Aşağıdaki adımlarda, belirteç ömrü için yeni kurallar uygulayan ortak bir ilke senaryosu uygulayacaksınız. Microsoft kimlik platformu tarafından verilen erişim, SAML veya kimlik belirtecinin ömrünü belirtmek mümkündür. Bu, kuruluşunuzdaki tüm uygulamalar veya belirli bir uygulama veya sorumlu için ayarlanabilir. Bunlar çok kuruluşlu (çok kiracılı uygulama) için de ayarlanabilir. Betiğin bir saatten uzun süre çalışması için belirteç ömrünü artırmak isteyebilirsiniz. Microsoft Graph PowerShell SDK'sı gibi birçok Microsoft kitaplığı, belirteç ömrünü gerektiği gibi uzatır ve erişim belirteci ilkesinde değişiklik yapmanız gerekmez. Daha fazla bilgi için bkz . Yapılandırılabilir belirteç ömrü.
Belirteç ömrü ilkelerini yapılandırma (önizleme)
Önkoşullar
Başlamak için en son Microsoft Graph PowerShell SDK'sını indirin.
İlke oluşturma ve bir uygulamaya atama
Aşağıdaki adımlarda, kullanıcıların web uygulamanızda daha az sıklıkta kimlik doğrulamasını gerektiren bir ilke oluşturacaksınız. İlkeyi bir uygulamaya atayın. Bu ilke, web uygulamanız için erişim/kimlik belirteçlerinin ömrünü 4 saate ayarlar.
Install-Module Microsoft.Graph
Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration","Policy.Read.All","Application.ReadWrite.All"
# Create a token lifetime policy
$params = @{
Definition = @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"4:00:00"}}')
DisplayName = "WebPolicyScenario"
IsOrganizationDefault = $false
}
$tokenLifetimePolicyId=(New-MgPolicyTokenLifetimePolicy -BodyParameter $params).Id
# Display the policy
Get-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId
# Assign the token lifetime policy to an app
$params = @{
"@odata.id" = "https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/$tokenLifetimePolicyId"
}
$applicationObjectId="aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
New-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -BodyParameter $params
# List the token lifetime policy on the app
Get-MgApplicationTokenLifetimePolicy -ApplicationId $applicationObjectId
# Remove the policy from the app
Remove-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -TokenLifetimePolicyId $tokenLifetimePolicyId
# Delete the policy
Remove-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId
İlke oluşturma ve bunu hizmet sorumlusuna atama
Aşağıdaki adımlarda, kullanıcıların web uygulamanızda daha az sıklıkta kimlik doğrulamasını gerektiren bir ilke oluşturacaksınız. web uygulamanız için erişim/kimlik belirteçlerinin ömrünü 8 saate ayarlayan ilkeyi hizmet sorumlusuna atayın.
Belirteç yaşam süresi ilkesi oluşturun.
POST https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies Content-Type: application/json { "definition": [ "{\"TokenLifetimePolicy\":{\"Version\":1,\"AccessTokenLifetime\":\"8:00:00\"}}" ], "displayName": "Contoso token lifetime policy", "isOrganizationDefault": false }İlkeyi bir hizmet sorumlusuna atayın.
POST https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies/$ref Content-Type: application/json { "@odata.id":"https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/00aa00aa-bb11-cc22-dd33-44ee44ee44ee" }Hizmet sorumlusundaki ilkeleri listeleyin.
GET https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePoliciesİlkeyi hizmet sorumlusundan kaldırın.
DELETE https://graph.microsoft.com/v1.0/servicePrincipals/00001111-aaaa-2222-bbbb-3333cccc4444/tokenLifetimePolicies/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/$ref
Kiracıdaki mevcut ilkeleri görüntüleme
Kuruluşunuzda oluşturulan tüm ilkeleri görmek için Get-MgPolicyTokenLifetimePolicy cmdlet'ini çalıştırın. Yukarıda listelenen varsayılan değerlerden farklı tanımlı özellik değerlerine sahip tüm sonuçlar kullanımdan kaldırma kapsamındadır.
Kuruluşunuzda
Get-MgPolicyTokenLifetimePolicyoluşturulan tüm ilkeleri görmek için komutunu çalıştırın.Get-MgPolicyTokenLifetimePolicyRun List appliesTo , hangi uygulamaların tanımladığınız belirli bir ilkeye bağlı olduğunu görmek için ilke kimliklerinizden herhangi birine uygulanır.
GET https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/4d2f137b-e8a9-46da-a5c3-cc85b2b840a4/appliesTo