Cookieeinstellungen für den Zugriff auf lokale Anwendungen in Microsoft Entra ID
Microsoft Entra ID umfasst Zugriffs- und Sitzungscookies für den Zugriff auf lokale Anwendungen über den Anwendungsproxy. Finden Sie heraus, wie die Cookieeinstellungen für den Anwendungsproxy verwendet werden.
Wie lauten die Cookieeinstellungen?
Der Anwendungsproxy verwendet die folgenden Einstellungen für Zugriffs- und Sitzungscookies.
| Cookieeinstellung | Standard | BESCHREIBUNG | Empfehlungen |
|---|---|---|---|
| Nur-HTTP-Cookie verwenden | Nein | Bei Festlegung von Ja kann der Anwendungsproxy das Flag „HTTPOnly“ in HTTP-Antwortheader einschließen. Dieses Flag bietet zusätzliche Sicherheitsvorteile, z. B. wird das Kopieren oder Ändern von Cookies über ein clientseitiges Scripting (CSS) verhindert. Vor der Unterstützung der Einstellung „HTTP-Only“ verschlüsselte der Anwendungsproxy Cookies und übermittelte sie über einen sicheren Transport Layer Security-Kanal (TLS), um Schutz vor Änderungen bereitzustellen. |
Verwenden Sie Ja, um von den zusätzlichen Sicherheitsvorteilen zu profitieren. Verwenden Sie Nein für Clients oder Benutzer-Agents, die keinen Zugriff auf das Sitzungscookie benötigen. Verwenden Sie beispielsweise Nein für RDP (Remote Desktop Protocol) oder MTSC-Client (Microsoft Terminal Services), der über den Anwendungsproxy eine Verbindung mit einem Remotedesktop-Gatewayserver herstellt. |
| Sicheres Cookie verwenden | Ja | Bei Festlegung von Ja kann der Anwendungsproxy das Flag „Secure“ in HTTP-Antwortheader einschließen. Sichere Cookies erhöhen die Sicherheit, weil sie über einen TLS-gesicherten Kanal wie z.B. HTTPS übertragen werden. TLS verhindert die Cookie-Übertragung in Klartext. | Verwenden Sie Ja, um von den zusätzlichen Sicherheitsvorteilen zu profitieren. |
| Beständiges Cookie verwenden | Nein | Bei Festlegung auf Ja kann der Anwendungsproxy Zugriffscookies so festlegen, dass sie beim Schließen des Webbrowsers nicht ablaufen. Cookies bleiben erhalten, bis das Zugriffstoken abläuft oder der Benutzer die persistenten Cookies manuell löscht. | Verwenden Sie Nein wegen des Sicherheitsrisikos, das mit der Beibehaltung der Authentifizierung von Benutzern verbunden ist. Wir empfehlen, Ja nur für ältere Anwendungen zu verwenden, die Cookies nicht zwischen Prozessen gemeinsam verwenden können. Es ist besser, Ihre Anwendung zur gemeinsamen Nutzung von Cookies zwischen Prozessen zu aktualisieren, als beständige Cookies zu verwenden. Angenommen, Sie benötigen beständige Cookies, damit ein Benutzer von einer SharePoint-Website aus Office-Dokumente in der Explorer-Ansicht öffnen kann. Ohne beständige Cookies kommt es bei diesem Vorgang möglicherweise zu Fehlern, wenn die Zugriffscookies nicht vom Browser, dem Explorer-Prozess und dem Office-Prozess gemeinsam verwendet werden. |
SameSite-Cookies
Cookies, die das SameSite-Attribut nicht angeben, werden so behandelt, als ob sie auf SameSite=Lax festgelegt wurden. Das SameSite-Attribut deklariert, wie Cookies auf einen SameSite-Kontext beschränkt werden sollen. Wenn es auf Lax festgelegt ist, wird das Cookie nur mit Anforderungen der gleichen Website und mit Navigation auf oberster Ebene gesendet. Der Anwendungsproxy erfordert jedoch, dass diese Cookies im Drittanbieterkontext beibehalten werden, damit die Benutzer während ihrer Sitzung ordnungsgemäß angemeldet bleiben. Aufgrund der Anforderung wurden Updates vorgenommen:
- Das SameSite-Attribut wird auf None festgelegt. Sitzungscookies des Anwendungsproxys werden ordnungsgemäß im Drittanbieterkontext gesendet.
- Für die Einstellung Sicheres Cookie verwenden wird Ja als Standardeinstellung festgelegt. Chrome lehnt Cookies ab, die nicht die
Secure-Kennzeichnung verwenden. Die Änderung gilt für alle über den Anwendungsproxy veröffentlichten Anwendungen. Anwendungsproxy-Zugriffscookies sind immer auf „Secure“ festgelegt und werden nur über HTTPS übertragen. Die Änderung gilt nur für die Sitzungscookies.
Wenn Ihre Back-End-Anwendung Cookies enthält, die einen Drittanbieter-Kontext benötigen, ist es außerdem erforderlich, dies explizit anzugeben, indem Sie Ihre Anwendung so ändern, dass SameSite=None für diese Cookies verwendet wird. Der Anwendungsproxy übersetzt den Header Set-Cookie in seine URLs und berücksichtigt die Einstellungen.
Festlegen der Cookie-Einstellungen – Microsoft Entra Admin Center
So legen Sie die Cookie-Einstellungen in dem Microsoft Entra Admin Center fest:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Anwendungsadministrator an.
- Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Anwendungsproxy.
- Legen Sie unter Zusätzliche Einstellungen die Cookieeinstellung auf Ja oder Nein fest.
- Klicken Sie zum Übernehmen der Änderungen auf Speichern.
Anzeigen der aktuellen Cookieeinstellungen – PowerShell
Um die aktuellen Cookieeinstellungen für die Anwendung anzuzeigen, verwenden Sie diesen PowerShell-Befehl:
Get-AzureADApplicationProxyApplication -ObjectId <ObjectId> | fl *
Festlegen der Cookieeinstellungen – PowerShell
In den folgenden PowerShell-Befehlen ist <ObjectId> die ObjectId der Anwendung.
Nur-HTTP-Cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $false
Sicheres Cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $false
Beständige Cookies
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $false