Обновление маркеров в платформа удостоверений Майкрософт
Когда клиентское приложение обращается за маркером доступа для доступа к защищенному ресурсу, клиент также получает маркер обновления. Маркер обновления используется для получения новых пар маркеров доступа и обновления при истечении срока действия текущего маркера доступа.
Маркеры обновления также применяются для получения дополнительных маркеров доступа для других ресурсов. Маркеры обновления привязаны к сочетанию пользователя и клиента, но не ограничены ресурсом или клиентом. Клиент может использовать маркер обновления для получения маркеров доступа в любом сочетании ресурсов и клиента, где у него есть разрешение на это. Маркеры обновления зашифрованы, и считывать их может только платформа удостоверений Майкрософт.
Время существования маркера
Время существования маркеров обновления превышает время существования маркеров доступа. Время существования маркеров обновления по умолчанию составляет 24 часа для одностраничных приложений и 90 дней для всех остальных сценариев. Маркеры обновления заменяют сами себя новыми маркерами при каждом использовании. Платформа удостоверений Майкрософт не отзывает старые маркеры обновления, используемые для получения новых маркеров доступа. После получения нового маркера старый маркер можно удалить. Маркеры обновления должны храниться в безопасном месте так же, как маркеры доступа или учетные данные приложения.
Примечание.
Срок действия маркеров обновления, отправляемых в универсальный код ресурса (URI) перенаправления, который зарегистрирован как spa, истекает через 24 часа. Дополнительные маркеры обновления, полученные с помощью начального маркера обновления, наследуют этот срок действия, поэтому приложения следует подготовить к повторному выполнению потока кода проверки подлинности с помощью интерактивной проверки подлинности, чтобы получать новый маркер обновления каждые 24 часа. Пользователям не нужно вводить учетные данные. Как правило, они даже не наблюдают соответствующих элементов пользовательского интерфейса — только перезагрузку приложения. Браузер должен посетить страницу входа в кадр верхнего уровня, чтобы отобразить сеанс входа. Это обусловлено функциями обеспечения конфиденциальности в браузерах, блокирующих сторонние файлы cookie.
Срок действия маркера
Маркеры обновления могут быть аннулированы в любое время из-за истечения времени ожидания и отзывов. Приложение должно обрабатывать отмены службой входа, отправляя пользователя в интерактивный запрос на вход еще раз.
Время ожидания для маркеров
Нельзя настроить время существования маркера обновления. Нельзя уменьшить или продлить время существования маркеров обновления. Поэтому важно обеспечить защиту маркеров обновления, так как они могут быть извлечены из общедоступных расположений плохими субъектами или действительно с самого устройства, если устройство скомпрометировано. Есть несколько действий, которые вы можете сделать:
- Чтобы определить период времени, по истечении которого пользователю будет предложено заново выполнить вход, настройте частоту входа в условном доступе. Дополнительные сведения см. в статье Настройка управления сеансами проверки подлинности с помощью условного доступа.
- Использование служб управления приложениями Microsoft Intune, таких как управление мобильными приложениями (MAM) и управление мобильными устройствами (MDM) для защиты данных вашей организации
- Реализация политики защиты маркеров условного доступа
Не все маркеры обновления соответствуют правилам, заданным в политике времени существования маркеров. В частности, маркеры обновления, используемые в одностраничных приложениях, всегда фиксированы до 24 часов активности, как если бы к ним MaxAgeSessionSingleFactor применена политика в 24 часа.
Отзыв маркеров
Сервер может отозвать маркеры обновления из-за изменения учетных данных, действия пользователя или действия администратора. Маркеры обновления делятся на два класса — те, которые выдаются конфиденциальным клиентам (самый правый столбец) и которые выдаются открытым клиентам (все остальные столбцы).
| Изменение | Файл cookie на основе пароля | Токен на основе пароля | Файл cookie без использования пароля | Токен без использования пароля | Конфиденциальный маркер клиента |
|---|---|---|---|---|---|
| Срок действия пароля | Остается активным | Остается активным | Остается активным | Остается активным | Остается активным |
| Пароль изменен пользователем | Отозвано | Отозвано | Остается активным | Остается активным | Остается активным |
| Пользователь выполняет SSPR | Отозвано | Отозвано | Остается активным | Остается активным | Остается активным |
| Администратор сбрасывает пароль | Отозвано | Отозвано | Остается активным | Остается активным | Остается активным |
| Пользователь отменяет маркеры обновления | Отозвано | Отозвано | Отозвано | Отозвано | Отозвано |
| Администратор отменяет все маркеры обновления для пользователя | Отозвано | Отозвано | Отозвано | Отозвано | Отозвано |
| Единый выход | Отозвано | Остается активным | Отозвано | Остается активным | Остается активным |
Примечание.
Маркеры обновления не отзываются для пользователей B2B в клиенте ресурсов. Маркер необходимо отозвать в домашнем клиенте.