Edytuj

Udostępnij za pośrednictwem

Konfigurowanie zasad okresu istnienia tokenu (wersja zapoznawcza)

  • Porady

W poniższych krokach zaimplementujesz typowy scenariusz zasad, który nakłada nowe reguły na okres istnienia tokenu. Istnieje możliwość określenia okresu istnienia dostępu, protokołu SAML lub tokenu identyfikatora wystawionego przez Platforma tożsamości Microsoft. Można to ustawić dla wszystkich aplikacji w organizacji lub dla określonej aplikacji lub podmiotu zabezpieczeń. Można je również ustawić dla wielu organizacji (wielodostępnej aplikacji). Możesz zwiększyć okres istnienia tokenu, aby skrypt był uruchamiany przez ponad godzinę. Wiele bibliotek firmy Microsoft, takich jak zestaw MICROSOFT Graph PowerShell SDK, rozszerza okres istnienia tokenu w razie potrzeby i nie trzeba wprowadzać zmian w zasadach tokenu dostępu. Aby uzyskać więcej informacji, zobacz konfigurowalne okresy istnienia tokenów.

Wymagania wstępne

Aby rozpocząć, pobierz najnowszy zestaw Microsoft Graph PowerShell SDK.

Tworzenie zasad i przypisywanie ich do aplikacji

W poniższych krokach utworzysz zasady, które wymagają od użytkowników uwierzytelniania rzadziej w aplikacji internetowej. Przypisz zasady do aplikacji, która ustawia okres istnienia tokenów dostępu/identyfikatora na 4 godziny dla aplikacji internetowej.

Install-Module Microsoft.Graph

Connect-MgGraph -Scopes  "Policy.ReadWrite.ApplicationConfiguration","Policy.Read.All","Application.ReadWrite.All"

# Create a token lifetime policy
$params = @{
  Definition = @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"4:00:00"}}') 
    DisplayName = "WebPolicyScenario"
  IsOrganizationDefault = $false
}
$tokenLifetimePolicyId=(New-MgPolicyTokenLifetimePolicy -BodyParameter $params).Id

# Display the policy
Get-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId

# Assign the token lifetime policy to an app
$params = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/$tokenLifetimePolicyId"
}

$applicationObjectId="aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"

New-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -BodyParameter $params

# List the token lifetime policy on the app
Get-MgApplicationTokenLifetimePolicy -ApplicationId $applicationObjectId

# Remove the policy from the app
Remove-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -TokenLifetimePolicyId $tokenLifetimePolicyId

# Delete the policy
Remove-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId

Tworzenie zasad i przypisywanie ich do jednostki usługi

W poniższych krokach utworzysz zasady, które wymagają od użytkowników uwierzytelniania rzadziej w aplikacji internetowej. Przypisz zasady do jednostki usługi, która ustawia okres istnienia tokenów dostępu/identyfikatora na 8 godzin dla aplikacji internetowej.

  1. Utwórz zasady okresu istnienia tokenu.

    POST https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies
Content-Type: application/json
{
    "definition": [
        "{\"TokenLifetimePolicy\":{\"Version\":1,\"AccessTokenLifetime\":\"8:00:00\"}}"
    ],
    "displayName": "Contoso token lifetime policy",
    "isOrganizationDefault": false
}

  2. Przypisz zasady do jednostki usługi.

    POST https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies/$ref
Content-Type: application/json
{
  "@odata.id":"https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
}

  3. Wyświetl listę zasad w jednostce usługi.

    GET https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies

  4. Usuń zasady z jednostki usługi.

    DELETE https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/$ref

Wyświetlanie istniejących zasad w dzierżawie

Aby wyświetlić wszystkie zasady utworzone w organizacji, uruchom polecenie cmdlet Get-MgPolicyTokenLifetimePolicy . Wszystkie wyniki ze zdefiniowanymi wartościami właściwości, które różnią się od wartości domyślnych wymienionych powyżej, są w zakresie wycofania.

  1. Uruchom polecenie , Get-MgPolicyTokenLifetimePolicy aby wyświetlić wszystkie zasady utworzone w organizacji.

    Get-MgPolicyTokenLifetimePolicy

  2. Lista uruchomień ma zastosowanie Do któregokolwiek z identyfikatorów zasad, aby zobaczyć, które aplikacje są połączone z określonymi zasadami, które zostały zidentyfikowane.

    GET https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/4d2f137b-e8a9-46da-a5c3-cc85b2b840a4/appliesTo

Następny krok

Dowiedz się więcej o zarządzaniu sesjami uwierzytelniania