Jogkivonatok frissítése a Microsoft Identitásplatform
Amikor egy ügyfél hozzáférési jogkivonatot szerez be egy védett erőforrás eléréséhez, az ügyfél egy frissítési jogkivonatot is kap. A frissítési jogkivonat új hozzáférési és frissítési jogkivonat párok beszerzésére szolgál az aktuális hozzáférési jogkivonat lejáratakor.
A frissítési jogkivonatok további hozzáférési jogkivonatok beszerzésére is használhatók más erőforrásokhoz. A frissítési jogkivonatok a felhasználó és az ügyfél kombinációjához vannak kötve, de nincsenek erőforráshoz vagy bérlőhöz kötve. Az ügyfél egy frissítési jogkivonat használatával hozzáférési jogkivonatokat szerezhet be az erőforrások és bérlők bármely kombinációjában, ahol erre engedéllyel rendelkezik. A frissítési jogkivonatok titkosítva vannak, és csak a Microsoft Identitásplatform tudják olvasni őket.
A tokenek élettartama
A frissítési jogkivonatok élettartama hosszabb, mint a hozzáférési jogkivonatoké. A frissítési jogkivonatok alapértelmezett élettartama egyoldalas alkalmazások esetén 24 óra, az összes többi forgatókönyv esetében pedig 90 nap. A frissítési jogkivonatok minden használatkor új jogkivonatra cserélik magukat. A Microsoft Identitásplatform nem vonja vissza a régi frissítési jogkivonatokat az új hozzáférési jogkivonatok lekéréséhez. Az új jogkivonat beszerzése után biztonságosan törölje a régi frissítési jogkivonatot. A frissítési jogkivonatokat biztonságosan kell tárolni, például hozzáférési jogkivonatokat vagy alkalmazás hitelesítő adatokat.
Feljegyzés
Az átirányítási URI-nak küldött frissítési jogkivonatok 24 óra elteltével lejárnak spa . A kezdeti frissítési jogkivonattal beszerzett további frissítési jogkivonatok átvihetik ezt a lejárati időt, ezért az alkalmazásoknak készen kell állniuk az engedélyezési kód folyamatának interaktív hitelesítéssel történő újrafuttatására, hogy 24 óránként új frissítési jogkivonatot kapjanak. A felhasználóknak nem kell megadniuk a hitelesítő adataikat, és általában nem is látják a kapcsolódó felhasználói élményt, csak az alkalmazás újratöltését. A böngészőnek meg kell látogatnia a bejelentkezési oldalt egy felső szintű keretben a bejelentkezési munkamenet megjelenítéséhez. Ez a harmadik féltől származó cookie-kat letiltó böngészők adatvédelmi funkcióinak köszönhető.
Jogkivonat lejárata
A frissítési jogkivonatok bármikor visszavonhatók időtúllépések és visszavonások miatt. Az alkalmazásnak elegánsan kell kezelnie a visszavonásokat a bejelentkezési szolgáltatással, ha a felhasználót egy interaktív bejelentkezési kérésre küldi, hogy újra bejelentkezjen.
Jogkivonatok időtúllépései
A frissítési jogkivonat élettartama nem konfigurálható. Nem csökkentheti vagy hosszabbíthatja meg az élettartamukat. Ezért fontos gondoskodni arról, hogy biztonságossá tegye a frissítési jogkivonatokat, mivel azokat a rossz szereplők kinyerhetik nyilvános helyekről, vagy akár magából az eszközről is, ha az eszköz biztonsága sérül. Van néhány dolog, amit tehet:
- Konfigurálja a bejelentkezési gyakoriságot a feltételes hozzáférésben, hogy meghatározza azokat az időtartamokat, amíg a felhasználónak újra be kell jelentkeznie. További információ: Hitelesítési munkamenet-kezelés konfigurálása feltételes hozzáféréssel.
- A Microsoft Intune alkalmazásfelügyeleti szolgáltatásai, például a mobilalkalmazás-kezelés (MAM) és a mobileszköz-kezelés (MDM) használata a szervezet adatainak védelméhez
- Feltételes hozzáférési jogkivonat-védelmi szabályzat implementálása
Nem minden frissítési jogkivonat követi a jogkivonat élettartam-szabályzatában beállított szabályokat. Az egyoldalas alkalmazásokban használt frissítési jogkivonatok mindig 24 órányi tevékenységre vannak rögzítve, mintha 24 órás szabályzatot alkalmaznának MaxAgeSessionSingleFactor rájuk.
Jogkivonat visszavonása
A kiszolgáló visszavonhatja a frissítési jogkivonatokat a hitelesítő adatok, a felhasználói műveletek vagy a rendszergazdai műveletek módosítása miatt. A frissítési jogkivonatok két osztályba sorolhatók: a bizalmas ügyfeleknek kibocsátott jogkivonatok (a jobb szélső oszlop) és a nyilvános ügyfeleknek kibocsátott jogkivonatok (az összes többi oszlop).
| Visszajáró | Jelszóalapú cookie | Jelszóalapú jogkivonat | Nem jelszóalapú cookie | Nem jelszóalapú jogkivonat | Bizalmas ügyféljogkivonat |
|---|---|---|---|---|---|
| A jelszó lejár | Életben marad | Életben marad | Életben marad | Életben marad | Életben marad |
| Felhasználó által módosított jelszó | Visszavont | Visszavont | Életben marad | Életben marad | Életben marad |
| A felhasználó SSPR-t végez | Visszavont | Visszavont | Életben marad | Életben marad | Életben marad |
| Rendszergazda jelszó alaphelyzetbe állítása | Visszavont | Visszavont | Életben marad | Életben marad | Életben marad |
| A felhasználó visszavonja a frissítési jogkivonatokat | Visszavont | Visszavont | Visszavont | Visszavont | Visszavont |
| Rendszergazda visszavonja a felhasználó összes frissítési jogkivonatát | Visszavont | Visszavont | Visszavont | Visszavont | Visszavont |
| Egyszeri kijelentkezés | Visszavont | Életben marad | Visszavont | Életben marad | Életben marad |
Feljegyzés
A frissítési jogkivonatok nem vonhatók vissza az erőforrás-bérlőben lévő B2B-felhasználók számára. A jogkivonatot vissza kell vonni az otthoni bérlőben.