Redigera

Konfigurera policyer för tokenlivslängd (förhandsversion)

  • Så här gör du

I följande steg implementerar du ett vanligt principscenario som inför nya regler för tokens livslängd. Det går att ange livslängden för en åtkomst-, SAML- eller ID-token som utfärdats av Microsofts identitetsplattform. Detta kan anges för alla appar i din organisation eller för en specifik app eller ett specifikt huvudnamn. De kan också ställas in för flera organisationer (program med flera klientorganisationer). Mer information finns i konfigurerbara tokenlivslängder.

Förutsättningar

Kom igång genom att ladda ned den senaste Microsoft Graph PowerShell-SDK:t.

Skapa en princip och tilldela den till en app

I följande steg skapar du en princip som kräver att användarna autentiserar mindre ofta i webbappen. Tilldela principen till en app som anger livslängden för åtkomst-/ID-token till 4 timmar för din webbapp.

Install-Module Microsoft.Graph

Connect-MgGraph -Scopes  "Policy.ReadWrite.ApplicationConfiguration","Policy.Read.All","Application.ReadWrite.All"

# Create a token lifetime policy
$params = @{
  Definition = @('{"TokenLifetimePolicy":{"Version":1,"AccessTokenLifetime":"4:00:00"}}') 
    DisplayName = "WebPolicyScenario"
  IsOrganizationDefault = $false
}
$tokenLifetimePolicyId=(New-MgPolicyTokenLifetimePolicy -BodyParameter $params).Id

# Display the policy
Get-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId

# Assign the token lifetime policy to an app
$params = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/$tokenLifetimePolicyId"
}

$applicationObjectId="11111111-1111-1111-1111-111111111111"

New-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -BodyParameter $params

# List the token lifetime policy on the app
Get-MgApplicationTokenLifetimePolicy -ApplicationId $applicationObjectId

# Remove the policy from the app
Remove-MgApplicationTokenLifetimePolicyByRef -ApplicationId $applicationObjectId -TokenLifetimePolicyId $tokenLifetimePolicyId

# Delete the policy
Remove-MgPolicyTokenLifetimePolicy -TokenLifetimePolicyId $tokenLifetimePolicyId

Skapa en princip och tilldela den till ett huvudnamn för tjänsten

I följande steg skapar du en princip som kräver att användarna autentiserar mindre ofta i webbappen. Tilldela principen till tjänstens huvudnamn, vilket anger livslängden för åtkomst-/ID-token till 8 timmar för webbappen.

  1. Skapa en policy för tokenlivslängd.

    POST https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies
Content-Type: application/json
{
    "definition": [
        "{\"TokenLifetimePolicy\":{\"Version\":1,\"AccessTokenLifetime\":\"8:00:00\"}}"
    ],
    "displayName": "Contoso token lifetime policy",
    "isOrganizationDefault": false
}

  2. Tilldela principen till ett huvudnamn för tjänsten.

    POST https://graph.microsoft.com/v1.0/servicePrincipals/11111111-1111-1111-1111-111111111111/tokenLifetimePolicies/$ref
Content-Type: application/json
{
  "@odata.id":"https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/22222222-2222-2222-2222-222222222222"
}

  3. Lista principerna för tjänstens huvudnamn.

    GET https://graph.microsoft.com/v1.0/servicePrincipals/11111111-1111-1111-1111-111111111111/tokenLifetimePolicies

  4. Ta bort principen från tjänstens huvudnamn.

    DELETE https://graph.microsoft.com/v1.0/servicePrincipals/11111111-1111-1111-1111-111111111111/tokenLifetimePolicies/22222222-2222-2222-2222-222222222222/$ref

Visa befintliga principer i en klientorganisation

Om du vill se alla principer som har skapats i din organisation kör du cmdleten Get-MgPolicyTokenLifetimePolicy . Alla resultat med definierade egenskapsvärden som skiljer sig från de standardvärden som anges ovan är i omfånget för tillbakadragningen.

  1. Get-MgPolicyTokenLifetimePolicy Kör för att se alla principer som har skapats i din organisation.

    Get-MgPolicyTokenLifetimePolicy

  2. Kör lista gällerTill med något av dina princip-ID:er för att se vilka appar som är länkade till en specifik princip som du har identifierat.

    GET https://graph.microsoft.com/v1.0/policies/tokenLifetimePolicies/4d2f137b-e8a9-46da-a5c3-cc85b2b840a4/appliesTo

Gå vidare

Läs mer om hantering av autentiseringssessioner