Odświeżanie tokenów w Platforma tożsamości Microsoft
Gdy klient uzyskuje token dostępu w celu uzyskania dostępu do chronionego zasobu, klient otrzymuje również token odświeżania. Token odświeżania służy do uzyskiwania nowych par tokenów dostępu i odświeżania po wygaśnięciu bieżącego tokenu dostępu.
Tokeny odświeżania są również używane do uzyskiwania dodatkowych tokenów dostępu dla innych zasobów. Tokeny odświeżania są powiązane z kombinacją użytkownika i klienta, ale nie są powiązane z zasobem ani dzierżawą. Klient może użyć tokenu odświeżania, aby uzyskać tokeny dostępu w dowolnej kombinacji zasobów i dzierżawy, w której ma uprawnienia do tego. Tokeny odświeżania są szyfrowane i tylko Platforma tożsamości Microsoft mogą je odczytywać.
Okres istnienia tokenu
Tokeny odświeżania mają dłuższy okres istnienia niż tokeny dostępu. Domyślny okres istnienia tokenów odświeżania to 24 godziny dla aplikacji jednostronicowych i 90 dni dla wszystkich innych scenariuszy. Odświeżanie tokenów zastępuje się nowym tokenem podczas każdego użycia. Platforma tożsamości Microsoft nie odwołuje starych tokenów odświeżania podczas pobierania nowych tokenów dostępu. Bezpiecznie usuń stary token odświeżania po uzyskaniu nowego tokenu. Tokeny odświeżania muszą być bezpiecznie przechowywane, takie jak tokeny dostępu lub poświadczenia aplikacji.
Uwaga
Odśwież tokeny wysyłane do identyfikatora URI przekierowania zarejestrowanego jako spa wygasają po 24 godzinach. Dodatkowe tokeny odświeżania uzyskane przy użyciu początkowego tokenu odświeżania są przenoszone przez ten czas wygaśnięcia, dlatego aplikacje muszą być przygotowane do ponownego uruchomienia przepływu kodu autoryzacji przy użyciu uwierzytelniania interakcyjnego, aby uzyskać nowy token odświeżania co 24 godziny. Użytkownicy nie muszą wprowadzać swoich poświadczeń i zwykle nawet nie widzą żadnego powiązanego środowiska użytkownika— wystarczy ponownie załadować aplikację. Aby wyświetlić sesję logowania, przeglądarka musi odwiedzić stronę logowania w ramce najwyższego poziomu. Jest to spowodowane funkcjami prywatności w przeglądarkach, które blokują pliki cookie innych firm.
Wygaśnięcie tokenu
Tokeny odświeżania można odwołać w dowolnym momencie z powodu przekroczenia limitu czasu i odwołania. Aplikacja musi bezpiecznie obsługiwać odwołania przez usługę logowania, wysyłając użytkownika do interakcyjnego monitu logowania, aby zalogować się ponownie.
Limity czasu tokenu
Nie można skonfigurować okresu istnienia tokenu odświeżania. Nie można zmniejszyć ani wydłużyć ich okresu istnienia. Dlatego ważne jest, aby zapewnić bezpieczeństwo tokenów odświeżania, ponieważ można je wyodrębnić z lokalizacji publicznych przez złych aktorów, a nawet z samego urządzenia, jeśli urządzenie zostanie naruszone. Istnieje kilka czynności, które można wykonać:
- Skonfiguruj częstotliwość logowania w dostępie warunkowym, aby zdefiniować okresy, zanim użytkownik będzie musiał zalogować się ponownie. Aby uzyskać więcej informacji, zobacz Konfigurowanie zarządzania sesjami uwierzytelniania przy użyciu dostępu warunkowego.
- Korzystanie z usług zarządzania aplikacjami w usłudze Microsoft Intune, takich jak zarządzanie aplikacjami mobilnymi (MAM) i zarządzanie urządzeniami przenośnymi (MDM) w celu ochrony danych organizacji
- Implementowanie zasad ochrony tokenów dostępu warunkowego
Nie wszystkie tokeny odświeżania są zgodne z regułami ustawionymi w zasadach okresu istnienia tokenu. W szczególności tokeny odświeżania używane w aplikacjach jednostronicowych są zawsze stałe do 24 godzin aktywności, tak jakby zasady były MaxAgeSessionSingleFactor stosowane do nich przez 24 godziny.
Odwołanie tokenu
Serwer może odwołać tokeny odświeżania z powodu zmiany poświadczeń, akcji użytkownika lub akcji administratora. Tokeny odświeżania dzielą się na dwie klasy: tokeny wystawione dla poufnych klientów (kolumna po prawej stronie) i tokeny wystawione dla klientów publicznych (wszystkie inne kolumny).
| Zmień | Plik cookie oparty na hasłach | Token oparty na hasłach | Plik cookie nie oparty na hasłach | Token nie oparty na hasłach | Poufny token klienta |
|---|---|---|---|---|---|
| Hasło wygasa | Pozostaje przy życiu | Pozostaje przy życiu | Pozostaje przy życiu | Pozostaje przy życiu | Pozostaje przy życiu |
| Hasło zmienione przez użytkownika | Odwołany | Odwołany | Pozostaje przy życiu | Pozostaje przy życiu | Pozostaje przy życiu |
| Użytkownik wykonuje samoobsługowe resetowanie hasła | Odwołany | Odwołany | Pozostaje przy życiu | Pozostaje przy życiu | Pozostaje przy życiu |
| Administracja resetuje hasło | Odwołany | Odwołany | Pozostaje przy życiu | Pozostaje przy życiu | Pozostaje przy życiu |
| Użytkownik odwołuje swoje tokeny odświeżania | Odwołany | Odwołany | Odwołany | Odwołany | Odwołany |
| Administracja odwołuje wszystkie tokeny odświeżania dla użytkownika | Odwołany | Odwołany | Odwołany | Odwołany | Odwołany |
| Wylogowanie jednokrotne | Odwołany | Pozostaje przy życiu | Odwołany | Pozostaje przy życiu | Pozostaje przy życiu |
Uwaga
Tokeny odświeżania nie są odwoływały się dla użytkowników B2B w dzierżawie zasobów. Token należy odwołać w dzierżawie głównej.