Microsoft identity platform tokenů

Když klient získá přístupový token pro přístup k chráněnému prostředku, klient také obdrží obnovovací token. Obnovovací token se používá k získání nových párů přístupových a obnovovacích tokenů, když vyprší platnost aktuálního přístupového tokenu. Obnovovací tokeny se také používají k získání dalších přístupových tokenů pro jiné prostředky. Obnovovací tokeny jsou vázané na kombinaci uživatele a klienta, ale nejsou vázané na prostředek nebo tenanta. Klient tak může k získání přístupových tokenů v libovolné kombinaci prostředku a tenanta, ke které má oprávnění, použít obnovovací token. Obnovovací tokeny jsou šifrované a pouze Microsoft identity platform je může přečíst.

Požadavky

Než si tento článek projdete, doporučujeme projít si následující články:

Životnost tokenu aktualizace

Obnovovací tokeny mají delší životnost než přístupové tokeny. Výchozí doba života tokenů je 90 dnů a při každém použití se nahradí čerstvým tokenem. Proto se při každém použití obnovovacího tokenu k získání nového přístupového tokenu vystaví také nový obnovovací token. Při Microsoft identity platform načítá nové přístupové tokeny, nástroj odvolal staré obnovovací tokeny. Po získání nového tokenu bezpečně odstraňte starý obnovovací token. Obnovovací tokeny musí být bezpečně uložené, jako jsou přístupové tokeny nebo přihlašovací údaje aplikace.

Vypršení platnosti tokenu aktualizace

Obnovovací tokeny je možné kdykoli odvolat kvůli časovým limitům a odvoláním. Pokud k tomu dojde, vaše aplikace musí v případě, že k tomu dojde, řádně zpracovat zamítnutí přihlašovací službou. To se provádí odesláním uživatele na interaktivní výzvu k přihlášení, aby se znovu přihlašoval.

Časové limity tokenů

Životnost obnovovacího tokenu není možné nakonfigurovat. Jejich životnost nemůžete zkrátit ani prodlouhavě prodlužovat. Nakonfigurujte frekvenci přihlašování v podmíněném přístupu a definujte časová období, po které se od uživatele bude požadováno, aby se znovu přihlašoval. Přečtěte si další informace o konfiguraci správy relací ověřování pomocí podmíněného přístupu.

Ne všechny obnovovací tokeny dodržují pravidla nastavená v zásadách životnosti tokenu. Konkrétně jsou obnovovací tokeny používané v jedno stránkových aplikacích vždy pevně dané na 24 hodin aktivity, jako kdyby se na ně použily zásady na MaxAgeSessionSingleFactor 24 hodin.

Odvolání

Server může tokeny aktualizace odvolat z důvodu změny přihlašovacích údajů, akce uživatele nebo akce správce. Obnovovací tokeny spadají do dvou tříd: tokeny vystavené důvěrným klientům (sloupec nejvíce vpravo) a tokeny vystavené veřejným klientům (všechny ostatní sloupce).

Změnit Soubor cookie založený na heslech Token založený na heslech Soubor cookie, který není založený na heslech Token bez hesla Důvěrný token klienta
Platnost hesla vyprší Zůstává v živém Zůstává v živém Zůstává v živém Zůstává v živém Zůstává v živém
Heslo změněné uživatelem Odvoláno Odvoláno Zůstává v živém Zůstává v živém Zůstává v živém
Uživatel dělá SSPR Odvoláno Odvoláno Zůstává v živém Zůstává v živém Zůstává v živém
Správce resetuje heslo. Odvoláno Odvoláno Zůstává v živém Zůstává v živém Zůstává v živém
Uživatel odvolá své obnovovací tokeny prostřednictvím PowerShellu. Odvoláno Odvoláno Odvoláno Odvoláno Odvoláno
Správce odvolá všechny obnovovací tokeny pro uživatele prostřednictvím PowerShellu. Odvoláno Odvoláno Odvoláno Odvoláno Odvoláno
Jednotné odhlásit se na webu Odvoláno Zůstává v živém Odvoláno Zůstává v živém Zůstává v živém

Další kroky