Configurações de cookie para acessar aplicativos locais no Azure Active Directory

  • Artigo
  • 4 minutos para o fim da leitura

O Azure AD (Azure Active Directory) tem cookies de sessão e de acesso para acessar aplicativos locais por meio do Proxy de Aplicativo. Saiba como usar as configurações de cookie do Proxy de Aplicativo.

O Proxy de Aplicativo utiliza as configurações de cookie de sessão e de acesso a seguir.

Configuração de cookies Padrão Descrição Recomendações
Usar Cookie Somente HTTP Não Sim permite que o Proxy de Aplicativo inclua o sinalizador HTTPOnly nos cabeçalhos de resposta HTTP. Esse sinalizador oferece benefícios de segurança adicionais, por exemplo, impede que o script CSS (do lado do cliente) copie ou modifique os cookies.



Antes de darmos suporte à configuração Somente HTTP, o Proxy de Aplicativo criptografava e transmitia cookies por um canal TLS seguro para impedir modificações. 		 Use Sim para ter os benefícios de segurança adicionais.



Use Não para clientes ou agentes de usuário que exijam acesso ao cookie de sessão. Por exemplo, use Não para um cliente RDP ou MTSC que se conecta a um servidor de Gateway de Área de Trabalho Remota por meio do Proxy de Aplicativo.
Usar um Cookie Seguro Não Sim permite que o Proxy de Aplicativo inclua o sinalizador Secure nos cabeçalhos de resposta HTTP. Os cookies seguros melhoram a segurança ao transmitir cookies em um canal TLS seguro, como HTTPS. Isso impede que os cookies sejam observados por partes não autorizadas devido à transmissão do cookie em texto não criptografado. Use Sim para ter os benefícios de segurança adicionais.
Usar cookie persistente Não Sim permite que o Proxy de Aplicativo defina seus cookies de acesso para não expirarem quando o navegador da Web for fechado. A persistência dura até que o token de acesso expire ou até que o usuário exclua manualmente os cookies persistentes. Use Não por causa do risco de segurança associado à autenticação contínua dos usuários.



Sugerimos usar Sim apenas para aplicativos mais antigos que não podem compartilhar cookies entre processos. É melhor atualizar seu aplicativo para lidar com o compartilhamento de cookies entre processos em vez de usar cookies persistentes. Por exemplo, você pode precisar de cookies persistentes para permitir que um usuário abra documentos do Office no modo de exibição de gerenciador em um site do SharePoint. Sem cookies persistentes, essa operação poderá falhar se os cookies de acesso não forem compartilhados entre o navegador, o processo do gerenciador e o processo do Office.

Cookies SameSite

Começando com a versão Chrome 80 e, eventualmente, em navegadores que usam o Chromium, os cookies que não especificam o atributo SameSite serão tratados como se estivessem definidos como SameSite=Lax. O atributo SameSite declara como os cookies devem ser restritos a um contexto de mesmo site. Quando definido como Lax, o cookie é enviado apenas para solicitações de mesmo site ou navegação de nível superior. No entanto, o Proxy de Aplicativo exige que esses cookies sejam preservados no contexto de terceiros para manter os usuários conectados corretamente durante a sessão. Devido a isso, estamos fazendo atualizações para o acesso ao Proxy de Aplicativo e cookies de sessão para evitar impacto adverso dessa alteração. As atualizações incluem:

  • Definir o atributo SameSite para None. Isso permite que os cookies de sessões e de acesso ao Proxy de Aplicativo sejam enviados corretamente no contexto de terceiros.
  • Definir a configuração Usar Cookie Seguro para que use o valor Sim por padrão. O Chrome também exige que os cookies especifiquem o sinalizador de segurança para que não sejam rejeitados. Essa alteração será aplicada a todos os aplicativos existentes publicados por meio do Proxy de Aplicativo. Observe que os cookies de acesso ao Proxy de Aplicativo sempre foram definidos como seguros e transmitidos somente por HTTPS. Essa alteração será aplicada somente aos cookies de sessão.

Essas alterações nos cookies de Proxy de Aplicativo serão implantadas ao longo das próximas semanas antes da data de lançamento do Chrome 80.

Além disso, se o aplicativo de back-end tiver cookies que precisem estar disponíveis em um contexto de terceiros, você deverá optar explicitamente por alterar o seu aplicativo para usar SameSite=None para esses cookies. O Proxy de Aplicativo traduz o cabeçalho Set-Cookie para as respectivas URLs e respeitará as configurações para esses cookies definidas pelo aplicativo de back-end.

Definir as configurações de cookie – portal do Azure

Para definir as configurações de cookie usando o portal do Azure:

  1. Entre no portal do Azure.
  2. Navegue até Azure Active Directory>Aplicativos Empresariais>Todos os Aplicativos.
  3. Selecione o aplicativo para o qual você deseja habilitar a configuração de um cookie.
  4. Clique em Proxy de Aplicativo.
  5. Em Configurações Adicionais, defina a configuração do cookie como Sim ou Não.
  6. Clique em Salvar para aplicar suas alterações.

Exibir configurações de cookie atuais – PowerShell

Para ver as configurações de cookie atuais para o aplicativo, use este comando do PowerShell:

Get-AzureADApplicationProxyApplication -ObjectId <ObjectId> | fl *

Definir configurações de cookie – PowerShell

Nos comandos do PowerShell a seguir, <ObjectId> é o ObjectId do aplicativo.

Cookie Somente HTTP

Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $true 
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $false

Cookie Seguro

Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $true 
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $false

Cookies Persistentes

Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $true 
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $false