Tokens vernieuwen in het Microsoft Identity Platform
Wanneer een client een toegangstoken verkrijgt voor toegang tot een beveiligde resource, ontvangt de client ook een vernieuwingstoken. Het vernieuwingstoken wordt gebruikt om nieuwe toegangs- en vernieuwingstokenparen te verkrijgen wanneer het huidige toegangstoken verloopt.
Vernieuwingstokens worden ook gebruikt om extra toegangstokens voor andere resources te verkrijgen. Vernieuwingstokens zijn gebonden aan een combinatie van gebruikers en clients, maar zijn niet gekoppeld aan een resource of tenant. Een client kan een vernieuwingstoken gebruiken om toegangstokens te verkrijgen voor elke combinatie van resources en tenants waarvoor dit is gemachtigd. Vernieuwingstokens worden versleuteld en alleen het Microsoft Identity Platform kan deze lezen.
Levensduur van token
Vernieuwingstokens hebben een langere levensduur dan toegangstokens. De standaardlevensduur voor de vernieuwingstokens is 24 uur voor apps met één pagina en 90 dagen voor alle andere scenario's. Vernieuwingstokens vervangen zichzelf door een nieuw token bij elk gebruik. Het Microsoft Identity Platform trekt oude vernieuwingstokens niet in wanneer deze worden gebruikt om nieuwe toegangstokens op te halen. Verwijder het oude vernieuwingstoken veilig nadat u een nieuw vernieuwingstoken hebt opgehaald. Vernieuwingstokens moeten veilig worden opgeslagen, zoals toegangstokens of toepassingsreferenties.
Notitie
Vernieuwingstokens die zijn verzonden naar een omleidings-URI die na 24 uur is geregistreerd als spa verlopen. Aanvullende vernieuwingstokens die zijn verkregen met behulp van het initiële vernieuwingstoken dragen die verlooptijd over, zodat apps moeten worden voorbereid om de autorisatiecodestroom opnieuw uit te voeren met behulp van een interactieve verificatie om elke 24 uur een nieuw vernieuwingstoken op te halen. Gebruikers hoeven hun referenties niet in te voeren en zien meestal niet eens een gerelateerde gebruikerservaring, alleen een herload van uw toepassing. De browser moet de aanmeldingspagina in een frame op het hoogste niveau bezoeken om de aanmeldingssessie weer te geven. Dit komt door privacyfuncties in browsers die cookies van derden blokkeren.
Tokenverloop
Vernieuwingstokens kunnen op elk gewenst moment worden ingetrokken vanwege time-outs en intrekkingen. Uw app moet intrekkingen door de aanmeldingsservice afhandelen door de gebruiker naar een interactieve aanmeldingsprompt te sturen om zich opnieuw aan te melden.
Time-outs voor tokens
U kunt de levensduur van een vernieuwingstoken niet configureren. U kunt hun levensduur niet verkorten of langer maken. Daarom is het belangrijk om ervoor te zorgen dat u vernieuwingstokens beveiligt, omdat ze kunnen worden geëxtraheerd uit openbare locaties door slechte actoren, of inderdaad van het apparaat zelf als het apparaat wordt aangetast. Er zijn enkele dingen die u kunt doen:
- Configureer de aanmeldingsfrequentie in voorwaardelijke toegang om de periodes te definiëren voordat een gebruiker zich opnieuw moet aanmelden. Zie Verificatiesessiebeheer configureren met voorwaardelijke toegang voor meer informatie.
- Microsoft Intune-services voor app-beheer gebruiken, zoals Mobile Application Management (MAM) en Mobile Device Management (MDM) om de gegevens van uw organisatie te beveiligen
- Beleid voor beveiliging van tokens voor voorwaardelijke toegang implementeren
Niet alle vernieuwingstokens volgen de regels die zijn ingesteld in het levensduurbeleid voor tokens. Vernieuwingstokens die worden gebruikt in apps met één pagina, worden altijd vastgezet op 24 uur activiteit, alsof er een MaxAgeSessionSingleFactor beleid van 24 uur op deze apps is toegepast.
Tokenintrekking
De server kan vernieuwingstokens intrekken vanwege een wijziging in referenties, gebruikersactie of beheeractie. Vernieuwingstokens vallen in twee klassen: tokens die worden uitgegeven aan vertrouwelijke clients (de meest rechtse kolom) en tokens die zijn uitgegeven aan openbare clients (alle andere kolommen).
| Wijzigen | Cookie op basis van een wachtwoord | Token op basis van een wachtwoord | Cookie die niet op een wachtwoord is gebaseerd | Token dat niet op een wachtwoord is gebaseerd | Vertrouwelijk clienttoken |
|---|---|---|---|---|---|
| Wachtwoord verloopt | Blijft in leven | Blijft in leven | Blijft in leven | Blijft in leven | Blijft in leven |
| Wachtwoord gewijzigd door gebruiker | Ingetrokken | Ingetrokken | Blijft in leven | Blijft in leven | Blijft in leven |
| Gebruiker voert SSPR uit | Ingetrokken | Ingetrokken | Blijft in leven | Blijft in leven | Blijft in leven |
| wachtwoord opnieuw instellen Beheer | Ingetrokken | Ingetrokken | Blijft in leven | Blijft in leven | Blijft in leven |
| Gebruiker trekt hun vernieuwingstokens in | Ingetrokken | Ingetrokken | Ingetrokken | Ingetrokken | Ingetrokken |
| Beheer alle vernieuwingstokens voor een gebruiker intrekken | Ingetrokken | Ingetrokken | Ingetrokken | Ingetrokken | Ingetrokken |
| Eenmalige afmelding | Ingetrokken | Blijft in leven | Ingetrokken | Blijft in leven | Blijft in leven |
Notitie
Vernieuwingstokens worden niet ingetrokken voor B2B-gebruikers in hun resourcetenant. Het token moet worden ingetrokken in de woningtenant.