Configurações de cookies para acessar aplicativos locais no Microsoft Entra ID
O Microsoft Entra ID tem cookies de acesso e sessão para aceder a aplicações no local através do proxy de aplicações. Saiba como usar as configurações de cookies de proxy do aplicativo.
Quais são as configurações de cookies?
O proxy de aplicativo usa as seguintes configurações de cookies de acesso e sessão.
| Configuração de cookies | Predefinição | Description | Recomendações |
|---|---|---|---|
| Usar cookie somente HTTP | Não | Sim permite que o proxy do aplicativo inclua o sinalizador HTTPOnly nos cabeçalhos de resposta HTTP. Esse sinalizador fornece benefícios extras de segurança, por exemplo, impede que scripts do lado do cliente (CSS) copiem ou modifiquem os cookies. Antes de suportarmos a configuração Somente HTTP, o proxy do aplicativo criptografava e transmitia cookies através de um canal TLS (Transport Layer Security) seguro para proteger contra modificações. |
Use Sim por causa dos benefícios extras de segurança. Use Não para clientes ou agentes de usuário que exigem acesso ao cookie de sessão. Por exemplo, use Não para RDP (Remote Desktop Protocol) ou Microsoft Terminal Services Client (MTSC) que se conecta a um servidor de Gateway de Área de Trabalho Remota por meio de proxy de aplicativo. |
| Usar Cookie Seguro | Sim | Sim permite que o proxy do aplicativo inclua o sinalizador Secure nos cabeçalhos de resposta HTTP. Os cookies seguros aumentam a segurança ao transmitir cookies através de um canal seguro TLS, como HTTPS. O TLS impede a transmissão de cookies em texto não criptografado. | Use Sim por causa dos benefícios extras de segurança. |
| Usar cookie persistente | Não | Sim permite que o proxy do aplicativo defina seus cookies de acesso para não expirar quando o navegador da Web for fechado. A persistência dura até que o token de acesso expire, ou até que o usuário exclua manualmente os cookies persistentes. | Use Não devido ao risco de segurança associado à manutenção da autenticação dos usuários. Sugerimos usar o Sim apenas para aplicativos mais antigos que não podem compartilhar cookies entre processos. É melhor atualizar seu aplicativo para lidar com o compartilhamento de cookies entre processos em vez de usar cookies persistentes. Por exemplo, você pode precisar de cookies persistentes para permitir que um usuário abra documentos do Office no modo de exibição do Explorer a partir de um site do SharePoint. Sem cookies persistentes, esta operação pode falhar se os cookies de acesso não forem partilhados entre o browser, o processo do explorador e o processo do Office. |
SameSite Cookies
Os cookies que não especificam o atributo SameSite são tratados como se estivessem definidos como SameSite=Lax. O SameSite atributo declara como os cookies devem ser restritos a um contexto do mesmo site. Quando definido como Lax, o cookie é enviado apenas para pedidos do mesmo site ou navegação de nível superior. No entanto, o proxy de aplicativo requer que esses cookies sejam preservados no contexto de terceiros para manter os usuários devidamente conectados durante a sessão. Devido à exigência, foram feitas atualizações:
- Definindo o atributo SameSite como None. Os cookies de sessões de proxy de aplicativo são enviados corretamente no contexto de terceiros.
- Definir a configuração Usar cookie seguro para usar Sim como padrão. O Chrome rejeita cookies que não utilizem a
Securebandeira. A alteração se aplica a todos os aplicativos existentes publicados por meio do proxy de aplicativo. Os cookies de acesso ao proxy de aplicativo são definidos como Seguro e transmitidos apenas por HTTPS. A alteração aplica-se apenas aos cookies de sessão.
Além disso, se o seu aplicativo back-end tiver cookies que precisam de contexto de terceiros, você deve optar explicitamente por participar alterando seu aplicativo para usar SameSite=None. O proxy de aplicativo traduz o Set-Cookie cabeçalho para suas URLs e respeita as configurações.
Definir as definições de cookies - Centro de administração do Microsoft Entra
Para definir as configurações de cookies usando o centro de administração do Microsoft Entra:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
- Navegue até Identity>Applications>Enterprise applications>Application proxy.
- Em Configurações adicionais, defina a configuração de cookie como Sim ou Não.
- Selecione Guardar para aplicar as alterações.
Exibir configurações atuais de cookies - PowerShell
Para ver as configurações de cookies atuais do aplicativo, use este comando do PowerShell:
Get-AzureADApplicationProxyApplication -ObjectId <ObjectId> | fl *
Definir configurações de cookies - PowerShell
Nos seguintes comandos do PowerShell, <ObjectId> é o ObjectId do aplicativo.
Cookie Somente http
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $false
Cookie seguro
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $false
Cookies persistentes
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $false