Bewerken

Share via


Beleid voor levensduur van tokens configureren (preview)

In de volgende stappen implementeert u een gemeenschappelijk beleidsscenario dat nieuwe regels voor de levensduur van tokens oplegt. Het is mogelijk om de levensduur van een toegangs-, SAML- of ID-token op te geven dat is uitgegeven door het Microsoft Identity Platform. Dit kan worden ingesteld voor alle apps in uw organisatie of voor een specifieke app of principal. Ze kunnen ook worden ingesteld voor meerdere organisaties (multitenant-toepassing). Mogelijk wilt u de levensduur van het token verhogen, zodat een script langer dan een uur wordt uitgevoerd. Veel Microsoft-bibliotheken, zoals Microsoft Graph PowerShell SDK, verlengen de levensduur van het token naar behoefte en u hoeft geen wijzigingen aan te brengen in het toegangstokenbeleid. Zie configureerbare levensduur van tokens voor meer informatie.

Vereisten

Download de nieuwste Microsoft Graph PowerShell SDK om aan de slag te gaan.

Een beleid maken en toewijzen aan een app

In de volgende stappen maakt u een beleid waarvoor gebruikers minder vaak moeten worden geverifieerd in uw web-app. Wijs het beleid toe aan een app, waarmee de levensduur van de toegangs-/id-tokens wordt ingesteld op 4 uur voor uw web-app.

Install-Module Microsoft.Graph

Connect-MgGraph -Scopes  "Policy.ReadWrite.ApplicationConfiguration","Policy.Read.All","Application.ReadWrite.All"

# Create a token lifetime policy
$params = @{
  Definition = @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"4:00:00"}}') 
    DisplayName = "WebPolicyScenario"
  IsOrganizationDefault = $false
}
$tokenLifetimePolicyId=(New-MgPolicyTokenLifetimePolicy -BodyParameter $params).Id

# Display the policy
Get-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId

# Assign the token lifetime policy to an app
$params = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/$tokenLifetimePolicyId"
}

$applicationObjectId="aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

New-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -BodyParameter $params

# List the token lifetime policy on the app
Get-MgApplicationTokenLifetimePolicy -ApplicationId $applicationObjectId

# Remove the policy from the app
Remove-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -TokenLifetimePolicyId $tokenLifetimePolicyId

# Delete the policy
Remove-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId

Een beleid maken en toewijzen aan een service-principal

In de volgende stappen maakt u een beleid waarvoor gebruikers minder vaak moeten worden geverifieerd in uw web-app. Wijs het beleid toe aan de service-principal, waarmee de levensduur van de toegangs-/id-tokens wordt ingesteld op 8 uur voor uw web-app.

  1. Een levensduurbeleid voor tokens maken.

    POST https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies
    Content-Type: application/json
    {
        "definition": [
            "{\"TokenLifetimePolicy\":{\"Version\":1,\"AccessTokenLifetime\":\"8:00:00\"}}"
        ],
        "displayName": "Contoso token lifetime policy",
        "isOrganizationDefault": false
    }
    
  2. Wijs het beleid toe aan een service-principal.

    POST https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies/$ref
    Content-Type: application/json
    {
      "@odata.id":"https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
    }
    
  3. De beleidsregels voor de service-principal weergeven.

    GET https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies
    
  4. Verwijder het beleid uit de service-principal.

    DELETE https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/$ref
    

Bestaand beleid in een tenant weergeven

Als u alle beleidsregels wilt zien die in uw organisatie zijn gemaakt, voert u de cmdlet Get-MgPolicyTokenLifetimePolicy uit. Alle resultaten met gedefinieerde eigenschapswaarden die afwijken van de hierboven vermelde standaardwaarden vallen binnen het bereik van de buitengebruikstelling.

  1. Voer de Get-MgPolicyTokenLifetimePolicy opdracht uit om alle beleidsregels te zien die in uw organisatie zijn gemaakt.

    Get-MgPolicyTokenLifetimePolicy
    
  2. Run List is van toepassing Op met een van uw beleids-id's om te zien welke apps zijn gekoppeld aan een specifiek beleid dat u hebt geïdentificeerd.

    GET https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/4d2f137b-e8a9-46da-a5c3-cc85b2b840a4/appliesTo
    

Volgende stap