Uppdatera token i Microsofts identitetsplattform
När en klient hämtar en åtkomsttoken för att komma åt en skyddad resurs får klienten även en uppdateringstoken. Uppdateringstoken används för att hämta nya åtkomst- och uppdateringstokenpar när den aktuella åtkomsttoken upphör att gälla.
Uppdateringstoken används också för att hämta extra åtkomsttoken för andra resurser. Uppdateringstoken är bundna till en kombination av användare och klient, men är inte knutna till en resurs eller klientorganisation. En klient kan använda en uppdateringstoken för att hämta åtkomsttoken över valfri kombination av resurs och klientorganisation där den har behörighet att göra det. Uppdateringstoken krypteras och endast Microsofts identitetsplattform kan läsa dem.
Livslängd för token
Uppdateringstoken har en längre livslängd än åtkomsttoken. Standardlivslängden för uppdateringstoken är 24 timmar för ensidesappar och 90 dagar för alla andra scenarier. Uppdateringstoken ersätter sig själva med en ny token vid varje användning. Microsofts identitetsplattform återkallar inte gamla uppdateringstoken när de används för att hämta nya åtkomsttoken. Ta bort den gamla uppdateringstoken på ett säkert sätt när du har skaffat en ny. Uppdateringstoken måste lagras på ett säkert sätt som åtkomsttoken eller programautentiseringsuppgifter.
Kommentar
Uppdateringstoken som skickas till en omdirigerings-URI som registrerats spa efter 24 timmar. Ytterligare uppdateringstoken som hämtas med den första uppdateringstoken överför den förfallotiden, så appar måste vara beredda att köra auktoriseringskodflödet igen med hjälp av en interaktiv autentisering för att få en ny uppdateringstoken var 24:e timme. Användare behöver inte ange sina autentiseringsuppgifter och ser vanligtvis inte ens någon relaterad användarupplevelse, bara en ny inläsning av ditt program. Webbläsaren måste gå till inloggningssidan i en ram på den översta nivån för att visa inloggningssessionen. Detta beror på sekretessfunktioner i webbläsare som blockerar cookies från tredje part.
Förfallodatum för token
Uppdateringstoken kan återkallas när som helst på grund av tidsgränser och återkallningar. Appen måste hantera återkallningar av inloggningstjänsten på ett smidigt sätt genom att skicka användaren till en interaktiv inloggningsprompt för att logga in igen.
Tidsgränser för token
Du kan inte konfigurera livslängden för en uppdateringstoken. Du kan inte minska eller förlänga deras livslängd. Därför är det viktigt att se till att du skyddar uppdateringstoken, eftersom de kan extraheras från offentliga platser av dåliga aktörer, eller från själva enheten om enheten komprometteras. Det finns några saker du kan göra:
- Konfigurera inloggningsfrekvens i villkorlig åtkomst för att definiera tidsperioderna innan en användare måste logga in igen. Mer information finns i Konfigurera autentiseringssessionshantering med villkorsstyrd åtkomst.
- Använd Microsoft Intune-apphanteringstjänster som hantering av mobilprogram (MAM) och hantering av mobila enheter (MDM) för att skydda organisationens data
- Implementera tokenskyddsprincip för villkorlig åtkomst
Alla uppdateringstoken följer inte de regler som anges i policyn för tokenlivslängd. Mer specifikt är uppdateringstoken som används i ensidesappar alltid fasta till 24 timmars aktivitet, som om de har en MaxAgeSessionSingleFactor princip på 24 timmar som tillämpas på dem.
Återkallning av token
Servern kan återkalla uppdateringstoken på grund av en ändring i autentiseringsuppgifter, användaråtgärd eller administratörsåtgärd. Uppdateringstoken delas in i två klasser: token som utfärdas till konfidentiella klienter (kolumnen längst till höger) och token som utfärdas till offentliga klienter (alla andra kolumner).
| Förändring | Lösenordsbaserad cookie | Lösenordsbaserad token | Icke-lösenordsbaserad cookie | Icke-lösenordsbaserad token | Konfidentiell klienttoken |
|---|---|---|---|---|---|
| Lösenordet upphör att gälla | Håller sig vid liv | Håller sig vid liv | Håller sig vid liv | Håller sig vid liv | Håller sig vid liv |
| Lösenordet har ändrats av användaren | Återkallas | Återkallas | Håller sig vid liv | Håller sig vid liv | Håller sig vid liv |
| Användaren utför SSPR | Återkallas | Återkallas | Håller sig vid liv | Håller sig vid liv | Håller sig vid liv |
| Administratören återställer lösenord | Återkallas | Återkallas | Håller sig vid liv | Håller sig vid liv | Håller sig vid liv |
| Användaren återkallar sina uppdateringstoken | Återkallas | Återkallas | Återkallas | Återkallas | Återkallas |
| Administratören återkallar alla uppdateringstoken för en användare | Återkallas | Återkallas | Återkallas | Återkallas | Återkallas |
| Enkel utloggning | Återkallas | Håller sig vid liv | Återkallas | Håller sig vid liv | Håller sig vid liv |
Kommentar
Uppdateringstoken återkallas inte för B2B-användare i deras resursklientorganisation. Token måste återkallas i hemklientorganisationen.