Параметры cookie для доступа к локальным приложениям в идентификаторе Microsoft Entra
Идентификатор Microsoft Entra имеет файлы cookie доступа и сеанса для доступа к локальным приложениям через прокси приложения. Узнайте, как использовать параметры файла cookie прокси приложения.
Что такое параметры файлов cookie
Прокси приложения использует следующие параметры доступа и файла cookie сеанса.
| Параметр файла cookie | По умолчанию. | Description | Рекомендации |
|---|---|---|---|
| Использовать файл cookie, предназначенный только для HTTP | Нет | Да , прокси приложения может включить флаг HTTPOnly в заголовки ответа HTTP. Этот флаг обеспечивает дополнительные преимущества безопасности, например, предотвращает копирование или изменение файлов cookie на стороне клиента (CSS). Прежде чем мы поддерживали параметр "Только HTTP", прокси приложения зашифрованы и переданы файлы cookie через защищенный канал TLS для защиты от изменений. |
Используйте "Да " из-за дополнительных преимуществ безопасности. Выберите Нет для клиентов или агентов пользователей, которым требуется доступ к файлам cookie сеанса. Например, используйте no for Remote Desktop Protocol (RDP) или MICROSOFT Terminal Services Client (MTC), который подключается к серверу шлюза удаленных рабочих столов через прокси приложения. |
| Использование безопасного файла cookie | Да | Да , прокси приложения позволяет включить флаг Secure в заголовки ответа HTTP. Защищенный файл cookie повышает безопасность передачи по защищенному каналу TLS, такому как HTTPS. TLS предотвращает передачу файлов cookie в виде ясного текста. | Используйте "Да " из-за дополнительных преимуществ безопасности. |
| Сохранять файлы сookie | Нет | Да позволяет прокси-серверу приложения задать срок действия файлов cookie доступа, которые не истекают при закрытии веб-браузера. Сохраняемость длится до окончания срока действия маркера доступа, или пока пользователь вручную не удалит постоянные файлы cookie. | Выберите Нет из-за угрозы безопасности, связанной с сохранением аутентификации пользователей. Мы рекомендуем выбирать вариант Да только для более старых приложений, которые не могут совместно использовать файлы cookie между процессами. Мы советуем обновить приложение, чтобы совместно использовать файлы cookie между процессами, а не применять постоянные файлы cookie. Например, вам могут потребоваться постоянные файлы cookie, чтобы разрешить открывать документы Office в представлении проводника с сайта SharePoint. Без постоянных файлов cookie эта операция может завершиться ошибкой, если в браузере, процессе проводника и процессе Office общий доступ к файлам cookie не предоставляется. |
Файлы cookie SameSite
Файлы cookie, не указывающие атрибут SameSite , обрабатываются так же, как если бы они были заданы для SameSite=Lax. Атрибут SameSite объявляет, как файлы cookie должны быть ограничены контекстом одного сайта. Если задано значение Lax, файл cookie отправляется только в те же запросы или навигацию верхнего уровня. Однако прокси приложения требует, чтобы эти файлы cookie сохранялись в стороннем контексте, чтобы пользователи правильно вошли в систему во время сеанса. В связи с требованием были сделаны обновления:
- Присвоение атрибуту SameSite значения None (Нет). Файлы cookie прокси-сеансов приложений правильно отправляются в стороннем контексте.
- Установка для параметра Использовать безопасный файл cookie значения по умолчанию Да. Chrome отклоняет файлы cookie, не использующие
Secureфлаг. Это изменение применяется ко всем существующим приложениям, опубликованным через прокси приложения. Файлы cookie доступа прокси приложения имеют значение Secure и передаются только по протоколу HTTPS. Изменение применяется только к файлам cookie сеанса.
Кроме того, если в серверном приложении есть файлы cookie, необходимые для стороннего контекста, необходимо явно отказаться от использования SameSite=Noneприложения. Прокси приложения преобразует Set-Cookie заголовок в URL-адреса и учитывает параметры.
Настройка параметров cookie — Центр администрирования Microsoft Entra
Чтобы задать параметры cookie с помощью Центра администрирования Microsoft Entra, выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.
- Перейдите к> прокси приложениям Identity Application>Enterprise.>
- В разделе Дополнительные параметры установите параметр файла cookie как Да или Нет.
- Нажмите кнопку Сохранить, чтобы применить изменения.
Просмотр текущих параметров файлов cookie — PowerShell
Чтобы просмотреть текущие параметры cookie для приложения, используйте следующую команду PowerShell:
Get-AzureADApplicationProxyApplication -ObjectId <ObjectId> | fl *
Настройка параметров файлов cookie — PowerShell
В приведенных ниже командах PowerShell <ObjectId> — это ObjectId приложения.
Файлы cookie HTTP-Only
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $false
Безопасные файлы cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $false
Постоянные файлы cookie
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $true
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $false