I följande steg implementerar du ett vanligt principscenario som inför nya regler för tokens livslängd. Det går att ange livslängden för en åtkomst-, SAML- eller ID-token som utfärdats av Microsofts identitetsplattform. Detta kan anges för alla appar i din organisation eller för en specifik app eller ett specifikt huvudnamn. De kan också ställas in för flera organisationer (program med flera klientorganisationer). Du kanske vill öka tokenlivslängden så att ett skript körs i mer än en timme. Många Microsoft-bibliotek, till exempel Microsoft Graph PowerShell SDK, förlänger tokenlivslängden efter behov och du behöver inte göra ändringar i principen för åtkomsttoken. Mer information finns i konfigurerbara tokenlivslängder.
Konfigurera policyer för tokenlivslängd (förhandsversion)
Förutsättningar
Kom igång genom att ladda ned den senaste Microsoft Graph PowerShell-SDK:t.
Skapa en princip och tilldela den till en app
I följande steg skapar du en princip som kräver att användarna autentiserar mindre ofta i webbappen. Tilldela principen till en app som anger livslängden för åtkomst-/ID-token till 4 timmar för din webbapp.
Install-Module Microsoft.Graph
Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration","Policy.Read.All","Application.ReadWrite.All"
# Create a token lifetime policy
$params = @{
Definition = @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"4:00:00"}}')
DisplayName = "WebPolicyScenario"
IsOrganizationDefault = $false
}
$tokenLifetimePolicyId=(New-MgPolicyTokenLifetimePolicy -BodyParameter $params).Id
# Display the policy
Get-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId
# Assign the token lifetime policy to an app
$params = @{
"@odata.id" = "https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/$tokenLifetimePolicyId"
}
$applicationObjectId="aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
New-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -BodyParameter $params
# List the token lifetime policy on the app
Get-MgApplicationTokenLifetimePolicy -ApplicationId $applicationObjectId
# Remove the policy from the app
Remove-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -TokenLifetimePolicyId $tokenLifetimePolicyId
# Delete the policy
Remove-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId
Skapa en princip och tilldela den till ett huvudnamn för tjänsten
I följande steg skapar du en princip som kräver att användarna autentiserar mindre ofta i webbappen. Tilldela principen till tjänstens huvudnamn, vilket anger livslängden för åtkomst-/ID-token till 8 timmar för webbappen.
Skapa en policy för tokenlivslängd.
POST https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies Content-Type: application/json { "definition": [ "{\"TokenLifetimePolicy\":{\"Version\":1,\"AccessTokenLifetime\":\"8:00:00\"}}" ], "displayName": "Contoso token lifetime policy", "isOrganizationDefault": false }Tilldela principen till ett huvudnamn för tjänsten.
POST https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies/$ref Content-Type: application/json { "@odata.id":"https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/00aa00aa-bb11-cc22-dd33-44ee44ee44ee" }Lista principerna för tjänstens huvudnamn.
GET https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePoliciesTa bort principen från tjänstens huvudnamn.
DELETE https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/$ref
Visa befintliga principer i en klientorganisation
Om du vill se alla principer som har skapats i din organisation kör du cmdleten Get-MgPolicyTokenLifetimePolicy . Alla resultat med definierade egenskapsvärden som skiljer sig från de standardvärden som anges ovan är i omfånget för tillbakadragningen.
Get-MgPolicyTokenLifetimePolicyKör för att se alla principer som har skapats i din organisation.Get-MgPolicyTokenLifetimePolicyKör lista gällerTill med något av dina princip-ID:er för att se vilka appar som är länkade till en specifik princip som du har identifierat.
GET https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/4d2f137b-e8a9-46da-a5c3-cc85b2b840a4/appliesTo