Configuración de cookies para acceder a aplicaciones locales en Microsoft Entra ID

Microsoft Entra ID tiene cookies de acceso y sesión para acceder a aplicaciones locales a través del proxy de aplicación. Obtenga información sobre cómo usar la configuración de cookies de proxy de aplicación.

El Proxy de aplicación usa la siguiente configuración de cookies de acceso y sesión.

Configuración de cookies Valor predeterminado Descripción Recomendaciones
Usar cookie solo HTTP No permite que el proxy de aplicación incluya la marca HTTPOnly en los encabezados de respuesta HTTP. Esta marca proporciona ventajas de seguridad adicionales; por ejemplo, evita que el scripting del cliente (CSS) copie o modifique las cookies.



Antes de admitir la configuración de solo HTTP, el proxy de aplicación cifraba y transmitía las cookies a través de un canal seguro de seguridad de la capa de transporte (TLS) para protegerlas frente a las modificaciones. 
Use para obtener las ventajas de seguridad adicionales.



Use No para los agentes de usuario o cliente que necesiten acceder a la cookie de sesión. Por ejemplo, use No para un cliente de Protocolo de escritorio remoto (RDP) o un Cliente de Microsoft Terminal Services (MTSC) que se conecta a un servidor de puerta de enlace de Escritorio remoto a través del proxy de aplicación.
Usar cookies seguras permite que el proxy de aplicación incluya la marca Secure en los encabezados de respuesta HTTP. Las cookies seguras mejoran la seguridad al transmitir las cookies a través de un canal protegido mediante TLS, como HTTPS. TLS impide la transmisión de cookies en texto no cifrado. Use para obtener las ventajas de seguridad adicionales.
Usar cookies persistentes No permite que el proxy de aplicación configure las cookies de acceso de forma que no expiren cuando se cierre el explorador web. La persistencia dura hasta que expire el token de acceso o hasta que el usuario elimine manualmente las cookies persistentes. Use No debido al riesgo de seguridad asociado con mantener autenticados a los usuarios.



Se recomienda usar únicamente para aplicaciones más antiguas que no pueden compartir cookies entre procesos. Es mejor actualizar la aplicación para controlar el uso compartido de cookies entre procesos, en lugar de usar las cookies persistentes. Por ejemplo, puede necesitar las cookies persistentes para permitir que un usuario abra documentos de Office en la vista de explorador desde un sitio de SharePoint. Sin cookies persistentes, esta operación puede producir un error si las cookies de acceso no se comparten entre el explorador, el proceso del explorador y el proceso de Office.

Cookies SameSite

Las cookies que no especifican el atributo SameSite se tratan como si se hubieran establecido en SameSite=Lax. En el atributo SameSite se declara cómo se deben restringir las cookies a un contexto del mismo sitio. Cuando se establece en Lax, la cookie solo se envía a solicitudes del mismo sitio o a la navegación de nivel superior. Sin embargo, el proxy de aplicación requiere que estas cookies se mantengan en el contexto de terceros para que los usuarios puedan iniciar sesión correctamente durante su sesión. Debido al requisito, se realizaron actualizaciones:

  • Establecer el atributo SameSite en None. Las cookies de sesiones del proxy de aplicación se envían correctamente en el contexto de terceros.
  • Establecer la opción Usar cookies seguras en como valor predeterminado. Chrome rechaza las cookies que no usan la marca Secure. El cambio se aplica a todas las aplicaciones existentes publicadas a través del proxy de aplicación. Las cookies de acceso del proxy de aplicación se establecen en Secure y se transmiten a través de HTTPS. El cambio solo se aplica a las cookies de la sesión.

Además si la aplicación back-end tiene cookies con un contexto de terceros, debe participar explícitamente cambiando la aplicación para que use SameSite=None. El proxy de aplicación traduce el encabezado Set-Cookie a sus direcciones URL y respeta la configuración.

Para establecer la configuración de cookies mediante el centro de administración de Microsoft Entra:

  1. Inicie sesión en el centro de administración de Microsoft Entra como Administrador de aplicaciones como mínimo.
  2. Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Aplicación proxy.
  3. En Configuración adicional, establezca la configuración de la cookie en o No.
  4. Seleccione Guardar para aplicar los cambios.

Para ver la configuración actual de cookies de la aplicación, use este comando de PowerShell:

Get-AzureADApplicationProxyApplication -ObjectId <ObjectId> | fl * 

En los siguientes comandos de PowerShell, <ObjectId> es el valor de ObjectId de la aplicación.

Cookie de solo HTTP

Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $true 
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsHttpOnlyCookieEnabled $false 

Cookie segura

Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $true 
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsSecureCookieEnabled $false 

Cookies persistentes

Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $true 
Set-AzureADApplicationProxyApplication -ObjectId <ObjectId> -IsPersistentCookieEnabled $false