Impostazioni dei cookie per l'accesso alle applicazioni locali in Microsoft Entra ID
Microsoft Entra ID dispone di cookie di accesso e di sessione per l'accesso alle applicazioni locali tramite il proxy dell'applicazione. Informazioni su come usare le impostazioni dei cookie proxy dell'applicazione.
Quali sono le impostazioni dei cookie?
Il proxy dell'applicazione usa le seguenti impostazioni di accesso e cookie di sessione.
| Impostazione dei cookie | Default | Descrizione | Consigli |
|---|---|---|---|
| Usa cookie solo HTTP | No | Sì consente al proxy dell'applicazione di includere il flag HTTPOnly nelle intestazioni di risposta HTTP. Questo flag offre vantaggi di sicurezza aggiuntivi, ad esempio impedisce al client scripting (CSS) di copiare o modificare i cookie. Prima di supportare l'impostazione Solo HTTP, il proxy dell'applicazione crittografa e trasmette i cookie tramite un canale TLS (Transport Layer Security) protetto per proteggersi dalla modifica. |
Usare Sì a causa dei vantaggi di sicurezza aggiuntivi. Usare No per i client o gli agenti utente che richiedono l'accesso al cookie di sessione. Ad esempio, usare No per Remote Desktop Protocol (RDP) o Microsoft Terminal Services Client (MTSC) che si connette a un server Gateway Desktop remoto tramite il proxy dell'applicazione. |
| Usa cookie protetti | Sì | Sì consente al proxy dell'applicazione di includere il flag Secure nelle intestazioni di risposta HTTP. Cookie protetti migliorano la sicurezza mediante la trasmissione di cookie su un canale TLS protetto, ad esempio HTTPS. TLS impedisce la trasmissione dei cookie in testo non crittografato. | Usare Sì a causa dei vantaggi di sicurezza aggiuntivi. |
| Usa cookie persistente | No | Sì consente al proxy dell'applicazione di impostare i cookie di accesso in modo che non scadano quando il Web browser viene chiuso. La permanenza dura fino alla scadenza del token di accesso o fino a quando non si consente di eliminare manualmente i cookie permanenti. | Usare No a causa del rischio di sicurezza associato al mantenere gli utenti autenticati. È consigliabile usare Solo Sì per le applicazioni meno recenti che non possono condividere cookie tra processi. È preferibile aggiornare l'applicazione per gestire la condivisione dei cookie tra processi anziché utilizzare i cookie permanenti. Ad esempio, potrebbero essere necessari cookie permanenti per consentire a un utente di aprire i documenti di Office in visualizzazione Esplora da un sito di SharePoint. Senza i cookie permanenti, questa operazione potrebbe non riuscire se i cookie di accesso non vengono condivisi tra il browser, il processo Esplora e il processo Office. |
Cookie SameSite
I cookie che non specificano l'attributo SameSite vengono considerati come se fossero impostati su SameSite=Lax. L'attributo SameSite dichiara il modo in cui i cookie devono essere limitati a un contesto dello stesso sito. Se impostato su Lax, il cookie viene inviato solo alle richieste dello stesso sito o alla navigazione di primo livello. Tuttavia, il proxy dell'applicazione richiede che questi cookie vengano mantenuti nel contesto di terze parti per mantenere gli utenti connessi correttamente durante la sessione. A causa del requisito, sono stati apportati aggiornamenti:
- Impostazione dell'attributo SameSite su Nessuno. I cookie delle sessioni proxy dell'applicazione vengono inviati correttamente nel contesto di terze parti.
- Impostazione dell'impostazione Usa cookie protetti per usare Sì come impostazione predefinita. Chrome rifiuta i cookie che non usano il
Secureflag. La modifica si applica a tutte le applicazioni esistenti pubblicate tramite il proxy dell'applicazione. I cookie di accesso al proxy dell'applicazione sono impostati su Sicuro e trasmessi solo tramite HTTPS. La modifica si applica solo ai cookie di sessione.
Inoltre, se l'applicazione back-end dispone di cookie che necessitano di contesto di terze parti, è necessario acconsentire esplicitamente modificando l'applicazione in modo da usare SameSite=None. Il proxy di applicazione converte l'intestazione Set-Cookie negli URL e rispetta le impostazioni.
Impostare le impostazioni dei cookie - Interfaccia di amministrazione di Microsoft Entra
Per impostare le impostazioni dei cookie tramite l'interfaccia di amministrazione di Microsoft Entra:
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore applicazione.
- Passare a Identità>Applicazioni>Applicazioni aziendali>Application Proxy.
- All'interno di Impostazioni aggiuntive, sregolare l'impostazione dei cookie su Sì oppure No.
- Seleziona Salva per applicare le modifiche.
Visualizzare le impostazioni correnti dei cookie - PowerShell
Per visualizzare le impostazioni correnti dei cookie per l'applicazione, usare questo comando di PowerShell:
Get-AzureADApplicationProxyApplication -ObjectId <ObjectId> | fl *
Impostare le impostazioni dei cookie - PowerShell
Nei comandi di PowerShell seguenti è <ObjectId> objectId dell'applicazione.
Cookie solo HTTP
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $false
Cookie sicuro
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $false
Cookie persistenti
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $false