Параметры cookie для доступа к локальным приложениям в идентификаторе Microsoft Entra
Идентификатор Microsoft Entra имеет файлы cookie доступа и сеанса для доступа к локальным приложениям через прокси приложения. Узнайте, как настроить параметры cookie для прокси-сервера приложения.
Что такое параметры файлов cookie
Прокси приложения использует следующие параметры доступа и файла cookie сеанса.
| Параметр файла cookie | По умолчанию. | Описание | Рекомендации |
|---|---|---|---|
| Использовать файл cookie, предназначенный только для HTTP | Нет |
Да , прокси приложения может включить флаг HTTPOnly в заголовки ответа HTTP. Этот флаг обеспечивает дополнительные преимущества безопасности, например, предотвращает копирование или изменение файлов cookie на стороне клиента (CSS). До того как мы поддержали параметр "Только HTTP", прокси-сервер приложения шифровал и передавал файлы cookie через защищенный канал TLS для защиты от изменений. |
Используйте "Да " из-за дополнительных преимуществ безопасности. Выберите Нет для клиентов или агентов пользователей, которым требуется доступ к файлам cookie сеанса. Например, используйте no для Remote Desktop Protocol (RDP) или Microsoft Terminal Services Client (MTSC), который подключается к серверу шлюза удаленных рабочих столов через прокси приложения. |
| Использование безопасного файла cookie | Да | Да , прокси приложения позволяет включить флаг Secure в заголовки ответа HTTP. Защищенные файлы cookie повышают безопасность, передавая файлы через защищенный канал TLS, такой как HTTPS. TLS предотвращает передачу файлов cookie в виде ясного текста. | Используйте "Да " из-за дополнительных преимуществ безопасности. |
| Использовать постоянные файлы cookie | Нет | Да позволяет прокси-серверу приложения задать срок действия файлов cookie доступа, которые не истекают при закрытии веб-браузера. Сохраняемость длится до окончания срока действия маркера доступа, или пока пользователь вручную не удалит постоянные файлы cookie. | Выберите Нет из-за угрозы безопасности, связанной с сохранением аутентификации пользователей. Мы рекомендуем выбирать вариант Да только для более старых приложений, которые не могут совместно использовать файлы cookie между процессами. Лучше обновить приложение, чтобы настроить разделение файлов cookie между процессами, вместо использования постоянных файлов cookie. Например, вам могут потребоваться постоянные файлы cookie, чтобы разрешить открывать документы Office в представлении проводника с сайта SharePoint. Без постоянных файлов cookie эта операция может завершиться ошибкой, если файлы cookie не будут передаваться между браузером, процессом проводника и процессом Office. |
Файлы cookie SameSite
Файлы cookie, не указывающие атрибут SameSite , обрабатываются так же, как если бы они были заданы для SameSite=Lax. Атрибут SameSite объявляет, как файлы cookie должны быть ограничены контекстом одного сайта. Если установлено значение Lax, файл cookie отправляется только в запросы с того же сайта или для навигации на верхнем уровне. Однако прокси приложения требует, чтобы эти файлы cookie сохранялись в стороннем контексте, чтобы пользователи правильно вошли в систему во время сеанса. В связи с требованием были сделаны обновления:
- Присвоение атрибуту SameSite значения None (Нет). Файлы cookie прокси-сеансов приложений правильно отправляются в стороннем контексте.
- Установка параметра Использовать безопасный файл cookie для использования значения по умолчанию Да. Chrome отклоняет файлы cookie, не использующие
Secureфлаг. Это изменение применяется ко всем существующим приложениям, опубликованным через прокси приложения. Файлы cookie доступа прокси приложения установлены как Secure и передаются только по протоколу HTTPS. Изменение применяется только к файлам cookie сеанса.
Кроме того, если в вашем серверном приложении есть файлы cookie, необходимые для стороннего контекста, необходимо явно согласиться на использование SameSite=None приложения. Прокси приложения преобразует Set-Cookie заголовок в URL-адреса и учитывает параметры.
Настройка параметров cookie — Центр администрирования Microsoft Entra
Чтобы задать параметры cookie с помощью Центра администрирования Microsoft Entra, выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra как минимум под учетной записью Администратора приложений.
- Перейдите к Identity>Applications>Enterprise applications>Application proxy.
- В разделе Дополнительные параметры установите параметр файла cookie как Да или Нет.
- Нажмите кнопку Сохранить, чтобы применить изменения.
Просмотр текущих параметров файлов cookie — PowerShell
Чтобы просмотреть текущие параметры cookie для приложения, используйте следующую команду PowerShell:
Get-AzureADApplicationProxyApplication -ObjectId <ObjectId> | fl *
Настройка параметров файлов cookie — PowerShell
В приведенных ниже командах PowerShell <ObjectId> — это ObjectId приложения.
HTTP-Only файлы cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $false
Безопасные файлы cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $false
Постоянные файлы cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $false