A helyszíni alkalmazásokhoz való hozzáférés cookie-beállításai a Microsoft Entra-azonosítóban
A Microsoft Entra ID hozzáférési és munkamenet-cookie-kkal rendelkezik a helyszíni alkalmazások alkalmazásproxyn keresztüli eléréséhez. Megtudhatja, hogyan használhatja az alkalmazásproxy cookie-beállításait.
Mik a cookie-beállítások?
Az alkalmazásproxy a következő hozzáférési és munkamenet-cookie-beállításokat használja.
Cookie-beállítás | Alapértelmezett | Leírás | Ajánlások |
---|---|---|---|
Csak HTTP-cookie használata | Nem | Igen , lehetővé teszi, hogy az alkalmazásproxy a HTTP-válaszfejlécekbe belefoglalja a HTTPOnly jelölőt. Ez a jelző további biztonsági előnyöket biztosít, például megakadályozza, hogy az ügyféloldali szkriptek (CSS) másolják vagy módosítsák a cookie-kat. Mielőtt támogattuk volna a http-only beállítást, az alkalmazásproxy titkosította és továbbította a cookie-kat egy biztonságos Transport Layer Security (TLS) csatornán a módosítás elleni védelem érdekében. |
A további biztonsági előnyök miatt használja az Igent . Használja a Nem lehetőséget olyan ügyfelek vagy felhasználói ügynökök számára, amelyek nem igényelnek hozzáférést a munkamenet-cookie-hoz. Használja például a Nem távoli asztali protokollt (RDP) vagy a Microsoft Terminal Services-ügyfelet (MTSC), amely alkalmazásproxyn keresztül csatlakozik egy távoli asztali átjárókiszolgálóhoz. |
Biztonságos cookie használata | Igen | Igen , lehetővé teszi, hogy az alkalmazásproxy a Biztonságos jelölőt a HTTP-válaszfejlécekbe foglalja. A biztonságos cookie-k növelik a biztonságot azáltal, hogy a cookie-kat TLS által védett csatornán, például HTTPS-en keresztül továbbítják. A TLS megakadályozza a cookie-k egyértelmű szövegben való továbbítását. | A további biztonsági előnyök miatt használja az Igent . |
Állandó cookie használata | Nem | Igen , lehetővé teszi az alkalmazásproxy számára, hogy a böngésző bezárásakor ne járjon le a hozzáférési cookie-k. Az adatmegőrzés addig tart, amíg a hozzáférési jogkivonat lejár, vagy amíg a felhasználó manuálisan nem törli az állandó cookie-kat. | Használja a Nem elemet a felhasználók hitelesítésének megőrzésével kapcsolatos biztonsági kockázat miatt. Azt javasoljuk, hogy csak olyan régebbi alkalmazásokhoz használja az Igent , amelyek nem tudják megosztani a cookie-kat a folyamatok között. Érdemes frissíteni az alkalmazást, hogy az állandó cookie-k használata helyett kezelje a folyamatok közötti megosztási cookie-kat. Előfordulhat például, hogy állandó cookie-kra van szüksége ahhoz, hogy a felhasználó megnyithassa az Office-dokumentumokat Explorer nézetben egy SharePoint-webhelyről. Állandó cookie-k nélkül ez a művelet meghiúsulhat, ha a hozzáférési cookie-kat nem osztja meg a böngésző, az explorer folyamat és az Office-folyamat. |
SameSite cookie-k
Azok a cookie-k, amelyek nem adják meg a SameSite attribútumot, úgy lesznek kezelve, mintha a SameSite=Lax értékre lennének állítva. Az SameSite
attribútum deklarálja, hogy a cookie-kat hogyan kell ugyanazon a helyen lévő környezetre korlátozni. Ha be van Lax
állítva, a cookie-t csak ugyanazon webhelyre vagy felső szintű navigációra küldi a rendszer. Az alkalmazásproxy azonban megköveteli, hogy ezek a cookie-k megmaradjanak a külső környezetben annak érdekében, hogy a felhasználók megfelelően bejelentkezhessenek a munkamenet során. A követelmény miatt frissítések történtek:
- A SameSite attribútum beállítása None értékre. az alkalmazásproxy-munkamenetek cookie-kat megfelelően küldi el a külső környezet.
- A Biztonságos cookie használata beállítás beállítása alapértelmezettként az Igen értékre. A Chrome elutasítja a jelzőt nem használó
Secure
cookie-kat. A módosítás az alkalmazásproxyn keresztül közzétett összes meglévő alkalmazásra vonatkozik. Az alkalmazásproxy hozzáférési cookie-k biztonságosra vannak állítva, és csak HTTPS-en keresztül továbbítódnak. A módosítás csak a munkamenet-cookie-kra vonatkozik.
Továbbá, ha a háttéralkalmazás olyan cookie-kat használ, amelyek harmadik féltől származó környezetet igényelnek, kifejezetten be kell jelentkeznie az alkalmazás használatára SameSite=None
való módosítással. Az alkalmazásproxy lefordítja a fejlécet az Set-Cookie
URL-címekre, és tiszteletben tartja a beállításokat.
A cookie-beállítások megadása – Microsoft Entra felügyeleti központ
A cookie-beállítások beállítása a Microsoft Entra felügyeleti központban:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásként Rendszergazda istratorként.
- Keresse meg az Identity>Applications>Enterprise alkalmazásproxyt.>
- A További Gépház csoportban állítsa a cookie-beállítást Igen vagy Nem értékre.
- Válassza a Mentés lehetőséget a módosítások alkalmazásához.
Az aktuális cookie-beállítások megtekintése – PowerShell
Az alkalmazás aktuális cookie-beállításainak megtekintéséhez használja ezt a PowerShell-parancsot:
Get-AzureADApplicationProxyApplication -ObjectId <ObjectId> | fl *
Cookie-beállítások megadása – PowerShell
Az alábbi PowerShell-parancsokban <ObjectId>
az alkalmazás ObjectId azonosítója található.
Http-Only Cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $false
Biztonságos cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $false
Állandó cookie-k
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $false