Sign-On Pengaturan Tunggal Layanan Federasi Direktori Aktif
Single Sign-On (SSO) memungkinkan pengguna untuk mengautentikasi sekali dan mengakses beberapa sumber daya tanpa dimintai kredensial tambahan. Artikel ini menjelaskan perilaku LAYANAN Federasi Direktori Aktif default untuk SSO, serta pengaturan konfigurasi yang memungkinkan Anda menyesuaikan perilaku ini.
Jenis Sign-On Tunggal yang didukung
Layanan Federasi Direktori Aktif mendukung beberapa jenis pengalaman Sign-On tunggal:
SSO Sesi
Cookie SSO sesi ditulis untuk pengguna terautentikasi yang menghilangkan permintaan lebih lanjut ketika pengguna beralih aplikasi selama sesi tertentu. Namun, jika sesi tertentu berakhir, pengguna akan dimintai kredensial mereka lagi.
Layanan Federasi Direktori Aktif akan mengatur cookie SSO sesi secara default jika perangkat pengguna tidak terdaftar. Jika sesi browser telah berakhir dan dimulai ulang, cookie sesi ini dihapus dan tidak valid lagi.
SSO Persisten
Cookie SSO persisten ditulis untuk pengguna terautentikasi yang menghilangkan permintaan lebih lanjut ketika pengguna beralih aplikasi selama cookie SSO persisten valid. Perbedaan antara SSO persisten dan SSO sesi adalah bahwa SSO persisten dapat dipertahankan di berbagai sesi.
Layanan Federasi Direktori Aktif akan mengatur cookie SSO persisten jika perangkat terdaftar. Layanan Federasi Direktori Aktif juga akan mengatur cookie SSO persisten jika pengguna memilih opsi "biarkan saya tetap masuk". Jika cookie SSO persisten tidak valid lagi, cookie tersebut akan ditolak dan dihapus.
SSO khusus aplikasi
Dalam skenario OAuth, token refresh digunakan untuk mempertahankan status SSO pengguna dalam cakupan aplikasi tertentu.
Jika perangkat terdaftar, Layanan Federasi Direktori Aktif akan mengatur waktu kedaluwarsa token refresh berdasarkan masa pakai cookie SSO persisten untuk perangkat terdaftar yang 7 hari secara default untuk LAYANAN Federasi Direktori Aktif 2012R2 dan hingga maksimum 90 hari dengan Layanan Federasi Direktori Aktif 2016 jika mereka menggunakan perangkat mereka untuk mengakses sumber daya LAYANAN Federasi Direktori Aktif dalam jangka waktu 14 hari.
Jika perangkat tidak terdaftar tetapi pengguna memilih opsi "biarkan saya tetap masuk", waktu kedaluwarsa token refresh akan sama dengan masa pakai cookie SSO persisten untuk "biarkan saya tetap masuk" yang 1 hari secara default dengan maksimum 7 hari. Jika tidak, masa pakai token refresh sama dengan masa pakai cookie SSO sesi yaitu 8 jam secara default
Seperti disebutkan di atas, pengguna pada perangkat terdaftar akan selalu mendapatkan SSO persisten kecuali SSO persisten dinonaktifkan. Untuk perangkat yang tidak terdaftar, SSO persisten dapat dicapai dengan mengaktifkan fitur "tetap masuk" (KMSI).
Untuk Windows Server 2012 R2, untuk mengaktifkan PSSO untuk skenario "Biarkan saya tetap masuk", Anda perlu menginstal perbaikan ini yang juga merupakan bagian dari rollup pembaruan Agustus 2014 untuk Windows RT 8.1, Windows 8.1, dan Windows Server 2012 R2.
| Tugas | PowerShell | Deskripsi |
|---|---|---|
| Mengaktifkan/menonaktifkan SSO persisten | Set-AdfsProperties –EnablePersistentSso <Boolean> |
SSO persisten diaktifkan secara default. Jika dinonaktifkan, tidak ada cookie PSSO yang akan ditulis. |
| "Aktifkan/nonaktifkan "biarkan saya tetap masuk" | Set-AdfsProperties –EnableKmsi <Boolean> |
Fitur "Biarkan saya tetap masuk" dinonaktifkan secara default. Jika diaktifkan, pengguna akhir akan melihat pilihan "biarkan saya tetap masuk" di halaman masuk Layanan Federasi Direktori Aktif |
Layanan Federasi Direktori Aktif 2016 - Perangkat Sign-On tunggal dan terautentikasi
Layanan Federasi Direktori Aktif 2016 mengubah PSSO ketika pemohon mengautentikasi dari perangkat terdaftar meningkat menjadi maksimal 90 Hari tetapi memerlukan autentikasi dalam periode 14 hari (jendela penggunaan perangkat). Setelah memberikan kredensial untuk pertama kalinya, secara default pengguna dengan perangkat terdaftar mendapatkan Sign-On tunggal selama periode maksimum 90 hari, asalkan mereka menggunakan perangkat untuk mengakses sumber daya AD FS setidaknya sekali setiap 14 hari. Jika mereka menunggu 15 hari setelah memberikan kredensial, pengguna akan dimintai kredensial lagi.
