Маркеры обновления платформы удостоверений Майкрософт
Когда клиентское приложение обращается за маркером доступа для доступа к защищенному ресурсу, клиент также получает маркер обновления. Маркер обновления используется для получения новой пары маркеров доступа и обновления, когда истечет срок действия маркера доступа. Маркеры обновления также применяются для получения дополнительных маркеров доступа для других ресурсов. Маркеры обновления привязаны к сочетанию пользователя и клиента, но не ограничены ресурсом или клиентом. Это позволяет клиенту использовать маркер обновления для получения маркеров доступа в любом сочетании ресурса и клиента и при наличии соответствующего разрешения. Маркеры обновления зашифрованы, и считывать их может только платформа удостоверений Майкрософт.
Предварительные требования
Перед прочтением этой статьи рекомендуется ознакомиться со следующими ресурсами.
- Маркеры идентификации на платформе удостоверений Майкрософт.
- Маркеры доступа на платформе удостоверений Майкрософт.
Время существования маркера обновления
Время существования маркеров обновления превышает время существования маркеров доступа. Время существования маркеров обновления по умолчанию составляет 24 часа для одностраничных приложений и 90 дней для всех остальных сценариев. Маркеры обновления заменяют сами себя новыми маркерами при каждом использовании. Платформа удостоверений Майкрософт не отзывает старые маркеры обновления, используемые для получения новых маркеров доступа. После получения нового маркера старый маркер можно удалить. Маркеры обновления должны храниться в безопасном месте так же, как маркеры доступа или учетные данные приложения.
Важно!
Срок действия маркеров обновления, отправляемых в универсальный код ресурса (URI) перенаправления, который зарегистрирован как spa, истекает через 24 часа. Дополнительные маркеры обновления, полученные с помощью начального маркера обновления, наследуют этот срок действия, поэтому приложения следует подготовить к повторному выполнению потока кода проверки подлинности с помощью интерактивной проверки подлинности, чтобы получать новый маркер обновления каждые 24 часа. Пользователям не нужно вводить учетные данные. Как правило, они даже не наблюдают соответствующих элементов пользовательского интерфейса — только перезагрузку приложения. Чтобы увидеть сеанс входа, браузер должен посетить страницу входа во фрейме верхнего уровня. Это обусловлено функциями обеспечения конфиденциальности в браузерах, блокирующих сторонние файлы cookie.
Срок действия маркера обновления
Маркеры обновления могут быть аннулированы в любое время из-за истечения времени ожидания и отзывов. В этом случае приложение должно надлежащим образом обрабатывать отклонения, выдаваемые службой входа. Это осуществляется путем отправки пользователю интерактивного запроса на вход.
Время ожидания для маркеров
Нельзя настроить время существования маркера обновления. Нельзя уменьшить или продлить время существования маркеров обновления. Чтобы определить период времени, по истечении которого пользователю будет предложено заново выполнить вход, настройте частоту входа в условном доступе. См. дополнительные сведения о настройке управления сеансами проверки подлинности с помощью условного доступа.
Не все маркеры обновления соответствуют правилам, заданным в политике времени существования маркеров. В частности, время действия маркеров обновления, используемых в одностраничных приложениях, всегда ограничено 24 часами, как если бы к ним была применена политика MaxAgeSessionSingleFactor, определяющая их время существования в течение 24 часов.
Запрет доступа
Маркеры обновления могут отзываться сервером из-за изменения учетных данных или действием пользователя или администратора. Маркеры обновления делятся на два класса — те, которые выдаются конфиденциальным клиентам (самый правый столбец) и которые выдаются открытым клиентам (все остальные столбцы).
| Изменить | Файл cookie на основе пароля | Маркер на основе пароля | Файл cookie без использования пароля | Маркер без использования пароля | Конфиденциальный маркер клиента |
|---|---|---|---|---|---|
| Срок действия пароля | Остается активным | Остается активным | Остается активным | Остается активным | Остается активным |
| Пароль изменен пользователем | Отменен | Отменен | Остается активным | Остается активным | Остается активным |
| Пользователь выполняет SSPR | Отменен | Отменен | Остается активным | Остается активным | Остается активным |
| Администратор сбрасывает пароль | Отменен | Отменен | Остается активным | Остается активным | Остается активным |
| Пользователь отменяет свои маркеры обновления с помощью PowerShell | Отменен | Отменен | Отменен | Отменен | Отменен |
| Администратор отменяет все маркеры обновления для пользователя с помощью PowerShell | Отменен | Отменен | Отменен | Отменен | Отменен |
| Единый выход через веб-интерфейс | Отменен | Остается активным | Отменен | Остается активным | Остается активным |
Дальнейшие действия
- Узнайте о настраиваемом времени существования маркеров.
- Ознакомьтесь с основными маркерами обновления.