Cookie-instellingen voor toegang tot on-premises toepassingen in Microsoft Entra ID
Microsoft Entra ID heeft toegangs- en sessiecookies voor toegang tot on-premises toepassingen via toepassingsproxy. Meer informatie over het gebruik van de cookie-instellingen voor de toepassingsproxy.
Wat zijn de cookie-instellingen?
Toepassingsproxy maakt gebruik van de volgende instellingen voor toegang en sessiecookies.
| Cookie-instelling | Standaard | Beschrijving | Aanbevelingen |
|---|---|---|---|
| Alleen-HTTP-cookies gebruiken | Nee | Met Ja kan de toepassingsproxy de HTTPOnly-vlag opnemen in HTTP-antwoordheaders. Deze vlag biedt extra beveiligingsvoordelen, bijvoorbeeld, voorkomt dat scripts aan de clientzijde (CSS) de cookies kopiëren of wijzigen. Voordat we de http-only-instelling ondersteunden, versleutelde en verzonden cookies via een beveiligd TLS-kanaal (Transport Layer Security) ter bescherming tegen wijziging. |
Gebruik Ja vanwege de extra beveiligingsvoordelen. Gebruik Nee voor clients of gebruikersagenten waarvoor wel toegang tot de sessiecookie is vereist. Gebruik bijvoorbeeld Nee voor Remote Desktop Protocol (RDP) of Microsoft Terminal Services Client (MTSC) die via een toepassingsproxy verbinding maakt met een Extern bureaublad-gatewayserver. |
| Beveiligde cookies gebruiken | Ja | Ja staat toepassingsproxy toe om de secure-vlag op te nemen in HTTP-antwoordheaders. Beveiligde cookies verbeteren de beveiliging door cookies via een beveiligd TLS-kanaal zoals HTTPS te verzenden. TLS voorkomt verzending van cookies in duidelijke tekst. | Gebruik Ja vanwege de extra beveiligingsvoordelen. |
| Permanente cookies gebruiken | Nee | Met Ja kan de toepassingsproxy instellen dat de toegangscookies niet verlopen wanneer de webbrowser wordt gesloten. De persistentie duurt totdat het toegangstoken verloopt of totdat de gebruiker de permanente cookies handmatig verwijdert. | Gebruik Nee vanwege het beveiligingsrisico dat is gekoppeld aan het verifiëren van gebruikers. We raden u aan alleen Ja te gebruiken voor oudere toepassingen die geen cookies kunnen delen tussen processen. Het is beter om uw toepassing bij te werken om het delen van cookies tussen processen te verwerken in plaats van permanente cookies te gebruiken. U hebt bijvoorbeeld permanente cookies nodig om een gebruiker toe te staan Office-documenten te openen in de verkennerweergave vanaf een SharePoint-site. Zonder permanente cookies kan deze bewerking mislukken als de toegangscookies niet worden gedeeld tussen de browser, het verkenner-proces en het Office-proces. |
SameSite-cookies
Cookies die niet het kenmerk SameSite opgeven, worden behandeld alsof ze zijn ingesteld op SameSite=Lax. Het SameSite kenmerk geeft aan hoe cookies moeten worden beperkt tot een context van dezelfde site. Wanneer deze optie is ingesteld Lax, wordt de cookie alleen verzonden naar aanvragen op dezelfde site of navigatie op het hoogste niveau. Voor de toepassingsproxy moeten deze cookies echter worden bewaard in de context van derden om gebruikers goed aangemeld te houden tijdens hun sessie. Vanwege de vereiste zijn er updates aangebracht:
- Het kenmerk SameSite instellen op Geen. cookies voor toepassingsproxysessies worden correct verzonden in de context van derden.
- De instelling Secure Cookie gebruiken instellen om Ja als standaard te gebruiken. Chrome weigert cookies die niet gebruikmaken van de
Securevlag. De wijziging is van toepassing op alle bestaande toepassingen die zijn gepubliceerd via de toepassingsproxy. Cookies voor toegang tot de toepassingsproxy zijn ingesteld op Beveiligd en worden alleen verzonden via HTTPS. De wijziging is alleen van toepassing op de sessiecookies.
Als uw back-endtoepassing bovendien cookies bevat die context van derden nodig hebben, moet u zich expliciet aanmelden door uw toepassing te wijzigen voor gebruik SameSite=None. De toepassingsproxy vertaalt de header naar de Set-Cookie URL's en respecteert de instellingen.
De cookie-instellingen instellen - Microsoft Entra-beheercentrum
De cookie-instellingen instellen met behulp van het Microsoft Entra-beheercentrum:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een toepassings-Beheer istrator.
- Blader naar de toepassingsproxy voor bedrijfstoepassingen voor identiteitstoepassingen>>>.
- Stel onder Aanvullende instellingen de cookie-instelling in op Ja of Nee.
- Selecteer Opslaan om uw wijzigingen toe te passen.
Huidige cookie-instellingen weergeven - PowerShell
Als u de huidige cookie-instellingen voor de toepassing wilt zien, gebruikt u deze PowerShell-opdracht:
Get-AzureADApplicationProxyApplication -ObjectId <ObjectId> | fl *
Cookie-instellingen instellen - PowerShell
In de volgende PowerShell-opdrachten is <ObjectId> de ObjectId van de toepassing.
Alleen-HTTP-cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $false
Beveiligde cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $false
Permanente cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $false