Edit

Share via

Mengonfigurasi kebijakan masa pakai token (pratinjau)

  • Bagaimana

Dalam langkah-langkah berikut, Anda akan menerapkan skenario kebijakan umum yang memberlakukan aturan baru untuk masa pakai token. Anda dapat menentukan masa pakai token akses, SAML, atau ID yang dikeluarkan oleh platform identitas Microsoft. Ini dapat diatur untuk semua aplikasi di organisasi Anda atau untuk aplikasi atau prinsipal tertentu. Mereka juga dapat diatur untuk multi-organisasi (aplikasi multipenyewa). Untuk informasi selengkapnya, lihat Masa pakai token yang dapat dikonfigurasi.

Prasyarat

Untuk memulai, unduh Microsoft Graph PowerShell SDK terbaru.

Membuat kebijakan dan menetapkannya ke aplikasi

Dalam langkah-langkah berikut, Anda akan membuat kebijakan yang mengharuskan pengguna untuk mengautentikasi lebih jarang di aplikasi web Anda. Tetapkan kebijakan ke aplikasi, yang menetapkan masa pakai token akses/ID menjadi 4 jam untuk aplikasi web Anda.

Install-Module Microsoft.Graph

Connect-MgGraph -Scopes  "Policy.ReadWrite.ApplicationConfiguration","Policy.Read.All","Application.ReadWrite.All"

# Create a token lifetime policy
$params = @{
  Definition = @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"4:00:00"}}') 
    DisplayName = "WebPolicyScenario"
  IsOrganizationDefault = $false
}
$tokenLifetimePolicyId=(New-MgPolicyTokenLifetimePolicy -BodyParameter $params).Id

# Display the policy
Get-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId

# Assign the token lifetime policy to an app
$params = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/$tokenLifetimePolicyId"
}

$applicationObjectId="aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

New-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -BodyParameter $params

# List the token lifetime policy on the app
Get-MgApplicationTokenLifetimePolicy -ApplicationId $applicationObjectId

# Remove the policy from the app
Remove-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -TokenLifetimePolicyId $tokenLifetimePolicyId

# Delete the policy
Remove-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId

Membuat kebijakan dan menetapkannya ke perwakilan layanan

Dalam langkah-langkah berikut, Anda akan membuat kebijakan yang mengharuskan pengguna untuk mengautentikasi lebih jarang di aplikasi web Anda. Tetapkan kebijakan ke perwakilan layanan, yang menetapkan masa pakai token akses/ID menjadi 8 jam untuk aplikasi web Anda.

  1. Buat kebijakan masa pakai token.

    POST https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies
Content-Type: application/json
{
    "definition": [
        "{\"TokenLifetimePolicy\":{\"Version\":1,\"AccessTokenLifetime\":\"8:00:00\"}}"
    ],
    "displayName": "Contoso token lifetime policy",
    "isOrganizationDefault": false
}

  2. Tetapkan kebijakan ke perwakilan layanan.

    POST https://graph.microsoft.com/v1.0/servicePrincipals/11111111-1111-1111-1111-111111111111/tokenLifetimePolicies/$ref
Content-Type: application/json
{
  "@odata.id":"https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/22222222-2222-2222-2222-222222222222"
}

  3. Mencantumkan kebijakan pada perwakilan layanan.

    GET https://graph.microsoft.com/v1.0/servicePrincipals/11111111-1111-1111-1111-111111111111/tokenLifetimePolicies

  4. Hapus kebijakan dari perwakilan layanan.

    DELETE https://graph.microsoft.com/v1.0/servicePrincipals/11111111-1111-1111-1111-111111111111/tokenLifetimePolicies/22222222-2222-2222-2222-222222222222/$ref

Menampilkan kebijakan yang sudah ada dalam penyewa

Untuk melihat semua kebijakan yang telah dibuat di organisasi Anda, jalankan cmdlet Get-MgPolicyTokenLifetimePolicy . Hasil apa pun pada nilai properti yang ditentukan yang berbeda dari default yang tercantum di atas berada dalam cakupan penghentian.

  1. Jalankan Get-MgPolicyTokenLifetimePolicy untuk melihat semua kebijakan yang telah dibuat di organisasi Anda.

    Get-MgPolicyTokenLifetimePolicy

  2. Jalankan Daftar berlakuUntuk dengan ID kebijakan Anda untuk melihat aplikasi mana yang ditautkan ke kebijakan tertentu yang Anda identifikasi.

    GET https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/4d2f137b-e8a9-46da-a5c3-cc85b2b840a4/appliesTo

Langkah selanjutnya

Pelajari tentang manajemen sesi autentikasi