Nastavení souborů cookie pro přístup k místním aplikacím v Microsoft Entra ID
Microsoft Entra ID má přístup a soubory cookie relace pro přístup k místním aplikacím prostřednictvím proxy aplikací. Zjistěte, jak používat nastavení souborů cookie proxy aplikací.
Jaká jsou nastavení souborů cookie?
Proxy aplikace používá následující nastavení přístupu a souborů cookie relace.
| Nastavení souborů cookie | Výchozí | Popis | Doporučení |
|---|---|---|---|
| Použití souboru cookie pouze protokolu HTTP | Ne | Ano umožňuje proxy aplikací zahrnout příznak HTTPOnly do hlaviček odpovědi HTTP. Tento příznak poskytuje dodatečné výhody zabezpečení, například brání skriptování na straně klienta (CSS) v kopírování nebo úpravě souborů cookie. Než budeme podporovat nastavení pouze HTTP, proxy aplikace zašifroval a přenášel soubory cookie přes zabezpečený kanál TLS (Transport Layer Security), který chrání před úpravami. |
Použijte Ano kvůli dodatečným výhodám zabezpečení. Pro klienty nebo uživatelské agenty, kteří vyžadují přístup k souboru cookie relace, použijte ne . Použijte například možnost Ne pro protokol RDP (Remote Desktop Protocol) nebo klienta Microsoft Terminal Services (MTSC), který se připojuje k serveru brány vzdálené plochy prostřednictvím proxy aplikace. |
| Použití zabezpečeného souboru cookie | Ano | Ano umožňuje proxy aplikacím zahrnout příznak Zabezpečení do hlaviček odpovědi HTTP. Zabezpečené soubory cookie vylepšují zabezpečení přenosem souborů cookie přes zabezpečený kanál TLS, jako je https. Tls zabraňuje přenosu souborů cookie ve formátu prostého textu. | Použijte Ano kvůli dodatečným výhodám zabezpečení. |
| Použití trvalého souboru cookie | Ne | Ano umožňuje proxy aplikací nastavit, aby po zavření webového prohlížeče nevyprší platnost přístupových souborů cookie. Trvalost trvá až do vypršení platnosti přístupového tokenu nebo dokud uživatel ručně neodstraní trvalé soubory cookie. | Použití Ne z důvodu rizika zabezpečení spojeného s udržováním ověření uživatelů. Doporučujeme používat pouze ano pro starší aplikace, které nemůžou sdílet soubory cookie mezi procesy. Je lepší aktualizovat aplikaci tak, aby zpracovávala sdílení souborů cookie mezi procesy místo použití trvalých souborů cookie. Můžete například potřebovat trvalé soubory cookie, aby uživatel mohl otevírat dokumenty Office v zobrazení průzkumníka ze sharepointového webu. Bez trvalých souborů cookie může tato operace selhat, pokud se přístupové soubory cookie nesdílí mezi prohlížečem, procesem průzkumníka a procesem Office. |
Soubory cookie SameSite
Soubory cookie, které nezadávají atribut SameSite , se považují za to, že byly nastaveny na SameSite=Lax. Atribut SameSite deklaruje, jak mají být soubory cookie omezeny na kontext stejného webu. Pokud je Laxtato možnost nastavená, soubor cookie se odesílá pouze na požadavky na stejné weby nebo na navigaci nejvyšší úrovně. Proxy aplikací však vyžaduje, aby se tyto soubory cookie zachovaly v kontextu třetí strany, aby se uživatelé během relace správně přihlásili. Z důvodu požadavku byly provedeny aktualizace:
- Nastavení atributu SameSite na Hodnotu None soubory cookie relací proxy aplikací se správně odesílají v kontextu třetí strany.
- Nastavení Použít zabezpečený soubor cookie tak, aby jako výchozí používalo hodnotu Ano. Chrome odmítne soubory cookie, které nepoužívají
Securepříznak. Tato změna platí pro všechny existující aplikace publikované prostřednictvím proxy aplikací. Soubory cookie pro přístup k proxy aplikací jsou nastaveny na zabezpečené a přenášené pouze přes PROTOKOL HTTPS. Změna se vztahuje pouze na soubory cookie relace.
Navíc, pokud vaše back-endová aplikace obsahuje soubory cookie, které potřebují kontext třetích stran, musíte výslovně vyjádřit výslovný souhlas změnou aplikace tak, aby používala SameSite=None. Proxy aplikace přeloží hlavičku Set-Cookie na adresy URL a respektuje nastavení.
Nastavení souborů cookie – Centrum pro správu Microsoft Entra
Nastavení souborů cookie pomocí Centra pro správu Microsoft Entra:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator aplikace.
- Přejděte na proxy aplikace podnikové aplikace>identit>>.
- V části Další Nastavení nastavte nastavení cookie na Ano nebo Ne.
- Výběrem možnosti Uložit se vaše změny uplatní.
Zobrazení aktuálního nastavení souborů cookie – PowerShell
Pokud chcete zobrazit aktuální nastavení souborů cookie pro aplikaci, použijte tento příkaz PowerShellu:
Get-AzureADApplicationProxyApplication -ObjectId <ObjectId> | fl *
Nastavení souborů cookie – PowerShell
V následujících příkazech <ObjectId> PowerShellu je ID objektu aplikace.
Soubor cookie pouze http
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $false
Zabezpečený soubor cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $false
Trvalé soubory cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $false