Paramètres de cookies pour l’accès aux applications locales dans Microsoft Entra ID
Microsoft Entra ID contient des cookies d’accès et de session pour accéder aux applications locales via le proxy d’application. Apprenez à utiliser les paramètres de cookies du proxy d'application.
Que sont les paramètres de cookies ?
Le proxy d'application utilise les paramètres de cookies d'accès et de session suivants.
| Paramètre de cookie | Default | Description | Recommandations |
|---|---|---|---|
| Utiliser un cookie HTTPOnly | Non | Oui permet au proxy d'application d'inclure l'indicateur HTTPOnly dans les en-têtes de réponse HTTP. Cet indicateur offre des avantages supplémentaires en matière de sécurité. Par exemple, il empêche les scripts côté client (CSS) de copier ou de modifier les cookies. Avant, lorsque le paramètre HTTPOnly n’était pas pris en charge, le proxy d’application chiffrait et transmettait les cookies sur un canal TLS sécurisé pour empêcher les modifications. |
Utilisez Oui pour bénéficier d’avantages supplémentaires en matière de sécurité. Utilisez Non pour les clients ou agents utilisateurs nécessitant un accès au cookie de session. Par exemple, utilisez Non pour le protocole RDP (Remote Desktop Protocol) ou pour Microsoft Terminal Services Client (MTSC) qui se connecte à un serveur de passerelle Bureau à distance via le proxy d’application. |
| Utiliser un cookie sécurisé | Oui | Oui permet au proxy d'application d'inclure l'indicateur Secure dans les en-têtes de réponse HTTP. Les cookies sécurisés renforcent la sécurité en transmettant les cookies sur un canal TLS sécurisé tel que HTTPS. TLS empêche la transmission des cookies en texte clair. | Utilisez Oui pour bénéficier d’avantages supplémentaires en matière de sécurité. |
| Utiliser un cookie persistant | Non | Oui permet au proxy d'application de configurer ses cookies d'accès pour qu'ils n'expirent pas lorsque le navigateur web est fermé. La persistance dure jusqu'à l'expiration du jeton d'accès ou jusqu'à ce que l'utilisateur supprime manuellement les cookies persistants. | Utilisez Non en raison du risque de sécurité associé au maintien de l'authentification des utilisateurs. Nous vous conseillons de réserver le paramètre Oui aux applications les plus anciennes qui ne peuvent pas partager les cookies entre les processus. Pour gérer le partage des cookies entre les processus, il est préférable de mettre votre application à jour plutôt que d'utiliser des cookies persistants. Par exemple, vous aurez peut-être besoin de cookies persistants pour permettre à un utilisateur d'ouvrir des documents Office en mode Explorateur à partir d'un site SharePoint. Sans les cookies persistants, cette opération peut échouer si les cookies d'accès ne sont pas partagés entre le navigateur, le processus de l'explorateur et le processus Office. |
Cookies SameSite
Les cookies qui ne spécifient pas l’attribut SameSite sont traités comme s’ils étaient définis sur SameSite=Lax. L’attribut SameSite déclare la façon dont les cookies doivent être restreints à un contexte de site identique. Lorsqu’il est défini sur Lax, le cookie est uniquement envoyé à des requêtes du même site ou une navigation de niveau supérieur. Cependant, le proxy d’application exige que ces cookies soient conservés dans le contexte tiers afin que les utilisateurs restent correctement connectés durant leur session. En raison de l’exigence, des mises à jour ont été apportées :
- Définition de l’attribut SameSite sur Aucun. Les cookies de sessions du proxy d’application sont correctement envoyés dans le contexte tiers.
- Définition du paramètre Utiliser un cookie sécurisé sur Oui comme valeur par défaut. Chrome rejette les cookies qui n’utilisent pas l’indicateur
Secure. La modification s’applique à toutes les applications existantes publiées via le proxy d’application. Les cookies d’accès au proxy d’application sont définis sur Sécurisé et transmis uniquement via HTTPS. La modification s’applique uniquement aux cookies de session.
En outre, si votre application principale a des cookies qui ont besoin d’un contexte tiers, vous devez accepter explicitement en modifiant votre application pour utiliser SameSite=None. Le proxy d’application traduit l’en-tête Set-Cookie en ses URL et respecte les paramètres.
Définir les paramètres de cookie – Centre d’administration Microsoft Entra
Définir les paramètres de cookie à l’aide du centre d’administration Microsoft Entra :
- Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur d’applications au moins.
- Accédez à Identité>Applications>Applications d’entreprise>Proxy d’application.
- Sous Paramètres supplémentaires, définissez le paramètre de cookie sur Oui ou Non.
- Sélectionnez Enregistrer pour enregistrer vos modifications.
Afficher les paramètres de cookies en cours - PowerShell
Pour afficher les paramètres actuels en matière de cookie de l’application, utilisez cette commande PowerShell :
Get-AzureADApplicationProxyApplication -ObjectId <ObjectId> | fl *
Définir les paramètres en matière de cookie - PowerShell
Dans les commandes PowerShell suivantes, <ObjectId> correspond à l’ObjectId de l’application.
Cookie HTTPOnly
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $false
Cookie sécurisé
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $false
Cookies persistants
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $false