Durata dei token configurabili in Microsoft Identity Platform (anteprima)
È possibile specificare la durata di un token di accesso, ID o SAML rilasciato da Microsoft Identity Platform. È possibile impostare la durata dei token per tutte le app dell'organizzazione, per le applicazioni multi-tenant (multi-organizzazione) o per le entità servizio. Attualmente non è supportata la configurazione delle durate dei token per le entità servizio dell'identità gestita.
In Microsoft Entra ID, un oggetto criteri rappresenta un set di regole applicate a singole applicazioni o a tutte le applicazioni di un'organizzazione. Ogni tipo di criteri ha una struttura univoca con un set di proprietà che vengono applicate agli oggetti a cui sono assegnate.
È possibile designare un oggetto criteri come predefinito per l'organizzazione. I criteri vengono applicati a tutte le applicazioni all'interno dell'organizzazione, fino a quando non vengono sostituiti da criteri con priorità più alta. È anche possibile assegnare criteri ad applicazioni specifiche. L'ordine di priorità varia in base al tipo di criteri.
Per esempi, vedere esempi di come configurare la durata dei token.
Nota
I criteri di durata dei token configurabili si applicano solo ai client per dispositivi mobili e desktop che accedono alle risorse di SharePoint Online e OneDrive for Business e non si applicano alle sessioni del Web browser. Per gestire la durata delle sessioni del Web browser per SharePoint Online e OneDrive for Business, usare la funzionalità durata della sessione di accesso condizionale. Fare riferimento ai blog di SharePoint Online per altre informazioni sulla configurazione dei timeout di sessione inattiva.
Nota
È possibile aumentare la durata del token in modo che uno script venga eseguito per più di un'ora. Molte librerie Microsoft, ad esempio Microsoft Graph PowerShell SDK, estendono la durata del token in base alle esigenze e non è necessario apportare modifiche ai criteri del token di accesso.
Requisiti di licenza
L'uso di questa funzionalità richiede una licenza microsoft Entra ID P1. Per trovare la licenza appropriata per i requisiti, vedere Confronto delle funzionalità disponibili a livello generale delle edizioni Gratuito e Premium.
Anche i clienti con licenze di Microsoft 365 Business possono accedere alle funzionalità di accesso condizionale.
Criteri di durata dei token per i token di accesso, SAML e ID
È possibile impostare i criteri di durata dei token per i token di accesso, i token SAML e i token ID.
Token di accesso
I client usano i token di accesso per accedere a una risorsa protetta. I token di accesso possono essere usati solo per una combinazione specifica di utente, client e risorsa. I token di accesso non possono essere revocati e sono validi fino alla scadenza. Un attore malintenzionato può usare un eventuale token di accesso ottenuto per la sua intera durata. La regolazione della durata di un token di accesso è un compromesso tra il miglioramento delle prestazioni del sistema e l'aumento del tempo di conservazione dell'accesso da parte del client dopo la disabilitazione dell'account dell'utente. Il miglioramento delle prestazioni di sistema si ottiene riducendo il numero delle volte in cui un client deve acquisire un token di accesso aggiornato.
La durata predefinita di un token di accesso è variabile. Quando viene emesso, alla durata predefinita di un token di accesso viene assegnato un valore casuale compreso tra 60 e 90 minuti (75 minuti in media). La durata predefinita varia anche a seconda dell'applicazione client che richiede il token o se l'accesso condizionale è abilitato nel tenant. Per altre informazioni, vedere Durata del token di accesso.
Token SAML
I token SAML vengono usati da molte applicazioni SaaS basate sul Web e vengono ottenuti usando l'endpoint del protocollo SAML2 di Microsoft Entra ID. Vengono usati anche dalle applicazioni che usano WS-Federation. La durata predefinita del token è 1 ora. Dal punto di vista di un'applicazione, il periodo di validità del token viene specificato dal valore NotOnOrAfter dell'elemento <conditions …>
nel token. Al termine del periodo di validità del token, il client deve avviare una nuova richiesta di autenticazione, che spesso verrà soddisfatta senza l'accesso interattivo in seguito al token di sessione Single Sign On (SSO).
Il valore di NotOnOrAfter può essere modificato usando il AccessTokenLifetime
parametro in un oggetto TokenLifetimePolicy
. Verrà impostato sulla durata configurata nei criteri, se presente, più un fattore di asimmetria dell'orologio di cinque minuti.
La conferma dell'oggetto NotOnOrAfter specificata nell'elemento <SubjectConfirmationData>
non è interessata dalla configurazione della durata del token.
Token ID
I token ID vengono passati a siti Web e client nativi e contengono informazioni relative al profilo di un utente. Ogni token ID è associato a una combinazione specifica di utente e client ed è considerato valido fino alla relativa scadenza. In genere, un'applicazione Web corrisponde alla durata della sessione di un utente nell'applicazione fino alla durata del token ID emesso per l'utente. È possibile modificare la durata di un token ID per controllare la frequenza con cui l'applicazione Web scade la sessione dell'applicazione e la frequenza con cui l'utente deve essere autenticato nuovamente con Microsoft Identity Platform (in modo invisibile all'utente o in modo interattivo).
Criteri di durata dei token per i token di aggiornamento e i token di sessione
Non è possibile impostare i criteri di durata dei token per i token di aggiornamento e i token di sessione. Per informazioni su durata, timeout e revoca sui token di aggiornamento, vedere Token di aggiornamento.
Importante
A partire dal 30 gennaio 2021 non è possibile configurare la durata dei token di aggiornamento e sessione. Microsoft Entra non rispetta più la configurazione dei token di aggiornamento e sessione nei criteri esistenti. I nuovi token rilasciati dopo la scadenza dei token esistenti sono ora impostati sulla configurazione predefinita. È comunque possibile configurare la durata dei token di accesso, SAML e ID dopo il ritiro della configurazione del token di aggiornamento e sessione.
La durata del token esistente non verrà modificata. Dopo la scadenza, verrà rilasciato un nuovo token in base al valore predefinito.
Se è necessario continuare a definire il periodo di tempo prima che venga richiesto a un utente di eseguire di nuovo l'accesso, configurare la frequenza di accesso nell'accesso condizionale. Per altre informazioni sull'accesso condizionale, vedere Configurare la gestione delle sessioni di autenticazione con l'accesso condizionale.
Proprietà configurabili per la durata dei token
I criteri per la durata dei token rappresentano un tipo di oggetto criteri contenente le regole di durata dei token. Questo criterio controlla per quanto tempo vengono considerati validi i token di accesso, SAML e ID per questa risorsa. I criteri di durata dei token non possono essere impostati per i token di aggiornamento e sessione. Se non si impostano criteri, il valore di durata predefinito viene applicato dal sistema.
Proprietà dei criteri di durata dei token Access, ID e SAML2
Riducendo la proprietà Durata dei token di accesso è possibile ridurre il rischio che un token di accesso o un token ID vengano usati da un attore malintenzionato per un lungo periodo di tempo. Questi token non possono essere revocati. Il compromesso è che le prestazioni sono influenzate negativamente, perché i token devono essere sostituiti più spesso.
Per un esempio, vedere Creare un criterio per l'accesso Web.
La configurazione del token Access, ID e SAML2 è interessata dalle proprietà seguenti e dai rispettivi valori impostati:
- Proprietà: Durata del token di accesso
- Stringa di proprietà dei criteri: AccessTokenLifetime
- Influisce su: token di accesso, token ID, token SAML2
- Impostazione predefinita:
- Token di accesso: varia a seconda dell'applicazione client che richiede il token. Ad esempio, i client in grado di valutare l'accesso continuo (CAE) che negoziano sessioni compatibili con CAE vedranno una durata di token di lunga durata (fino a 28 ore).
- Token ID, token SAML2: 1 ora
- Minimo: 10 minuti
- Massimo: 1 giorno
Proprietà dei criteri di durata dei token di aggiornamento e sessione
La configurazione del token di aggiornamento e sessione è interessata dalle proprietà seguenti e dai rispettivi valori impostati. Dopo il ritiro della configurazione del token di aggiornamento e sessione il 30 gennaio 2021, Microsoft Entra ID rispetta solo i valori predefiniti descritti di seguito. Se si decide di non usare l'accesso condizionale per gestire la frequenza di accesso, i token di aggiornamento e sessione verranno impostati sulla configurazione predefinita in tale data e non sarà più possibile modificarne la durata.
Proprietà | Stringa proprietà criteri | Impatto | Default |
---|---|---|---|
Tempo inattività massimo token di aggiornamento | MaxInactiveTime | Token di aggiornamento | 90 giorni |
Validità massima token di aggiornamento a fattore singolo | MaxAgeSingleFactor | Token di aggiornamento (per tutti gli utenti) | Fino a revoca |
Validità massima token di aggiornamento a più fattori | MaxAgeMultiFactor | Token di aggiornamento (per tutti gli utenti) | Fino a revoca |
Validità massima token di sessione a fattore singolo | MaxAgeSessionSingleFactor | Token di sessione (permanenti e non permanenti) | Fino a revoca |
Validità massima token di sessione a più fattori | MaxAgeSessionMultiFactor | Token di sessione (permanenti e non permanenti) | Fino a revoca |
I token di sessione non persistenti hanno un tempo massimo inattivo di 24 ore, mentre i token di sessione persistente hanno un tempo massimo inattivo di 90 giorni. Ogni volta che il token di sessione SSO viene usato entro il periodo di validità, il periodo di validità viene esteso per altre 24 ore o 90 giorni. Se il token di sessione SSO non viene usato entro il periodo di tempo massimo inattivo, viene considerato scaduto e non verrà più accettato. Le modifiche apportate a questo periodo predefinito devono essere modificate usando l'accesso condizionale.
È possibile usare PowerShell per trovare i criteri interessati dal ritiro. Usare i cmdlet di PowerShell per visualizzare tutti i criteri creati nell'organizzazione o per individuare le app collegate a criteri specifici.
Definizione della priorità e valutazione dei criteri
È possibile creare e quindi assegnare un criterio di durata del token a un'applicazione specifica e all'organizzazione. A un'applicazione specifica si possono applicare più criteri. Di seguito sono riportate le regole su cui si basano i criteri per la durata dei token validi:
- Se un criterio viene assegnato in modo esplicito all'organizzazione, viene applicato.
- Se all'organizzazione non vengono assegnati criteri in modo esplicito, vengono applicati i criteri assegnati all'applicazione.
- Se all'organizzazione o all'oggetto applicazione non sono stati assegnati criteri, vengono applicati i valori predefiniti. Vedere in proposito la tabella in Proprietà configurabili per la durata dei token.
La validità di un token viene valutata al momento dell'uso del token. Vengono applicati i criteri con la priorità più alta per l'applicazione a cui si accede.
Tutti gli intervalli di tempo usati qui sono formattati in base all'oggettoTimeSpan C# - D.HH:MM:SS. Quindi 80 giorni e 30 minuti sarebbe 80.00:30:00
. La D iniziale può essere eliminata se è zero, pertanto 90 minuti sarebbe 00:90:00
.
Informazioni di riferimento sulle API REST
È possibile configurare i criteri di durata dei token e assegnarli alle app usando Microsoft Graph. Per altre informazioni, vedere il tokenLifetimePolicy
tipo di risorsa e i relativi metodi associati.
Informazioni di riferimento sui cmdlet
Questi sono i cmdlet in Microsoft Graph PowerShell SDK.
Gestire i criteri
Per gestire i criteri, è possibile usare i comandi seguenti.
Cmdlet | Descrizione |
---|---|
New-MgPolicyTokenLifetimePolicy | Crea nuovi criteri. |
Get-MgPolicyTokenLifetimePolicy | Ottiene tutti i criteri di durata del token o un criterio specificato. |
Update-MgPolicyTokenLifetimePolicy | Aggiorna i criteri esistenti. |
Remove-MgPolicyTokenLifetimePolicy | Elimina i criteri specificati. |
Criteri di applicazione
È possibile usare i cmdlet seguenti per i criteri dell'applicazione.
Cmdlet | Descrizione |
---|---|
New-MgApplicationTokenLifetimePolicyByRef | Collega i criteri specificati a un'applicazione. |
Get-MgApplicationTokenLifetimePolicyByRef | Ottiene i criteri assegnati a un'applicazione. |
Remove-MgApplicationTokenLifetimePolicyByRef | Rimuove i criteri da un'applicazione. |
Passaggi successivi
Per altre informazioni, vedere esempi di come configurare la durata dei token.