Aktualizace tokenů na platformě Microsoft Identity Platform
Když klient získá přístupový token pro přístup k chráněnému prostředku, klient obdrží také obnovovací token. Obnovovací token se používá k získání nových dvojic přístupových a obnovovacích tokenů při vypršení platnosti aktuálního přístupového tokenu.
Obnovovací tokeny se také používají k získání dodatečných přístupových tokenů pro jiné prostředky. Obnovovací tokeny jsou vázané na kombinaci uživatele a klienta, ale nejsou svázané s prostředkem nebo tenantem. Klient může použít obnovovací token k získání přístupových tokenů v libovolné kombinaci prostředku a tenanta, kde k tomu má oprávnění. Obnovovací tokeny jsou šifrované a jen platforma Microsoft Identity Platform je může číst.
Životnost tokenu
Obnovovací tokeny mají delší životnost než přístupové tokeny. Výchozí životnost obnovovacích tokenů je 24 hodin pro jednostrákové aplikace a 90 dní pro všechny ostatní scénáře. Obnovovací tokeny se při každém použití nahradí čerstvým tokenem. Platforma Microsoft Identity Platform neodvolá staré obnovovací tokeny, pokud se používají k načtení nových přístupových tokenů. Po získání nového tokenu aktualizace bezpečně odstraňte starý obnovovací token. Obnovovací tokeny je potřeba bezpečně ukládat, jako jsou přístupové tokeny nebo přihlašovací údaje aplikace.
Poznámka:
Platnost obnovovacích tokenů odeslaných na identifikátor URI přesměrování zaregistrovaný po spa 24 hodinách vyprší. Další obnovovací tokeny získané pomocí počátečního obnovovacího tokenu se přenesou během této doby vypršení platnosti, takže aplikace musí být připraveny znovu spustit tok autorizačního kódu pomocí interaktivního ověřování, aby získaly nový obnovovací token každých 24 hodin. Uživatelé nemusí zadávat svoje přihlašovací údaje a obvykle nevidí žádné související uživatelské prostředí, jenom opětovné načtení aplikace. Prohlížeč musí navštívit přihlašovací stránku v rámci nejvyšší úrovně, aby se zobrazila relace přihlášení. Důvodem jsou funkce ochrany osobních údajů v prohlížečích, které blokují soubory cookie třetích stran.
Vypršení platnosti tokenu
Obnovovací tokeny je možné kdykoli odvolat z důvodu vypršení časového limitu a odvolání. Vaše aplikace musí řádně zpracovávat odvolání přihlašovací službou odesláním uživatele na interaktivní výzvu k přihlášení, aby se znovu přihlásila.
Vypršení časových limitů tokenů
Životnost obnovovacího tokenu nemůžete nakonfigurovat. Nemůžete zkrátit ani prodloužit jejich životnost. Proto je důležité zajistit zabezpečení obnovovacích tokenů, protože je možné je extrahovat z veřejných umístění špatnými aktéry nebo skutečně ze samotného zařízení, pokud dojde k ohrožení zabezpečení zařízení. Existuje několik věcí, které můžete udělat:
- Nakonfigurujte frekvenci přihlašování v podmíněném přístupu, abyste definovali časová období před tím, než se uživatel musí znovu přihlásit. Další informace najdete v tématu Konfigurace správy relací ověřování pomocí podmíněného přístupu.
- Použití služeb pro správu aplikací Microsoft Intune, jako je správa mobilních aplikací (MAM) a správa mobilních zařízení (MDM) k ochraně dat vaší organizace
- Implementace zásad ochrany tokenů podmíněného přístupu
Ne všechny obnovovací tokeny se řídí pravidly nastavenými v zásadách životnosti tokenu. Konkrétně se obnovovací tokeny používané v jednostrákových aplikacích vždy opravují na 24 hodin aktivity, jako by se MaxAgeSessionSingleFactor na ně použily zásady 24 hodin.
Odvolání tokenu
Server může odvolat obnovovací tokeny kvůli změně přihlašovacích údajů, akce uživatele nebo akce správce. Obnovovací tokeny spadají do dvou tříd: tokeny vydané důvěrným klientům (sloupec úplně vpravo) a tokeny vydané veřejným klientům (všechny ostatní sloupce).
| Změnit | Soubor cookie založený na heslech | Token založený na heslech | Soubor cookie bez hesla | Token bez hesla | Důvěrný token klienta |
|---|---|---|---|---|---|
| Platnost hesla vyprší. | Zůstane naživu | Zůstane naživu | Zůstane naživu | Zůstane naživu | Zůstane naživu |
| Heslo změněné uživatelem | Odvolán | Odvolán | Zůstane naživu | Zůstane naživu | Zůstane naživu |
| Uživatel provede samoobslužné resetování hesla | Odvolán | Odvolán | Zůstane naživu | Zůstane naživu | Zůstane naživu |
| Správa resetuje heslo | Odvolán | Odvolán | Zůstane naživu | Zůstane naživu | Zůstane naživu |
| Uživatel odvolá své obnovovací tokeny. | Odvolán | Odvolán | Odvolán | Odvolán | Odvolán |
| Správa odvolá všechny obnovovací tokeny pro uživatele. | Odvolán | Odvolán | Odvolán | Odvolán | Odvolán |
| Jednotné odhlašování | Odvolán | Zůstane naživu | Odvolán | Zůstane naživu | Zůstane naživu |
Poznámka:
Obnovovací tokeny nejsou odvolány pro uživatele B2B ve svém tenantovi prostředků. Token je potřeba odvolat v domovském tenantovi.