Aktualisieren von Token in der Microsoft-Identitätsplattform
Wenn ein Client ein Zugriffstoken für den Zugriff auf eine geschützte Ressource abruft, erhält er auch ein Aktualisierungstoken. Das Aktualisierungstoken wird verwendet, um neue Zugriffs- und Aktualisierungstokenpaare abzurufen, wenn das aktuelle Zugriffstoken abläuft.
Aktualisierungstoken werden auch verwendet, um zusätzliche Zugriffstoken für andere Ressourcen abzurufen. Aktualisierungstoken sind an eine Kombination aus Benutzer und Client gebunden, aber nicht an eine Ressource oder einen Mandanten. Ein Client kann ein Aktualisierungstoken verwenden, um Zugriffstoken für eine beliebige Kombination von Ressourcen und Mandanten zu erwerben, sofern er dazu berechtigt ist. Aktualisierungstoken werden verschlüsselt und können nur von Microsoft Identity Platform gelesen werden.
Lebensdauer von Token
Aktualisierungstoken haben eine längere Gültigkeitsdauer als Zugriffstoken. Die Standarddauer für die Aktualisierungstoken beträgt 24 Stunden für Einzelseiten-Apps und 90 Tage für alle anderen Szenarien. Aktualisierungstoken ersetzen sich bei jeder Verwendung selbst durch ein neues Token. Microsoft Identity Platform widerruft keine alten Aktualisierungstoken, wenn damit neue Zugriffstoken abgerufen werden. Löschen Sie das alte Aktualisierungstoken dauerhaft, nachdem Sie ein neues Token abgerufen haben. Aktualisierungstoken müssen wie Zugriffstoken oder Anwendungsanmeldeinformationen sicher gespeichert werden.
Hinweis
Aktualisierungstoken, die an einen als spa registrierten Umleitungs-URI gesendet werden, laufen nach 24 Stunden ab. Weitere Aktualisierungstoken, die mithilfe des ersten Aktualisierungstoken abgerufen werden, übernehmen diese Gültigkeitsdauer. Apps müssen also darauf vorbereitet sein, den Autorisierungscodeflow mithilfe einer interaktiven Authentifizierung erneut auszuführen, um alle 24 Stunden ein neues Aktualisierungstoken abzurufen. Benutzer müssen ihre Anmeldeinformationen nicht eingeben und sehen in der Regel keine zugehörige Benutzeroberfläche. Stattdessen wird Ihre Anwendung neu geladen. Der Browser muss die Anmeldeseite in einem Frame der obersten Ebene besuchen, um die Anmeldesitzung anzuzeigen. Dies liegt an den Datenschutzfunktionen bei Browsern, die Cookies von Drittanbietern blockieren.
Tokenablauf
Aktualisierungstoken können aufgrund von Timeouts und Sperrungen jederzeit widerrufen werden. Ihre App muss Sperrungen durch den Anmeldedienst angemessen verarbeiten, indem sie den Benutzer an eine interaktive Anmeldeaufforderung sendet, um sich erneut anzumelden.
Tokenzeitüberschreitungen
Sie können die Gültigkeitsdauer eines Aktualisierungstokens nicht konfigurieren. Sie können ihre Gültigkeitsdauer nicht verkürzen oder verlängern. Es ist daher wichtig, Aktualisierungstoken abzusichern, da sie an öffentlichen Speicherorten von böswilligen Akteuren extrahiert werden können oder sogar vom Gerät selbst, wenn dieses kompromittiert wird. Sie können einige Dinge erledigen:
- Konfigurieren Sie die Anmeldehäufigkeit in „Bedingter Zugriff“, um die Zeiträume festzulegen, bevor sich ein Benutzer erneut anmelden muss. Weitere Informationen finden Sie unter Konfigurieren der Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff.
- Verwenden Sie Microsoft Intune-App-Verwaltungsdienste wie die Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) und die Verwaltung mobiler Geräte (Mobile Device Management, MDM), um die Daten Ihrer Organisation zu schützen.
- Implementieren Sie eine Tokenschutzrichtlinie für bedingten Zugriff.
Nicht alle Aktualisierungstoken folgen den Regeln, die in der Richtlinie für die Tokengültigkeitsdauer festgelegt sind. Insbesondere in Single-Page-Apps verwendete Aktualisierungstoken sind stets auf 24 Stunden Aktivität festgelegt, als würde für sie eine MaxAgeSessionSingleFactor-Richtlinie von 24 Stunden gelten.
Widerrufen von Token
Der Server kann Aktualisierungstoken aufgrund einer Änderung der Anmeldeinformationen, einer Benutzeraktion oder einer Administratoraktion widerrufen. Aktualisierungstoken werden in zwei Klassen unterteilt: Token, die für vertrauliche Clients ausgestellt werden (die Spalte ganz rechts), und Token, die für öffentliche Clients (alle anderen Spalten) ausgestellt werden.
| Change | Kennwortbasiertes Cookie | Kennwortbasiertes Token | Nicht kennwortbasiertes Cookie | Nicht kennwortbasiertes Token | Vertrauliches Clienttoken |
|---|---|---|---|---|---|
| Kennwort läuft ab | Bleibt aktiv | Bleibt aktiv | Bleibt aktiv | Bleibt aktiv | Bleibt aktiv |
| Kennwort wird vom Benutzer geändert | Widerrufen | Widerrufen | Bleibt aktiv | Bleibt aktiv | Bleibt aktiv |
| Benutzer verwendet SSPR | Widerrufen | Widerrufen | Bleibt aktiv | Bleibt aktiv | Bleibt aktiv |
| Administrator setzt Kennwort zurück | Widerrufen | Widerrufen | Bleibt aktiv | Bleibt aktiv | Bleibt aktiv |
| Der Benutzer widerruft seine Aktualisierungstoken | Widerrufen | Widerrufen | Widerrufen | Widerrufen | Widerrufen |
| Der Administrator widerruft alle Aktualisierungstoken für einen Benutzer | Widerrufen | Widerrufen | Widerrufen | Widerrufen | Widerrufen |
| Einmaliges Abmelden | Widerrufen | Bleibt aktiv | Widerrufen | Bleibt aktiv | Bleibt aktiv |
Hinweis
Aktualisierungstoken werden für B2B-Benutzer und -Benutzerinnen in ihrem Ressourcenmandanten nicht widerrufen. Das Token muss im Home-Mandanten widerrufen werden.