Настройка времени жизни маркеров на платформе удостоверений Майкрософт (предварительная версия)
Можно указать время существования доступа, идентификатора или токена SAML, выданного платформа удостоверений Майкрософт. Вы можете задать время существования маркеров для всех приложений в вашей организации или для мультитенантного (мультиорганизационного) приложения. В настоящее время мы не поддерживаем настройку времени существования маркеров для субъектов-служб или субъектов-служб управляемых удостоверений.
В Azure AD объект политики представлен набором правил, которые применяются к отдельным приложениям или ко всем приложениям в организации. Каждый тип политики имеет уникальную структуру и набор свойств, которые применяются к объектам, для которых назначена эта политика.
Для организации можно назначить политику по умолчанию. Она будет применяться ко всем приложениям в организации, если не будет переопределена политикой с более высоким приоритетом. Политику можно также назначить и для отдельных приложений. Приоритетность политики определяется ее типом.
Ознакомьтесь с примерами настройки времени жизни маркеров.
Примечание
Настраиваемая политика времени жизни маркеров применяется только к мобильным и настольным клиентам, которые обращаются к ресурсам SharePoint Online и OneDrive для бизнеса и не применяются к сеансам веб-браузера. Для управления временем жизни сеансов веб-браузера для SharePoint Online и OneDrive для бизнеса используйте функцию Время жизни сеанса условного доступа. Ознакомьтесь с блогом о SharePoint Online, чтобы получить дополнительные сведения о настройке времени ожидания бездействующих сеансов.
Требования лицензий
Для использования этой функции требуется лицензия Azure AD Premium P1. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций выпусков Free и Premium.
Клиенты с лицензиями Microsoft 365 бизнес также имеют доступ к функциям условного доступа.
Политики времени жизни маркеров доступа, SAML и идентификации
Вы можете настроить политики времени жизни для маркеров доступа, SAML и идентификации.
Маркеры доступа
Чтобы получить доступ к защищенному ресурсу, клиенты используют маркеры доступа. Маркер доступа можно использовать только для конкретного сочетания пользователя, клиентского приложения и ресурса. Маркеры доступа не могут быть отозваны. Они действуют до истечения срока своего действия. Вредоносный субъект, получивший маркер доступа, сможет использовать его на протяжении всего времени жизни. Настройка времени существования маркера доступа позволяет балансировать между производительностью системы и временем, в течение которого клиент сохраняет доступ после отключения учетной записи пользователя. Чтобы повысить производительность системы, нужно минимизировать частоту обращений клиентского приложения за обновленным маркером доступа.
Время существования маркера доступа по умолчанию — переменное. При выдаче времени существования маркера доступа по умолчанию назначается случайное значение в диапазоне от 60 до 90 минут (в среднем 75 минут). Время жизни по умолчанию также зависит от клиентского приложения, запрашивающего маркер, и от того, включен ли условный доступ в арендаторе. Дополнительные сведения см. в разделе Время существования маркера доступа.
Токены SAML
Маркеры SAML используются многими веб-приложениями SaaS. Для их получения применяется конечная точка протокола SAML2 Azure Active Directory. Кроме того, они нужны приложениям с использованием WS-Federation. Время жизни маркера по умолчанию составляет 1 час. С точки зрения приложения срок действия маркера определяется значением NotOnOrAfter элемента <conditions …> в маркере. По окончании срока действия маркера клиент должен инициировать новый запрос проверки подлинности, который, как правило, выполняется без интерактивного входа с помощью маркера сеанса единого входа (SSO).
Значение NotOnOrAfter можно изменить с помощью параметра AccessTokenLifetime в TokenLifetimePolicy. Для него будет задано время жизни, настроенное в политике (если есть), а также значение разницы в показаниях часов, равное пяти минутам.
Конфигурация времени жизни маркера не влияет на подтверждение субъекта NotOnOrAfter, указанное в элементе <SubjectConfirmationData>.
Маркеры идентификации
Маркеры идентификации передаются веб-сайтам и собственным клиентам. Они содержат сведения о профиле пользователя. Маркер идентификации привязан одновременно и к пользователю, и клиентскому приложению. Маркеры идентификации считаются действительными до истечения срока действия. Обычно в веб-приложениях время существования пользовательского сеанса соответствует времени существования маркера идентификатора, выданного пользователю. Изменяя время жизни маркера идентификации, вы можете управлять частотой завершения пользовательского сеанса в веб-приложении, а также частотой, с которой пользователю нужно выполнять проверку подлинности на платформе удостоверений Майкрософт (в автоматическом или интерактивном режиме).
Политики времени жизни маркеров обновления и маркеров сеанса
Нельзя задать политики времени существования маркеров для маркеров обновления и маркеров сеанса. Сведения о времени существования, времени ожидания и отзыве маркеров обновления см. в статье Маркеры обновления.
Важно!
По состоянию на 30 января 2021 г. нельзя настроить время существования маркера обновления и сеанса. Azure Active Directory больше не учитывает конфигурацию маркеров обновления и маркеров сеанса в существующих политиках. Новые маркеры, выданные после истечения срока действия существующих маркеров, теперь получают конфигурацию по умолчанию. Вы можете настраивать время жизни маркеров доступа, SAML и идентификации и после прекращения поддержки настройки маркеров обновления и сеанса.
Время существования уже выданных маркеров не изменится. По истечении срока действия будет выдан новый маркер согласно значению по умолчанию.
Если вам необходимо и впредь определять период времени, по истечении которого пользователю будет предложено заново выполнить вход, настройте частоту входа в условном доступе. Дополнительные сведения об условном доступе см. в статье Настройка управления сеансами проверки подлинности с помощью условного доступа.
Свойства для настройки времени жизни маркера
Политика времени жизни маркера — это объект политики, который содержит правила времени жизни маркера. Эта политика определяет, как долго продолжают действовать маркеры доступа, SAML и идентификации для определенного ресурса. Настроить политики времени существования маркеров обновления и сеанса невозможно. Если политика не задана, система использует стандартное значение для времени жизни.
Свойства политики времени существования маркера доступа, идентификации и SAML2
Чем меньше значение свойства времени жизни маркера доступа, тем ниже риск использования маркера доступа или маркера идентификатора вредоносным субъектом в течение длительного времени. (Эти маркеры не могут быть отозваны.) Очевидным недостатком является то, что это влияет на производительность системы в связи с частой заменой маркеров.
Пример см. в разделе Создание политики для входа в веб-службы.
На конфигурацию маркера доступа, идентификации и SAML2 влияют указанные ниже свойства и соответствующие им значения.
- Свойство: время существования маркера доступа
- Строка свойства политики: AccessTokenLifetime
- Затрагивает: маркеры доступа, маркеры идентификации, маркеры SAML2
- По умолчанию.
- Маркеры доступа: зависит от клиентского приложения, запрашивающего маркер. Например, клиенты, поддерживающие непрерывную оценку доступа (CAE), которые согласовывают сеансы с поддержкой CAE, будут сталкиваться с длительным временем существования маркера (до 28 часов).
- Маркеры идентификации, маркеры SAML2: 1 час
- Минимум: 10 минут
- Максимум: 1 сутки
Свойства политики времени жизни маркеров обновления и маркеров сеанса
На конфигурацию маркера обновления и маркера сеанса влияют следующие свойства и соответствующие им значения. После того как 30 января 2021 году поддержка настройки маркеров обновления и маркеров сеанса была прекращена, в Azure AD учитываются только значения по умолчанию, описанные ниже. Если вы решили не использовать условный доступ для управления частотой входа, маркерам обновления и сеанса с этого дня будет задана конфигурация по умолчанию, и вы больше не сможете изменять их время существования.
| Свойство | Строка свойства политики | Область применения | По умолчанию |
|---|---|---|---|
| Максимальное время неактивности для маркеров обновления | MaxInactiveTime | Маркеры обновления | 90 дней |
| Максимальный возраст однофакторного маркера обновления | MaxAgeSingleFactor | Маркеры обновления (для всех пользователей) | Пока не будет отозван |
| Максимальный возраст многофакторного маркера обновления | MaxAgeMultiFactor | Маркеры обновления (для всех пользователей) | Пока не будет отозван |
| Максимальный возраст однофакторного маркера сеанса | MaxAgeSessionSingleFactor | Маркеры сеанса (постоянные и временные) | Пока не будет отозван |
| Максимальный возраст многофакторного маркера сеанса | MaxAgeSessionMultiFactor | Маркеры сеанса (постоянные и временные) | Пока не будет отозван |
Для маркеров непостояния сеанса максимальное время неактивности составляет 24 часа, а для маркеров постоянного сеанса — 90 дней. Каждый раз, когда маркер сеанса единого входа используется в течение срока его действия, срок действия продлевается еще на 24 часа или 90 дней. Если маркер сеанса единого входа не используется в течение максимального периода неактивного времени, он считается просроченным и больше не будет приниматься. Все изменения этого периода по умолчанию должны быть изменены с помощью условного доступа.
Для поиска политик, которые будут затронуты прекращением поддержки, можно использовать PowerShell. Используйте командлеты PowerShell , чтобы просмотреть все политики, созданные в вашей организации, или узнать, какие приложения связаны с определенной политикой.
Оценка политики и ее приоритеты
Вы можете создать, а затем назначить политику времени существования маркеров конкретному приложению и вашей организации. К одному приложению могут применяться сразу несколько политик. Политики определяют время жизни маркеров в соответствии со следующими правилами:
- Если политика явно назначена организации, она применяется.
- Если организации явно не назначена политика, применяется политика, назначенная приложению.
- Если организации или объекту приложения не назначена политика, применяются значения по умолчанию. (См. таблицу в разделе Свойства для настройки времени жизни маркера.)
Допустимость маркера оценивается во время его использования. Используется политика с самым высоким приоритетом, установленная для оцениваемого приложения.
Все интервалы времени указаны в формате объекта C# TimeSpan: Д.ЧЧ:ММ:СС. Поэтому 80 дней и 30 минут указываются как 80.00:30:00. Начальное значение Д можно опустить, если оно равно нулю, поэтому 90 минут будет указываться как 00:90:00.
Справочник по REST API
Вы можете настроить политики времени существования маркеров и назначить их приложениям с помощью Microsoft Graph. Дополнительные сведения см. в разделе Тип ресурса tokenLifetimePolicy и связанные с ним методы.
Справка по командлетам
Это командлеты в пакете SDK Microsoft Graph PowerShell.
Управление политиками
Управлять политиками можно с помощью следующих командлетов.
| Командлет | Описание |
|---|---|
| New-MgPolicyTokenLifetimePolicy | Создает новую политику. |
| Get-MgPolicyTokenLifetimePolicy | Возвращает все политики времени существования маркеров или указанную политику. |
| Update-MgPolicyTokenLifetimePolicy | Обновляет существующую политику. |
| Remove-MgPolicyTokenLifetimePolicy | Удаляет указанную политику. |
Политики приложений
Управлять политиками приложений можно с помощью следующих командлетов.
| Командлет | Описание |
|---|---|
| New-MgApplicationTokenLifetimePolicyByRef | Связывает указанную политику с приложением. |
| Get-MgApplicationTokenLifetimePolicyByRef | Возвращает политики, назначенные приложению. |
| Remove-MgApplicationTokenLifetimePolicyByRef | Удаляет политику из приложения. |
Политики субъекта-службы
Политики субъектов-служб не поддерживаются.
Следующие шаги
Дополнительные сведения см. в примерах настройки времени жизни маркеров.