Microsoft kimlik platformu belirteçleri yenileme
İstemci korumalı bir kaynağa erişmek için erişim belirteci aldığında, istemci bir yenileme belirteci de alır. Yenileme belirteci, geçerli erişim belirtecinin süresi dolduğunda yeni erişim ve yenileme belirteci çiftlerini almak için kullanılır.
Yenileme belirteçleri, diğer kaynaklar için ek erişim belirteçleri almak için de kullanılır. Yenileme belirteçleri kullanıcı ve istemci birleşimine bağlıdır, ancak bir kaynağa veya kiracıya bağlı değildir. İstemci, herhangi bir kaynak ve kiracı birleşiminde erişim belirteçleri almak için yenileme belirtecini kullanabilir ve bunu yapma iznine sahiptir. Yenileme belirteçleri şifrelenir ve bunları yalnızca Microsoft kimlik platformu okuyabilir.
Belirteç ömrü
Yenileme belirteçlerinin ömrü erişim belirteçlerinden daha uzun olur. Yenileme belirteçleri için varsayılan yaşam süresi, tek sayfalı uygulamalar için 24 saat ve diğer tüm senaryolar için 90 gündür. Yenileme belirteçleri, her kullanımda kendilerini yeni bir belirteçle değiştirir. Microsoft kimlik platformu, yeni erişim belirteçlerini getirmek için kullanıldığında eski yenileme belirteçlerini iptal etmez. Yenisini aldıktan sonra eski yenileme belirtecini güvenli bir şekilde silin. Yenileme belirteçlerinin erişim belirteçleri veya uygulama kimlik bilgileri gibi güvenli bir şekilde depolanması gerekir.
Not
24 saat sonra süresi doldu olarak spa
kaydedilen yeniden yönlendirme URI'sine gönderilen belirteçleri yenileyin. İlk yenileme belirteci kullanılarak alınan ek yenileme belirteçleri bu süre sonunu taşır, bu nedenle uygulamaların her 24 saatte bir yeni yenileme belirteci almak için etkileşimli bir kimlik doğrulaması kullanarak yetkilendirme kodu akışını yeniden çalıştırmaya hazır olması gerekir. Kullanıcıların kimlik bilgilerini girmesi gerekmez ve genellikle uygulamanızın yeniden yüklenmesiyle ilgili kullanıcı deneyimini bile görmezler. Oturum açma oturumunu göstermek için tarayıcının üst düzey bir çerçevedeki oturum açma sayfasını ziyaret etmesi gerekir. Bunun nedeni tarayıcılardaki üçüncü taraf tanımlama bilgilerini engelleyen gizlilik özellikleridir.
Belirteç süre sonu
Zaman aşımları ve iptaller nedeniyle yenileme belirteçleri istediğiniz zaman iptal edilebilir. Uygulamanız, kullanıcıyı yeniden oturum açması için etkileşimli bir oturum açma istemine göndererek oturum açma hizmeti tarafından yapılan iptalleri düzgün bir şekilde işlemelidir.
Belirteç zaman aşımları
Yenileme belirtecinin ömrünü yapılandıramazsınız. Yaşam sürelerini azaltamaz veya uzatamazsınız. Bu nedenle, kötü aktörler tarafından genel konumlardan veya cihazın güvenliği ihlal edilirse cihazın kendisinden ayıklanabilirler ve yenileme belirteçlerinin güvenliğini sağlamanız önemlidir. Yapabileceğiniz birkaç şey vardır:
- Kullanıcının yeniden oturum açması gerekmeden önceki zaman aralıklarını tanımlamak için Koşullu Erişim'de oturum açma sıklığını yapılandırın. Daha fazla bilgi için bkz . Koşullu Erişim ile kimlik doğrulama oturumu yönetimini yapılandırma.
- Kuruluşunuzun verilerini korumak için mobil uygulama yönetimi (MAM) ve mobil cihaz yönetimi (MDM) gibi Microsoft Intune uygulama yönetimi hizmetlerini kullanma
- Koşullu Erişim belirteci koruma ilkesi uygulama
Tüm yenileme belirteçleri, belirteç ömrü ilkesinde ayarlanan kurallara uymaz. Özellikle, tek sayfalı uygulamalarda kullanılan yenileme belirteçleri her zaman 24 saatlik etkinliğe sabitlenir. Bu belirteçlere 24 saatlik bir MaxAgeSessionSingleFactor
ilke uygulanmış gibi gelir.
Belirteç iptali
Kimlik bilgileri, kullanıcı eylemi veya yönetici eylemindeki bir değişiklik nedeniyle sunucu yenileme belirteçlerini iptal edebilir. Yenileme belirteçleri iki sınıfa ayrılır: gizli istemcilere verilen belirteçler (en sağdaki sütun) ve genel istemcilere verilen belirteçler (diğer tüm sütunlar).
Değiştir | Parola tabanlı tanımlama bilgisi | Parola tabanlı belirteç | Parola tabanlı olmayan tanımlama bilgisi | Parola tabanlı olmayan belirteç | Gizli istemci belirteci |
---|---|---|---|---|---|
Parolanın süresi doluyor | Canlı kalır | Canlı kalır | Canlı kalır | Canlı kalır | Canlı kalır |
Parola kullanıcı tarafından değiştirildi | Iptal | Iptal | Canlı kalır | Canlı kalır | Canlı kalır |
Kullanıcı SSPR yapar | Iptal | Iptal | Canlı kalır | Canlı kalır | Canlı kalır |
Yönetici parolayı sıfırlar | Iptal | Iptal | Canlı kalır | Canlı kalır | Canlı kalır |
Kullanıcı yenileme belirteçlerini iptal eder | Iptal | Iptal | Iptal | Iptal | Iptal |
Yönetici bir kullanıcı için tüm yenileme belirteçlerini iptal eder | Iptal | Iptal | Iptal | Iptal | Iptal |
Çoklu oturum kapatma | Iptal | Canlı kalır | Iptal | Canlı kalır | Canlı kalır |
Not
Yenileme belirteçleri, kaynak kiracılarındaki B2B kullanıcıları için iptal edilmemiştir. Belirtecin ev kiracısında iptal edilmesi gerekir.