Jetons d’actualisation dans la plateforme d’identités Microsoft
Lorsqu’un client acquiert un jeton d’accès pour accéder à une ressource protégée, il reçoit aussi un jeton d’actualisation. Le jeton d’actualisation est utilisé pour obtenir de nouvelles paires de jetons d’accès/actualisation à l’expiration du jeton d’accès actuel.
Les jetons d’actualisation permettent également d’acquérir des jetons d’accès supplémentaires pour d’autres ressources. Ils sont associés à une combinaison utilisateur/client, mais ils ne sont pas liés à une ressource ou à un locataire. Un client peut utiliser un jeton d’actualisation pour acquérir des jetons d’accès sur n’importe quelle combinaison de ressource et de tenant (locataire) où il dispose de l’autorisation nécessaire. Les jetons d’actualisation sont chiffrés, et seule la plateforme d’identités Microsoft peut les lire.
Durée de vie des jetons
Les jetons d’actualisation ont une durée de vie plus longue que les jetons d’accès. La durée de vie par défaut des jetons d’actualisation est de 24 heures pour les applications monopages et de 90 jours pour tous les autres scénarios. Les jetons d’actualisation sont automatiquement remplacés par un nouveau jeton après chaque utilisation. La plateforme d’identités Microsoft ne révoque pas les anciens jetons d’actualisation qui ont été utilisés pour récupérer de nouveaux jetons d’accès. Vous pouvez sans problème supprimer l’ancien jeton d’actualisation après l’acquisition d’un nouveau. Les jetons d’actualisation doivent être stockés de manière sécurisée comme les jetons d’accès ou les informations d’identification d’application.
Remarque
Les jetons d’actualisation envoyés à un URI de redirection inscrit en tant que spa expirent au bout de 24 heures. Les jetons d’actualisation supplémentaires acquis à l’aide du jeton d’actualisation initial répercutant ce délai d’expiration, les applications doivent être prêtes à réexécuter le flux de code d’autorisation en utilisant une authentification interactive pour obtenir un nouveau jeton d’actualisation toutes les 24 heures. Les utilisateurs n’ont pas besoin d’entrer leurs informations d’identification et généralement ne voient même pas d’expérience utilisateur associée, juste un rechargement de votre application. Le navigateur doit accéder à la page de connexion dans un cadre de niveau supérieur pour montrer la session de connexion. Cela est dû aux fonctionnalités de confidentialité dans les navigateurs qui bloquent les cookies tiers.
Expiration du jeton
Les jetons d’actualisation peuvent être révoqués à tout moment, en raison de délais d’attente et de révocations. Votre application doit gérer correctement des révocations par le service de connexion en envoyant l’utilisateur vers une invite de connexion interactive pour se reconnecter.
Délais d’expiration des jetons
Vous ne pouvez pas configurer la durée de vie d’un jeton d’actualisation. Vous ne pouvez pas réduire ou allonger leur durée de vie. Il est donc important de s’assurer que les jetons d’actualisation sont sécurisés, car des acteurs malveillants peuvent les extraire à partir d’emplacements publics voire à partir de l’appareil si celui-ci est compromis. Voici quelques opérations que vous pouvez effectuer :
- Configurez la fréquence de connexion dans l’accès conditionnel pour définir la période de temps avant qu’un utilisateur soit invité à se connecter à nouveau. Si vous souhaitez obtenir plus d’informations, consultez Configuration de la gestion de session d’authentification avec l’accès conditionnel.
- Utiliser les services de gestion des applications Microsoft Intune, comme la gestion des applications mobiles (GAM) et la gestion des périphériques mobiles (GPM), pour protéger les données de votre organisation
- Implémenter la stratégie de protection des jetons d’accès conditionnel
Tous les jetons d’actualisation ne suivent pas les règles définies dans la stratégie de durée de vie des jetons. En particulier, les jetons d’actualisation utilisés dans les applications monopages ont toujours une durée d’activité limitée à 24 heures, comme si une stratégie MaxAgeSessionSingleFactor de 24 heures leur était appliquée.
Révocation de jetons
Le serveur peut révoquer des jetons d’actualisation en raison d’une modification des informations d’identification, d’une action de l’utilisateur ou d’une action de l’administrateur. Les jetons d’actualisation se répartissent en deux classes : les jetons émis pour les clients confidentiels (colonne la plus à droite) et les jetons émis pour les clients publics (toutes les autres colonnes).
| Modifier | Cookie basé sur un mot de passe | Jeton basé sur un mot de passe | Cookie non basé sur un mot de passe | Jeton non basé sur un mots de passe | Jeton client confidentiel |
|---|---|---|---|---|---|
| Le mot de passe expire | Reste actif | Reste actif | Reste actif | Reste actif | Reste actif |
| Mot de passe modifié par l’utilisateur | Révoqué | Révoqué | Reste actif | Reste actif | Reste actif |
| L’utilisateur effectue SSPR | Révoqué | Révoqué | Reste actif | Reste actif | Reste actif |
| L’administrateur réinitialise le mot de passe | Révoqué | Révoqué | Reste actif | Reste actif | Reste actif |
| L’utilisateur révoque ses jetons d’actualisation | Révoqué | Révoqué | Révoqué | Révoqué | Révoqué |
| L’administrateur révoque tous les jetons d’actualisation d’un utilisateur | Révoqué | Révoqué | Révoqué | Révoqué | Révoqué |
| Déconnexion unique | Révoqué | Reste actif | Révoqué | Reste actif | Reste actif |
Remarque
Les jetons d’actualisation ne sont pas révoqués pour les utilisateurs B2B dans leur locataire de ressource. Le jeton doit être révoqué dans le locataire d’accueil.