Реализация настроек токена

  • 1 минута

Можно указать время жизни токена, выпущенного платформой идентификации Microsoft. Кроме того, можно задать время существования маркеров для всех приложений в организации, для мультитенантного приложения (нескольких организаций) или для конкретного субъекта-службы в организации. В идентификаторе Microsoft Entra объект политики представляет набор правил, которые применяются для отдельных приложений или всех приложений в организации. Каждый тип политики имеет уникальную структуру и набор свойств, которые применяются к объектам, для которых назначена эта политика.

Для организации можно назначить политику по умолчанию. Она будет применяться ко всем приложениям в организации, если не будет переопределена политикой с более высоким приоритетом. Политику можно также назначить и для отдельных приложений. Приоритетность политики определяется ее типом.

Настройка управления сеансом проверки подлинности с условным доступом.

В сложных развертываниях организациям может потребоваться ограничить сеансы проверка подлинности. Данные сложные сценарии могут включать:

  • Доступ к ресурсам с неуправляемого или общего устройства.
  • Доступ к конфиденциальным данным из внешней сети.
  • Пользователи с высоким уровнем воздействия.
  • Критически важные бизнес-приложения.

Элементы управления условным доступом позволяют создавать политики, ориентированные на конкретные варианты использования в организации, не затрагивая всех пользователей.

Дополнительную информацию см. по ссылке в ресурсах в конце этого модуля.

Настройка маркеров для идентификатора Microsoft Entra

Время существования маркера доступа и идентификатора Время существования маркера обновления (дни) Время существования скользящих окон маркера обновления Продолжительность существования (дни)
Время существования маркера носителя OAuth 2.0 и маркера идентификатора Максимальный период времени, до истечения которого токен обновления можно использовать для получения нового токена доступа Тип скользящего окна обновления токена По истечении периода времени пользователь должен снова выполнить проверку подлинности

Diagram of the Refresh token lifetime - token is valid for a specified amount of time and the access token must be refreshed before it expires.

Настройка необязательных утверждений в составе токена

Разработчики приложений могут использовать необязательные утверждения в приложениях идентификатора Microsoft Entra ID, чтобы указать утверждения, которые они хотят в токенах, отправленных в приложение.

Необязательные утверждения можно использовать, чтобы:

  • выбрать другие утверждения для включения в маркеры для приложения;
  • изменить поведение определенных утверждений в токенах, возвращаемых платформой удостоверений Майкрософт;
  • Добавьте пользовательские утверждения доступа для своего приложения.

Несмотря на то что необязательные утверждения поддерживаются в маркерах формата версий 1.0 и 2.0, а также в маркерах SAML, большую ценность они представляют при переходе с версии 1.0 на 2.0. Одна из задач платформы удостоверений Майкрософт — уменьшение размеров маркеров (токенов) для обеспечения оптимальной производительности для клиентов. В результате нескольких утверждений, ранее включенных в маркеры доступа и идентификаторов, больше нет в токенах версии 2.0 и их нужно запрашивать специально для каждого приложения.

Screenshot of the Configure custom roles and claims for the S A M L token issued when you configure sign-sign-on.