Pengaturan cookie untuk mengakses aplikasi lokal di MICROSOFT Entra ID
MICROSOFT Entra ID memiliki cookie akses dan sesi untuk mengakses aplikasi lokal melalui proksi aplikasi. Cari tahu cara menggunakan pengaturan cookie proksi aplikasi.
Apa saja pengaturan cookie?
Proksi aplikasi menggunakan pengaturan cookie akses dan sesi berikut.
| Pengaturan cookie | Default | Deskripsi | Rekomendasi |
|---|---|---|---|
| Menggunakan cookie khusus HTTP | Tidak | Ya memungkinkan proksi aplikasi untuk menyertakan bendera HTTPOnly di header respons HTTP. Bendera ini memberikan manfaat keamanan tambahan, misalnya, mencegah pembuatan skrip sisi klien (CSS) menyalin atau memodifikasi cookie. Sebelum kami mendukung pengaturan HTTP-Only, proksi aplikasi mengenkripsi dan mengirimkan cookie melalui saluran Keamanan Lapisan Transportasi (TLS) aman untuk melindungi dari modifikasi. |
Gunakan Ya karena manfaat keamanan tambahan. Gunakan Tidak untuk klien atau agen pengguna yang memerlukan akses ke cookie sesi. Misalnya, gunakan Tidak untuk Protokol Desktop Jauh (RDP) atau Klien Layanan Terminal Microsoft (MTSC) yang tersambung ke server Gateway Desktop Jauh melalui proksi aplikasi. |
| Menggunakan Cookie yang Aman | Ya | Ya memungkinkan proksi aplikasi untuk menyertakan bendera Aman di header respons HTTP. Secure Cookies meningkatkan keamanan dengan mengirimkan cookie melalui saluran aman TLS seperti HTTPS. TLS mencegah transmisi cookie dalam teks yang jelas. | Gunakan Ya karena manfaat keamanan tambahan. |
| Menggunakan Cookie Persisten | Tidak | Ya memungkinkan proksi aplikasi untuk mengatur cookie aksesnya agar tidak kedaluwarsa ketika browser web ditutup. Kegigihan berlangsung hingga token akses kedaluwarsa, atau sampai pengguna menghapus cookie persisten secara manual. | Gunakan Tidak karena risiko keamanan yang terkait dengan menjaga pengguna tetap terautentikasi. Kami menyarankan hanya menggunakan Ya untuk aplikasi lama yang tidak dapat berbagi cookie di antara proses. Lebih baik memperbarui aplikasi Anda untuk menangani berbagi cookie antara proses alih-alih menggunakan cookie persisten. Misalnya, Anda mungkin memerlukan cookie tetap untuk memperbolehkan pengguna membuka dokumen Office dalam tampilan explorer dari situs SharePoint. Tanpa cookie tetap, operasi ini mungkin gagal jika cookie akses tidak dibagikan antara browser, proses penjelajah, dan proses Office. |
SameSite Cookies
Cookie yang tidak menentukan atribut SameSite diperlakukan seolah-olah mereka diatur ke SameSite=Lax. Atribut SameSite menyatakan bagaimana cookie harus dibatasi untuk konteks situs yang sama. Ketika diatur ke Lax, cookie hanya dikirim ke permintaan situs yang sama atau navigasi tingkat atas. Namun, proksi aplikasi mengharuskan cookie ini dipertahankan dalam konteks pihak ketiga untuk menjaga pengguna tetap masuk dengan benar selama sesi mereka. Karena persyaratan, pembaruan dilakukan:
- Mengatur atribut SameSite ke None. cookie sesi proksi aplikasi dikirim dengan benar dalam konteks pihak ketiga.
- Mengatur pengaturan Gunakan Cookie Aman untuk menggunakan Ya sebagai default. Chrome menolak cookie yang tidak menggunakan
Securebendera. Perubahan berlaku untuk semua aplikasi yang ada yang diterbitkan melalui proksi aplikasi. Cookie akses proksi aplikasi diatur ke Aman dan hanya ditransmisikan melalui HTTPS. Perubahan hanya berlaku untuk cookie sesi.
Selain itu, jika aplikasi back-end Anda memiliki cookie yang memerlukan konteks pihak ketiga, Anda harus secara eksplisit ikut serta dengan mengubah aplikasi Anda untuk menggunakan SameSite=None. Proksi aplikasi menerjemahkan Set-Cookie header ke URL-nya dan menghormati pengaturan.
Mengatur pengaturan cookie - Pusat admin Microsoft Entra
Untuk mengatur pengaturan cookie menggunakan pusat admin Microsoft Entra:
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi.
- Telusuri ke proksi Aplikasi>Perusahaan Aplikasi Aplikasi Identity>Applications.>
- Di bawah Pengaturan Tambahan, atur pengaturan cookie ke Ya atau Tidak.
- Pilih Simpan untuk menerapkan perubahan Anda.
Menampilkan pengaturan cookie saat ini - PowerShell
Untuk melihat pengaturan cookie saat ini untuk aplikasi, gunakan perintah PowerShell ini:
Get-AzureADApplicationProxyApplication -ObjectId <ObjectId> | fl *
Mengatur pengaturan cookie - PowerShell
Dalam perintah PowerShell berikut, <ObjectId> adalah ObjectId aplikasi.
Http-Only Cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $false
Secure Cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $false
Persistent Cookies
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $false