mandanten widerrufen werden.