Внедрить настройки токенов

Завершено

Можно указать время существования маркера, выданного платформой удостоверений Майкрософт. Кроме того, можно задать срок действия токенов для всех приложений вашей организации, для многопользовательского (мультиорганизационного) приложения или для конкретного служебного объекта в вашей организации. В идентификаторе Microsoft Entra объект политики представляет набор правил, которые применяются для отдельных приложений или всех приложений в организации. Каждый тип политики имеет уникальную структуру с набором свойств, применяемых к объектам, которым они назначены.

Политику можно назначить в качестве политики по умолчанию для вашей организации. Политика применяется к любому приложению в организации, если она не переопределяется политикой с более высоким приоритетом. Вы также можете назначить политику определенным приложениям. Порядок приоритета зависит от типа политики.

Настройка управления сеансами проверки подлинности с помощью условного доступа

В сложных развертываниях организациям может потребоваться ограничить сеансы проверка подлинности. К таким сложным сценариям могут относиться следующие:

  • Доступ к ресурсам с неуправляемого или общего устройства.
  • Доступ к конфиденциальным данным из внешней сети.
  • Пользователи с высоким уровнем влияния.
  • Критически важные бизнес-приложения.

Элементы управления условным доступом позволяют создавать политики, ориентированные на конкретные варианты использования в организации, не затрагивая всех пользователей.

Дополнительные сведения см. в ссылке в ресурсах в конце этого модуля.

Настройка токенов для Microsoft Entra ID

Время существования маркера доступа и идентификатора Время существования маркера обновления (дни) Срок службы скользящего окна маркера обновления Продолжительность существования (дни)
Время существования маркера носителя OAuth 2.0 и маркера идентификатора Максимальный период времени, в течение которого можно использовать токен обновления для получения нового токена доступа. Тип скользящего окна токена обновления После истечения периода времени пользователь вынужден повторно пройти проверку подлинности.

Схема времени существования маркера обновления — маркер действителен в течение указанного периода времени, а маркер доступа должен быть обновлен до истечения срока его действия.

Настройте необязательные утверждения в рамках маркера

Разработчики приложений могут использовать необязательные атрибуты в своих приложениях Microsoft Entra ID, чтобы указать, какие атрибуты они хотят видеть в токенах, отправляемых в их приложение.

Необязательные утверждения можно использовать, чтобы:

  • Выберите другие утверждения, чтобы включить их в маркеры для вашего приложения.
  • Изменить поведение определённых заявок, возвращаемых в токенах платформой удостоверений Microsoft.
  • Добавьте пользовательские утверждения доступа для вашего приложения.

Хотя необязательные утверждения поддерживаются в токенах форматов v1.0 и v2.0, а также в SAML токенах, они наиболее полезны при переходе от версии 1.0 к версии 2.0. Одна из целей платформы идентификации Microsoft — уменьшение размеров токенов для обеспечения оптимальной производительности приложения. В результате несколько утверждений, ранее включённых в токены доступа и идентификатора, больше не присутствуют в токенах версии 2.0 и должны запрашиваться специально для каждого приложения.

Снимок экрана: настройка пользовательских ролей и заявлений для токена SAML, выданного при настройке единого входа.