Configurações de cookie para acessar aplicativos locais na ID do Microsoft Entra
O Microsoft Entra ID tem cookies de acesso e de sessão para acessar aplicativos locais por meio do proxy de aplicativo. Saiba como usar as configurações de cookie do proxy de aplicativo.
O que são as configurações de cookie?
O proxy de aplicativo usa as seguintes configurações de cookie de sessão e de acesso.
Configuração de cookies | Padrão | Descrição | Recomendações |
---|---|---|---|
Usar Cookie Somente HTTP | Não | Sim permite que o proxy de aplicativo inclua o sinalizador HTTPOnly nos cabeçalhos de resposta HTTP. Esse sinalizador oferece benefícios de segurança adicionais, por exemplo, impede que o script CSS (do lado do cliente) copie ou modifique os cookies. Antes de darmos suporte à configuração HTTPOnly, o proxy de aplicativo criptografava e transmitia cookies por meio de um canal TLS seguro para protegê-los contra modificações. |
Use Sim devido aos benefícios adicionais de segurança. Use Não para clientes ou agentes de usuário que exijam acesso ao cookie de sessão. Por exemplo, use Não para um Protocolo de Área de Trabalho Remota (RDP) ou Cliente de Serviços de Terminal da Microsoft (MTSC) que se conectam a um servidor de Gateway de Área de Trabalho Remota por meio do proxy de aplicativo. |
Usar um Cookie Seguro | Sim | Sim permite que o proxy de aplicativo inclua o sinalizador Seguro nos cabeçalhos de resposta HTTP. Os cookies seguros melhoram a segurança ao transmitir cookies em um canal TLS seguro, como HTTPS. O TLS impede a transmissão de cookie em texto claro. | Use Sim devido aos benefícios adicionais de segurança. |
Usar cookie persistente | Não | Sim permite que o proxy de aplicativo configure seus cookies de acesso para não expirar quando o navegador da web for fechado. A persistência dura até que o token de acesso expire ou até que o usuário exclua manualmente os cookies persistentes. | Use Não por causa do risco de segurança associado à autenticação contínua dos usuários. Sugerimos usar Sim apenas para aplicativos mais antigos que não podem compartilhar cookies entre processos. É melhor atualizar seu aplicativo para lidar com o compartilhamento de cookies entre processos em vez de usar cookies persistentes. Por exemplo, você pode precisar de cookies persistentes para permitir que um usuário abra documentos do Office no modo de exibição de gerenciador em um site do SharePoint. Sem cookies persistentes, essa operação poderá falhar se os cookies de acesso não forem compartilhados entre o navegador, o processo do gerenciador e o processo do Office. |
Cookies SameSite
Os cookies que não especificam o atributo SameSite são tratados como se fossem definidos como SameSite=Lax. O atributo SameSite
declara como os cookies devem ser restritos a um contexto de mesmo site. Quando definido como Lax
, o cookie é enviado apenas para solicitações de mesmo site ou navegação de nível superior. No entanto, o proxy de aplicativo requer que esses cookies sejam preservados no contexto de terceiros para manter os usuários conectados corretamente durante sua sessão. Devido ao requisito, foram feitas atualizações:
- Definir o atributo SameSite para None. os cookies de sessões do proxy de aplicativo são enviados corretamente no contexto de terceiros.
- Definir a configuração Usar Cookie Seguro para que use o valor Sim por padrão. O Chrome rejeita cookies que não usam o sinalizador
Secure
. Essas alterações serão aplicadas a todos os aplicativos existentes publicados por meio do proxy de aplicativo. Os cookies de acesso do proxy de aplicativo são configurados como Seguros e transmitidos apenas por HTTPS. A alteração só se aplica aos cookies de sessão.
Além disso, se seu aplicativo de back-end tiver cookies que precisam de contexto de terceiros, você deverá aceitar explicitamente alterando seu aplicativo para usar SameSite=None
. O proxy de aplicativo converte o cabeçalho Set-Cookie
em suas URLs e respeita as configurações.
Definir as configurações de cookies – Centro de administração do Microsoft Entra
Para definir as configurações de cookies usando o Centro de administração do Microsoft Entra:
- Entre no Centro de administração do Microsoft Entra pelo menos como um Administrador de Aplicativo.
- Navegue até Identidade>Aplicativos>Aplicativos empresariais>Proxy de aplicativo.
- Em Configurações Adicionais, defina a configuração do cookie como Sim ou Não.
- Selecione Salvar para salvar suas alterações.
Exibir configurações de cookie atuais – PowerShell
Para ver as configurações de cookie atuais para o aplicativo, use este comando do PowerShell:
Get-AzureADApplicationProxyApplication -ObjectId <ObjectId> | fl *
Definir configurações de cookie – PowerShell
Nos comandos do PowerShell a seguir, <ObjectId>
é o ObjectId do aplicativo.
Cookie Somente HTTP
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $false
Cookie Seguro
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $false
Cookies Persistentes
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $false