Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Единый вход позволяет пользователям проходить проверку подлинности один раз и получать доступ к нескольким ресурсам, не запрашивая дополнительные учетные данные. В этой статье описывается поведение по умолчанию AD FS для единого входа и параметры конфигурации, которые позволяют настроить это поведение.
Поддерживаемые типы единого входа
AD FS поддерживает несколько типов возможностей единого входа:
Единый вход сеанса
Единый вход в рамках сеанса устраняет дополнительные запросы, когда пользователь переключает приложения во время определенного сеанса. Если определенный сеанс заканчивается, пользователю будет предложено снова укажите свои учетные данные. Файлы cookie единого входа сеанса записываются для пользователя, прошедшего проверку подлинности.
Если устройства пользователей не зарегистрированы, AD FS по умолчанию устанавливает файлы cookie для единого входа в сеанс. Если сеанс браузера завершился и перезагружается, этот файл cookie сеанса удаляется и больше не является допустимым.
Постоянный SSO
Постоянный единый вход устраняет дополнительные запросы, когда пользователь переключает приложения до тех пор, пока постоянный файл cookie единого входа действителен. Постоянные файлы cookie единого входа записываются для прошедшего проверку подлинности пользователя. Разница между постоянным единым входом и сеансовым единым входом заключается в том, что постоянный единый вход может поддерживаться на протяжении разных сеансов.
AD FS установит постоянные файлы cookie единого входа, если устройство зарегистрировано. AD FS также устанавливает постоянный файл cookie единого входа, если пользователь выбирает параметр "Сохранить меня в системе". Если постоянный файл cookie единого входа больше не действителен, он отклоняется и удаляется.
Единый вход для конкретного приложения
В сценарии OAuth маркер обновления используется для поддержания состояния единого входа пользователя в рамках определенного приложения.
AD FS установит время истечения срока действия маркера обновления, исходя из продолжительности жизни persistent SSO cookie для зарегистрированного устройства. По умолчанию время существования файла cookie составляет семь дней для AD FS в Windows Server 2012 R2. Время существования файлов cookie по умолчанию для AD FS в Windows Server 2016 составляет не более 90 дней, если устройство используется для доступа к ресурсам AD FS в течение 14 дней.
Если устройство не зарегистрировано, но пользователь выбирает опцию "Сохранить меня вошедшим в систему", срок действия маркера обновления будет равен времени существования постоянной куки SSO для опции "Сохранить меня вошедшим". Время существования постоянного cookie единого входа (SSO) составляет один день (по умолчанию), не более семи дней. В противном случае срок действия маркера обновления соответствует сроку действия куки единого входа сеанса (по умолчанию — 8 часов).
Пользователи на зарегистрированных устройствах всегда получают устойчивый единый вход, если устойчивый единый вход не отключен. Для незарегистрированных устройств постоянный SSO можно обеспечить, включив функцию "Оставаться в системе" (KMSI).
Для Windows Server 2012 R2, чтобы включить PSSO для сценария "Сохранить меня в системе", необходимо установить это исправление, которое также входит в накопительный пакет обновления за август 2014 г. для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2.
| Задача | PowerShell | Описание |
|---|---|---|
| Включить/отключить постоянный единый вход | Set-AdfsProperties –EnablePersistentSso <Boolean> |
Постоянный единый вход включен по умолчанию. Если он отключен, файл cookie PSSO не создается. |
| "Включить или отключить "Сохранить вход" | Set-AdfsProperties –EnableKmsi <Boolean> |
Функция "Сохранить вход" отключена по умолчанию. Если эта функция включена, пользователь увидит выбор "Оставаться в системе" на странице входа в систему AD FS. |
AD FS 2016 — устройства с единым входом и проверкой подлинности
AD FS 2016 изменяет поведение PSSO, когда запрос на аутентификацию исходит от зарегистрированного устройства, увеличивая срок до 90 дней, но требуя прохождения аутентификации в течение 14-дневного периода (окно использования устройства). После первого предоставления учетных данных пользователи с зарегистрированными устройствами получают единый вход в течение максимального периода 90 дней, если устройство используется для доступа к ресурсам AD FS по крайней мере один раз в 14 дней. Через 15 дней пользователям будет предложено снова укажите учетные данные.
Постоянный единый вход включен по умолчанию. Если он отключен, файл cookie PSSO не создается.|
Set-AdfsProperties –EnablePersistentSso <Boolean\>
Окно использования устройства (14 дней по умолчанию) регулируется свойством AD FS DeviceUsageWindowInDays.
Set-AdfsProperties -DeviceUsageWindowInDays
Максимальный период единого входа (90 дней по умолчанию) регулируется свойством AD FS PersistentSoLifetimeMins.
Set-AdfsProperties -PersistentSsoLifetimeMins
Сохранение входа на устройства без проверки подлинности
Для не зарегистрированных устройств период единого входа определяется параметрами функции Keep Me Sign In (KMSI). KMSI отключен по умолчанию и может быть включен, установив для свойства KMsiEnabled свойство AD FS значение True.
Set-AdfsProperties -EnableKmsi $true
При отключении KMSI период единого входа по умолчанию составляет 8 часов. Период единого входа можно настроить с помощью свойства SsoLifetime. Свойство измеряется в минутах, поэтому значение по умолчанию — 480.
Set-AdfsProperties –SsoLifetime <Int32\>
С включенной функцией KMSI период единого входа по умолчанию составляет 24 часа. Период единого входа с включенной функцией KMSI можно настроить с помощью свойства KmsiLifetimeMins. Свойство измеряется в минутах, поэтому значение по умолчанию — 1440.
Set-AdfsProperties –KmsiLifetimeMins <Int32\>
Поведение многофакторной проверки подлинности (MFA)
AD FS обеспечивает сравнительно длительные периоды единого входа. Важно отметить, что AD FS будет запрашивать дополнительную проверку подлинности (многофакторную проверку подлинности), когда предыдущий вход основан на первичных учетных данных (не MFA), но для текущего входа требуется MFA. Это поведение проявляется независимо от конфигурации системы единого входа. Когда AD FS получает запрос на проверку подлинности, оно сначала определяет, существует ли контекст единого входа (например, cookie), а затем требуется ли многофакторная аутентификация. Например, многофакторная аутентификация (MFA) требуется, если запрос на проверку подлинности поступает извне. В таком случае AD FS оценивает, содержит ли контекст единого входа многофакторную аутентификацию (МФА). В противном случае будет запрошена многофакторная аутентификация.
Отзыв PSSO
Для защиты безопасности AD FS отклоняет любой постоянный файл cookie единого входа, выданный ранее при выполнении следующих условий:
Изменения пароля пользователя
Параметр постоянного единого входа отключен в AD FS
Устройство отключено администратором в случае потери или кражи
AD FS получает постоянный куки для единого входа (SSO), который выдается для зарегистрированного пользователя, но пользователь или устройство больше не зарегистрированы.
AD FS получает постоянную cookie-файл единого входа (SSO) для зарегистрированного пользователя, но пользователь повторно зарегистрировался.
AD FS получает постоянный cookie для единого входа, который выдается в результате выбора "оставаться в системе", однако этот параметр отключен в AD FS.
AD FS получает постоянный файл cookie единого входа, выданный для зарегистрированного пользователя, но сертификат устройства отсутствует или изменен во время проверки подлинности.
Администратор AD FS установил время отсечения для постоянной единой аутентификации. При настройке времени отсечения AD FS отклонит любой постоянный SSO файл cookie, выданный до этого времени.
Отказ от постоянного единого входа требует, чтобы пользователь предоставил свои учетные данные для повторной проверки подлинности с помощью AD FS.
Чтобы задать время отключения, выполните следующий командлет PowerShell:
Set-AdfsProperties -PersistentSsoCutoffTime <DateTime>
Включение PSSO для пользователей Office 365 для доступа к SharePoint Online
После включения и настройки PSSO AD FS создает постоянный файл cookie сразу после проверки подлинности пользователя. PSSO избегает необходимости повторной проверки подлинности в последующих сеансах, если файл cookie по-прежнему действителен.
Пользователи также могут избежать дополнительных запросов проверки подлинности для Office 365 и SharePoint Online. Настройте следующие два правила утверждений в AD FS, чтобы активировать сохраняемость в идентификаторе Microsoft Entra и SharePoint Online. Чтобы включить PSSO для пользователей Office 365 для доступа к SharePoint Online, установите это исправление. Это часть накопительного пакета обновления за август 2014 г. для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2.
Правило преобразования для передачи утверждения "InsideCorporateNetwork"
@RuleTemplate = "PassThroughClaims"
@RuleName = "Pass through claim - InsideCorporateNetwork"
c:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"]
=> issue(claim = c);
A custom Issuance Transform rule to pass through the persistent SSO claim
@RuleName = "Pass Through Claim - Psso"
c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
=> issue(claim = c);
Чтобы свести итоги, выполните приведенные ниже действия.
| Интерфейс единого входа | ADFS 2012 R2 Зарегистрировано ли устройство? |
ADFS 2016 Зарегистрировано ли устройство? |
|---|---|---|
| Нет, но KMSI Да | Нет, но KMSI Да | |
| SSO=>установить токен обновления=> | 8 часов n/a | 8 часов n/a |
| PSSO=>установить обновляющий токен=> | n/a 24 часа 7 дней | n/a 24 ч, максимум 90 дней с возможностью изменения через 14 дней |
| Время жизни токена | 1 ч 1 ч 1 ч | 1 ч 1 ч 1 ч |
Зарегистрированное устройство? Вы получаете PSSO / постоянный единый вход.
Не зарегистрировано устройство? Вы получаете единый вход.
Не зарегистрировано устройство, но KMSI? Вы получаете PSSO/постоянную единую аутентификацию.
IF:
- [x] Администратор включил функцию KMSI [AND]
- [x] Пользователь выбирает флажок KMSI на странице входа в формы
AD FS выдает новый маркер обновления только в том случае, если срок действия нового маркера обновления превышает предыдущий маркер. Максимальное время действия токена составляет 84 дня, но AD FS поддерживает его действительность в течение скользящего окна в 14 дней. Если маркер обновления действителен в течение 8 часов, что соответствует обычному времени единого входа, новый маркер обновления не выдаётся.
Хорошо знать:
Федеративные пользователи, у которых атрибут LastPasswordChangeTimestamp не синхронизирован, получают файлы cookie сеанса и маркеры обновления, максимальный срок действия которых составляет 12 часов.
Файлы cookie сеанса с параметром Max Age и маркеры обновления выдаются, так как идентификатор Microsoft Entra ID не может определить, когда отменять маркеры, связанные с устаревшими учетными данными. Это поведение может быть вызвано изменением пароля, например. Идентификатор Microsoft Entra должен чаще проверять, чтобы убедиться, что пользователь и связанные токены по-прежнему действительны.