Microsoft kimlik platformu yenileme

Bir istemci korumalı bir kaynağa erişmek için erişim belirteci aldığında, istemci de bir yenileme belirteci alır. Yenileme belirteci, geçerli erişim belirtecin süresi dolduğunda yeni erişim/yenileme belirteci çiftleri elde etmek için kullanılır. Yenileme belirteçleri, diğer kaynaklar için ek erişim belirteçleri almak için de kullanılır. Yenileme belirteçleri kullanıcı ve istemci birleşimine bağlıdır, ancak bir kaynağa veya kiracıya bağlı değil. Bu nedenle, bir istemci yenileme belirteci kullanarak erişim belirteçlerini izinli olduğu kaynak ve kiracının herhangi bir bileşimi arasında edinebilirsiniz. Yenileme belirteçleri şifrelenir ve yalnızca Microsoft kimlik platformu tarafından okunabilir.

Önkoşullar

Bu makaleyi okumadan önce aşağıdaki makalelere göz atabilirsiniz:

Belirteç ömrünü yenileme

Yenileme belirteçleri erişim belirteçlerine göre daha uzun bir yaşam süresine sahip olur. Belirteçler için varsayılan yaşam süresi 90 gündür ve her kullanımdan sonra kendilerini yeni bir belirteçle değiştirirler. Bu nedenle, yeni erişim belirteci almak için bir yenileme belirteci her kullanılırsa, yeni bir yenileme belirteci de çıkar. Yeni Microsoft kimlik platformu, yeni erişim belirteçlerini getirmek için kullanılırken eski yenileme belirteçlerini iptal etmez. Yeni bir belirteç edindikten sonra eski yenileme belirteci güvenli bir şekilde silin. Yenileme belirteçleri, erişim belirteçleri veya uygulama kimlik bilgileri gibi güvenli bir şekilde depolanmış olması gerekir.

Yenileme belirteci süre sonu

Yenileme belirteçleri, zaman aşımı ve iptaller nedeniyle herhangi bir zamanda iptal edilebilir. Bu durum oluştuğunda, uygulamanın oturum açma hizmeti tarafından reddetmeleri işlemesi gerekir. Bu, kullanıcı yeniden oturum açması için etkileşimli bir oturum açma istemine göndererek yapılır.

Belirteç zaman aşımı

Yenileme belirteclerinin ömrünü yapılandıramazsanız. Yaşam sürelerini azaltarak veya uzatayamzır. Koşullu Erişim'de oturum açma sıklığını yapılandırarak kullanıcının yeniden oturum açması gerekmeden önceki zaman dönemlerini tanımlayın. Koşullu Erişim ile kimlik doğrulaması oturum yönetimini yapılandırma hakkında daha fazla bilgi.

Tüm yenileme belirteçleri, belirteç yaşam süresi ilkesinde ayarlanmış kurallara uymaz. Özellikle, tek sayfalı uygulamalarda kullanılan yenileme belirteçleri, 24 saatlik bir ilke uygulanmış gibi her zaman MaxAgeSessionSingleFactor 24 saatlik etkinlikle sabitlenir.

Iptal

Kimlik bilgileri, kullanıcı eylemi veya yönetici eylemi değişikliği nedeniyle yenileme belirteçleri sunucu tarafından iptal edilebilir. Yenileme belirteçleri iki sınıfa girmektedir: gizli istemcilere verilen belirteçler (en sağdaki sütun) ve genel istemcilere verilen belirteçler (diğer tüm sütunlar).

Değiştir Parola tabanlı tanımlama bilgisi Parola tabanlı belirteç Parola tabanlı olmayan tanımlama bilgisi Parola tabanlı olmayan belirteç Gizli istemci belirteci
Parolanın süresi doldu Canlı kalır Canlı kalır Canlı kalır Canlı kalır Canlı kalır
Kullanıcı tarafından değiştirilen parola İptal Edildi İptal Edildi Canlı kalır Canlı kalır Canlı kalır
Kullanıcı SSPR yapar İptal Edildi İptal Edildi Canlı kalır Canlı kalır Canlı kalır
Yönetici parolayı sıfırlar İptal Edildi İptal Edildi Canlı kalır Canlı kalır Canlı kalır
Kullanıcı, yenileme belirteçlerini PowerShell aracılığıyla iptal eder İptal Edildi İptal Edildi İptal Edildi İptal Edildi İptal Edildi
Yönetici, PowerShell aracılığıyla bir kullanıcı için tüm yenileme belirteçlerini iptal eder İptal Edildi İptal Edildi İptal Edildi İptal Edildi İptal Edildi
Web'de çoklu oturum açma İptal Edildi Canlı kalır İptal Edildi Canlı kalır Canlı kalır

Sonraki adımlar