Настройка времени жизни маркеров на платформе удостоверений Майкрософт (предварительная версия)
Можно указать время существования доступа, идентификатора или токена SAML, выданного платформа удостоверений Майкрософт. Время жизни маркеров можно настроить для всех приложений в организации, для многопользовательского приложения (приложения для нескольких организаций) или для определенного субъекта-службы в организации. Однако в настоящее время мы не поддерживаем настройку времени существования маркеров для субъектов-служб управляемых удостоверений.
В Azure AD объект политики представлен набором правил, которые применяются к отдельным приложениям или ко всем приложениям в организации. Каждый тип политики имеет уникальную структуру и набор свойств, которые применяются к объектам, для которых назначена эта политика.
Для организации можно назначить политику по умолчанию. Она будет применяться ко всем приложениям в организации, если не будет переопределена политикой с более высоким приоритетом. Политику можно также назначить и для отдельных приложений. Приоритетность политики определяется ее типом.
Ознакомьтесь с примерами настройки времени жизни маркеров.
Примечание
Настраиваемая политика времени жизни маркеров применяется только к мобильным и настольным клиентам, которые обращаются к ресурсам SharePoint Online и OneDrive для бизнеса и не применяются к сеансам веб-браузера. Для управления временем жизни сеансов веб-браузера для SharePoint Online и OneDrive для бизнеса используйте функцию Время жизни сеанса условного доступа. Ознакомьтесь с блогом о SharePoint Online, чтобы получить дополнительные сведения о настройке времени ожидания бездействующих сеансов.
Требования лицензий
Для использования этой функции требуется лицензия Azure AD Premium P1. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций выпусков Free и Premium.
Клиенты с лицензиями Microsoft 365 бизнес также имеют доступ к функциям условного доступа.
Политики времени жизни маркеров доступа, SAML и идентификации
Вы можете настроить политики времени жизни для маркеров доступа, SAML и идентификации.
Маркеры доступа
Чтобы получить доступ к защищенному ресурсу, клиенты используют маркеры доступа. Маркер доступа можно использовать только для конкретного сочетания пользователя, клиентского приложения и ресурса. Маркеры доступа не могут быть отозваны. Они действуют до истечения срока своего действия. Вредоносный субъект, получивший маркер доступа, сможет использовать его на протяжении всего времени жизни. Настройка времени существования маркера доступа позволяет балансировать между производительностью системы и временем, в течение которого клиент сохраняет доступ после отключения учетной записи пользователя. Чтобы повысить производительность системы, нужно минимизировать частоту обращений клиентского приложения за обновленным маркером доступа.
Время существования маркера доступа по умолчанию — переменное. При выдаче времени существования маркера доступа по умолчанию назначается случайное значение в диапазоне от 60 до 90 минут (в среднем 75 минут). Время жизни по умолчанию также зависит от клиентского приложения, запрашивающего маркер, и от того, включен ли условный доступ в арендаторе. Дополнительные сведения см. в разделе Время существования маркера доступа.
Токены SAML
Маркеры SAML используются многими веб-приложениями SaaS. Для их получения применяется конечная точка протокола SAML2 Azure Active Directory. Кроме того, они нужны приложениям с использованием WS-Federation. Время жизни маркера по умолчанию составляет 1 час. С точки зрения приложения срок действия маркера определяется значением NotOnOrAfter элемента <conditions …> в маркере. По окончании срока действия маркера клиент должен инициировать новый запрос проверки подлинности, который, как правило, выполняется без интерактивного входа с помощью маркера сеанса единого входа (SSO).
Значение NotOnOrAfter можно изменить с помощью параметра AccessTokenLifetime в TokenLifetimePolicy. Для него будет задано время жизни, настроенное в политике (если есть), а также значение разницы в показаниях часов, равное пяти минутам.
Конфигурация времени жизни маркера не влияет на подтверждение субъекта NotOnOrAfter, указанное в элементе <SubjectConfirmationData>.
Маркеры идентификации
Маркеры идентификации передаются веб-сайтам и собственным клиентам. Они содержат сведения о профиле пользователя. Маркер идентификации привязан одновременно и к пользователю, и клиентскому приложению. Маркеры идентификации считаются действительными до истечения срока действия. Обычно в веб-приложениях время существования пользовательского сеанса соответствует времени существования маркера идентификатора, выданного пользователю. Изменяя время жизни маркера идентификации, вы можете управлять частотой завершения пользовательского сеанса в веб-приложении, а также частотой, с которой пользователю нужно выполнять проверку подлинности на платформе удостоверений Майкрософт (в автоматическом или интерактивном режиме).
Политики времени жизни маркеров обновления и маркеров сеанса
Нельзя задать политики времени существования маркеров для маркеров обновления и маркеров сеанса. Сведения о времени существования, времени ожидания и отзыве маркеров обновления см. в статье Маркеры обновления.
Важно!
По состоянию на 30 января 2021 г. нельзя настроить время существования маркера обновления и сеанса. Azure Active Directory больше не учитывает конфигурацию маркеров обновления и маркеров сеанса в существующих политиках. Новые маркеры, выданные после истечения срока действия существующих маркеров, теперь получают конфигурацию по умолчанию. Вы можете настраивать время жизни маркеров доступа, SAML и идентификации и после прекращения поддержки настройки маркеров обновления и сеанса.
Время существования уже выданных маркеров не изменится. По истечении срока действия будет выдан новый маркер согласно значению по умолчанию.
Если вам необходимо и впредь определять период времени, по истечении которого пользователю будет предложено заново выполнить вход, настройте частоту входа в условном доступе. Дополнительные сведения об условном доступе см. в статье Настройка управления сеансами проверки подлинности с помощью условного доступа.
Свойства для настройки времени жизни маркера
Политика времени жизни маркера — это объект политики, который содержит правила времени жизни маркера. Эта политика определяет, как долго продолжают действовать маркеры доступа, SAML и идентификации для определенного ресурса. Настроить политики времени существования маркеров обновления и сеанса невозможно. Если политика не задана, система использует стандартное значение для времени жизни.
Свойства политики времени существования маркера доступа, идентификации и SAML2
Чем меньше значение свойства времени жизни маркера доступа, тем ниже риск использования маркера доступа или маркера идентификатора вредоносным субъектом в течение длительного времени. (Эти маркеры не могут быть отозваны.) Очевидным недостатком является то, что это влияет на производительность системы в связи с частой заменой маркеров.
Пример см. в разделе Создание политики для входа в веб-службы.
На конфигурацию маркера доступа, идентификации и SAML2 влияют указанные ниже свойства и соответствующие им значения.
- Свойство: время существования маркера доступа
- Строка свойства политики: AccessTokenLifetime
- Затрагивает: маркеры доступа, маркеры идентификации, маркеры SAML2
- По умолчанию.
- Маркеры доступа: зависит от клиентского приложения, запрашивающего маркер. Например, клиенты, поддерживающие непрерывную оценку доступа (CAE), которые согласовывают сеансы с поддержкой CAE, будут сталкиваться с длительным временем существования маркера (до 28 часов).
- Маркеры идентификации, маркеры SAML2: 1 час
- Минимум: 10 минут
- Максимум: 1 сутки
Свойства политики времени жизни маркеров обновления и маркеров сеанса
На конфигурацию маркера обновления и маркера сеанса влияют следующие свойства и соответствующие им значения. После того как 30 января 2021 году поддержка настройки маркеров обновления и маркеров сеанса была прекращена, в Azure AD учитываются только значения по умолчанию, описанные ниже. Если вы решили не использовать условный доступ для управления частотой входа, маркерам обновления и сеанса с этого дня будет задана конфигурация по умолчанию, и вы больше не сможете изменять их время существования.
| Свойство | Строка свойства политики | Область применения | По умолчанию |
|---|---|---|---|
| Максимальное время неактивности для маркеров обновления | MaxInactiveTime | Маркеры обновления | 90 дней |
| Максимальный возраст однофакторного маркера обновления | MaxAgeSingleFactor | Маркеры обновления (для всех пользователей) | Пока не будет отозван |
| Максимальный возраст многофакторного маркера обновления | MaxAgeMultiFactor | Маркеры обновления (для всех пользователей) | Пока не будет отозван |
| Максимальный возраст однофакторного маркера сеанса | MaxAgeSessionSingleFactor | Маркеры сеанса (постоянные и временные) | Пока не будет отозван |
| Максимальный возраст многофакторного маркера сеанса | MaxAgeSessionMultiFactor | Маркеры сеанса (постоянные и временные) | Пока не будет отозван |
Для маркеров непостояного сеанса максимальное время неактивности составляет 24 часа, в то время как для маркеров постоянного сеанса максимальное время неактивности составляет 90 дней. Каждый раз, когда маркер сеанса единого входа используется в течение срока действия, срок действия продлевается еще на 24 часа или 90 дней. Если маркер сеанса единого входа не используется в течение максимального периода неактивного времени, он считается просроченным и больше не будет приниматься. Все изменения этого периода по умолчанию должны быть изменены с помощью условного доступа.
Для поиска политик, которые будут затронуты прекращением поддержки, можно использовать PowerShell. Для просмотра всех политик, созданных в организации, или поиска приложений и субъектов-служб, связанных с определенной политикой, используйте командлеты PowerShell.
Оценка политики и ее приоритеты
Политики времени жизни маркера можно создать и назначить для конкретного приложения, организации и субъектов-служб. К одному приложению могут применяться сразу несколько политик. Политики определяют время жизни маркеров в соответствии со следующими правилами:
- Если политика явно назначена субъекту-службе, она применяется.
- если нет политики, явно назначенной субъекту-службе, применяется политика, явно назначенная родительской организации субъекта-службы;
- если нет политики, явно назначенной субъекту-службе или организации, применяется политика, назначенная приложению;
- если нет политики, явно назначенной субъекту-службе, организации или объекту приложения, применяются значения по умолчанию. (См. таблицу в разделе Свойства для настройки времени жизни маркера.)
Дополнительные сведения о связях между объектами приложения и объектами субъекта-службы см. в статье Объекты приложения и субъекта-службы в Azure Active Directory.
Допустимость маркера оценивается во время его использования. Используется политика с самым высоким приоритетом, установленная для оцениваемого приложения.
Все интервалы времени указаны в формате объекта C# TimeSpan: Д.ЧЧ:ММ:СС. Поэтому 80 дней и 30 минут указываются как 80.00:30:00. Начальное значение Д можно опустить, если оно равно нулю, поэтому 90 минут будет указываться как 00:90:00.
Справка по командлетам
Это командлеты обсуждаются в модуле Azure Active Directory PowerShell для Graph (предварительная версия).
Управление политиками
Управлять политиками можно с помощью следующих командлетов.
| Командлет | Описание |
|---|---|
| New-AzureADPolicy | Создает новую политику. |
| Get-AzureADPolicy | Возвращает полный список политик Azure AD или одну указанную политику. |
| Get-AzureADPolicyAppliedObject | Возвращает список приложений и субъектов-служб, связанных с политикой. |
| Set-AzureADPolicy | Обновляет существующую политику. |
| Remove-AzureADPolicy | Удаляет указанную политику. |
Политики приложений
Управлять политиками приложений можно с помощью следующих командлетов.
| Командлет | Описание |
|---|---|
| Add-AzureADApplicationPolicy | Связывает указанную политику с приложением. |
| Get-AzureADApplicationPolicy | Возвращает политику, назначенную для приложения. |
| Remove-AzureADApplicationPolicy | Удаляет политику из приложения. |
Политики субъекта-службы
Управлять политиками субъектов-служб можно с помощью следующих командлетов.
| Командлет | Описание |
|---|---|
| Add-AzureADServicePrincipalPolicy | Связывает указанную политику с субъектом-службой. |
| Get-AzureADServicePrincipalPolicy | Возвращает все политики, связанные с указанным субъектом-службой. |
| Remove-AzureADServicePrincipalPolicy | Удаляет политику из указанного субъекта-службы. |
Следующие шаги
Дополнительные сведения см. в примерах настройки времени жизни маркеров.