Маркеры обновления платформы удостоверений Майкрософт

Когда клиентское приложение обращается за маркером доступа для доступа к защищенному ресурсу, клиент также получает маркер обновления. Маркер обновления используется для получения новой пары маркеров доступа и обновления, когда истечет срок действия маркера доступа. Маркеры обновления также применяются для получения дополнительных маркеров доступа для других ресурсов. Маркеры обновления привязаны к сочетанию пользователя и клиента, но не ограничены ресурсом или клиентом. Это позволяет клиенту использовать маркер обновления для получения маркеров доступа в любом сочетании ресурса и клиента и при наличии соответствующего разрешения. Маркеры обновления зашифрованы, и считывать их может только платформа удостоверений Майкрософт.

Предварительные требования

Перед прочтением этой статьи рекомендуется ознакомиться со следующими ресурсами.

Время существования маркера обновления

Время существования маркеров обновления превышает время существования маркеров доступа. По умолчанию время существования маркеров составляет 90 дней, и при каждом использовании маркеры заменяются новыми. То есть при каждом использовании маркера обновления для получения нового маркера доступа также выпускается новый маркер обновления. Платформа удостоверений Майкрософт не отзывает старые маркеры обновления, используемые для получения новых маркеров доступа. После получения нового маркера старый маркер можно удалить. Маркеры обновления должны храниться в безопасном месте так же, как маркеры доступа или учетные данные приложения.

Срок действия маркера обновления

Маркеры обновления могут быть аннулированы в любое время из-за истечения времени ожидания и отзывов. В этом случае приложение должно надлежащим образом обрабатывать отклонения, выдаваемые службой входа. Это осуществляется путем отправки пользователю интерактивного запроса на вход.

Время ожидания для маркеров

Нельзя настроить время существования маркера обновления. Нельзя уменьшить или продлить время существования маркеров обновления. Чтобы определить период времени, по истечении которого пользователю будет предложено заново выполнить вход, настройте частоту входа в условном доступе. См. дополнительные сведения о настройке управления сеансами проверки подлинности с помощью условного доступа.

Не все маркеры обновления соответствуют правилам, заданным в политике времени существования маркеров. В частности, время действия маркеров обновления, используемых в одностраничных приложениях, всегда ограничено 24 часами, как если бы к ним была применена политика MaxAgeSessionSingleFactor, определяющая их время существования в течение 24 часов.

Запрет доступа

Маркеры обновления могут отзываться сервером из-за изменения учетных данных или действием пользователя или администратора. Маркеры обновления делятся на два класса — те, которые выдаются конфиденциальным клиентам (самый правый столбец) и которые выдаются открытым клиентам (все остальные столбцы).

Изменить Файл cookie на основе пароля Маркер на основе пароля Файл cookie без использования пароля Маркер без использования пароля Конфиденциальный маркер клиента
Срок действия пароля Остается активным Остается активным Остается активным Остается активным Остается активным
Пароль изменен пользователем Отменен Отменен Остается активным Остается активным Остается активным
Пользователь выполняет SSPR Отменен Отменен Остается активным Остается активным Остается активным
Администратор сбрасывает пароль Отменен Отменен Остается активным Остается активным Остается активным
Пользователь отменяет свои маркеры обновления с помощью PowerShell Отменен Отменен Отменен Отменен Отменен
Администратор отменяет все маркеры обновления для пользователя с помощью PowerShell Отменен Отменен Отменен Отменен Отменен
Единый выход через веб-интерфейс Отменен Остается активным Отменен Остается активным Остается активным

Дальнейшие действия