SSO persisten diaktifkan secara default. Jika dinonaktifkan, tidak ada cookie PSSO yang akan ditulis.|
Set-AdfsProperties –EnablePersistentSso <Boolean\>
Jendela penggunaan perangkat (14 hari secara default) diatur oleh properti Layanan Federasi Direktori Aktif DeviceUsageWindowInDays.
Set-AdfsProperties -DeviceUsageWindowInDays
Periode Sign-On tunggal maksimum (90 hari secara default) diatur oleh properti Layanan Federasi Direktori Aktif PersistentSsoLifetimeMins.
Set-AdfsProperties -PersistentSsoLifetimeMins
Biarkan Saya Tetap Masuk untuk perangkat yang tidak diautentikasi
Untuk perangkat yang tidak terdaftar, periode akses menyeluruh ditentukan oleh pengaturan fitur Keep Me Signed In (KMSI ). KMSI dinonaktifkan secara default dan dapat diaktifkan dengan mengatur properti Layanan Federasi Direktori Aktif KmsiEnabled ke True.
Set-AdfsProperties -EnableKmsi $true
Dengan KMSI dinonaktifkan, periode akses menyeluruh default adalah 8 jam. Ini dapat dikonfigurasi menggunakan properti SsoLifetime. Properti diukur dalam hitungan menit, sehingga nilai defaultnya adalah 480.
Set-AdfsProperties –SsoLifetime <Int32\>
Dengan KMSI diaktifkan, periode akses menyeluruh default adalah 24 jam. Ini dapat dikonfigurasi menggunakan properti KmsiLifetimeMins. Properti diukur dalam hitungan menit, sehingga nilai defaultnya adalah 1440.
Set-AdfsProperties –KmsiLifetimeMins <Int32\>
Perilaku autentikasi multifaktor (MFA)
Penting untuk dicatat bahwa, sambil memberikan periode akses menyeluruh yang relatif lama, Layanan Federasi Direktori Aktif akan meminta autentikasi tambahan (autentikasi multifaktor) ketika masuk sebelumnya didasarkan pada kredensial utama dan bukan MFA, tetapi masuk saat ini memerlukan MFA. Ini terlepas dari konfigurasi SSO. Layanan Federasi Direktori Aktif, ketika menerima permintaan autentikasi, pertama-tama menentukan apakah ada konteks SSO (seperti cookie) atau tidak, lalu, jika MFA diperlukan (seperti jika permintaan masuk dari luar) itu akan menilai apakah konteks SSO berisi MFA atau tidak. Jika tidak, MFA akan diminta.
Pencabutan PSSO
Untuk melindungi keamanan, Layanan Federasi Direktori Aktif akan menolak cookie SSO persisten yang sebelumnya dikeluarkan ketika kondisi berikut terpenuhi. Ini akan mengharuskan pengguna untuk memberikan kredensial mereka untuk mengautentikasi dengan Layanan Federasi Direktori Aktif lagi.
Pengguna mengubah kata sandi
Pengaturan SSO persisten dinonaktifkan di Layanan Federasi Direktori Aktif
Perangkat dinonaktifkan oleh administrator dalam kasus hilang atau dicuri
Layanan Federasi Direktori Aktif menerima cookie SSO persisten yang dikeluarkan untuk pengguna terdaftar tetapi pengguna atau perangkat tidak terdaftar lagi
Layanan Federasi Direktori Aktif menerima cookie SSO persisten untuk pengguna terdaftar tetapi pengguna mendaftar ulang
Layanan Federasi Direktori Aktif menerima cookie SSO persisten yang dikeluarkan sebagai akibat dari pengaturan "biarkan saya tetap masuk" tetapi "biarkan saya tetap masuk" dinonaktifkan di Layanan Federasi Direktori Aktif
Layanan Federasi Direktori Aktif menerima cookie SSO persisten yang dikeluarkan untuk pengguna terdaftar tetapi sertifikat perangkat hilang atau diubah selama autentikasi
Administrator Layanan Federasi Direktori Aktif telah menetapkan waktu cutoff untuk SSO persisten. Ketika ini dikonfigurasi, Layanan Federasi Direktori Aktif akan menolak cookie SSO persisten yang dikeluarkan sebelum waktu ini
Untuk mengatur waktu cutoff, jalankan cmdlet PowerShell berikut:
Set-AdfsProperties -PersistentSsoCutoffTime <DateTime>
Mengaktifkan PSSO bagi pengguna Office 365 untuk mengakses SharePoint Online
Setelah PSSO diaktifkan dan dikonfigurasi di Layanan Federasi Direktori Aktif, Layanan Federasi Direktori Aktif akan menulis cookie persisten setelah pengguna mengautentikasi. Saat berikutnya pengguna masuk, jika cookie persisten masih valid, pengguna tidak perlu memberikan kredensial untuk mengautentikasi lagi. Anda juga dapat menghindari permintaan autentikasi tambahan untuk pengguna Office 365 dan SharePoint Online dengan mengonfigurasi dua aturan klaim berikut di Layanan Federasi Direktori Aktif untuk memicu persistensi di Microsoft Azure AD dan SharePoint Online. Untuk mengaktifkan PSSO bagi pengguna Office 365 untuk mengakses SharePoint online, Anda perlu menginstal perbaikan ini yang juga merupakan bagian dari rollup pembaruan Agustus 2014 untuk Windows RT 8.1, Windows 8.1, dan Windows Server 2012 R2.
Aturan Transformasi Penerbitan untuk melewati klaim InsideCorporateNetwork
@RuleTemplate = "PassThroughClaims"
@RuleName = "Pass through claim - InsideCorporateNetwork"
c:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"]
=> issue(claim = c);
A custom Issuance Transform rule to pass through the persistent SSO claim
@RuleName = "Pass Through Claim - Psso"
c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
=> issue(claim = c);
Untuk Meringkas:
| Pengalaman Akses Menyeluruh | ADFS 2012 R2 Apakah Perangkat Terdaftar? |
ADFS 2016 Apakah Perangkat Terdaftar? |
|||||
|---|---|---|---|---|---|---|---|
| TIDAK | TIDAK TAPI KMSI | YA | TIDAK | TIDAK TAPI KMSI | YA | ||
| SSO=>set Token Refresh=> | 8 Jam | T/A | T/A | 8 Jam | T/A | T/A | |
| PSSO=>set Token Refresh=> | T/A | 24 Jam | 7 hari | T/A | 24 Jam | Maksimal 90 Hari dengan Jendela 14 Hari | |
| Masa Pakai Token | 1 Jam | 1 Jam | 1 Jam | 1 Jam | 1 Jam | 1 Jam | |
Perangkat Terdaftar? Anda mendapatkan SSO PSSO / Persisten
Perangkat Tidak Terdaftar? Anda mendapatkan SSO
Bukan Perangkat Terdaftar tetapi KMSI? Anda mendapatkan SSO PSSO/ Persisten
JIKA:
- [x] Admin telah mengaktifkan fitur KMSI [AND]
- [x] Pengguna mengklik kotak centang KMSI pada halaman masuk formulir
Layanan Federasi Direktori Aktif mengeluarkan token refresh baru hanya jika validitas token refresh yang lebih baru lebih panjang dari token sebelumnya. Masa pakai maksimum token adalah 84 hari, tetapi Layanan Federasi Direktori Aktif menjaga token tetap valid pada jendela geser 14 hari. Jika token refresh berlaku selama 8 jam, yang merupakan waktu SSO reguler, token refresh baru tidak akan dikeluarkan.
Senang Mengetahui:
Pengguna federasi yang tidak memiliki atribut LastPasswordChangeTimestamp yang disinkronkan adalah cookie sesi yang dikeluarkan dan token refresh yang memiliki nilai Usia Maks 12 jam.
Ini terjadi karena Azure AD tidak dapat menentukan kapan harus mencabut token yang terkait dengan kredensial lama (seperti kata sandi yang telah diubah). Oleh karena itu, Azure AD harus memeriksa lebih sering untuk memastikan bahwa pengguna dan token terkait masih dalam performa yang baik.