Jetons d’actualisation dans la plateforme d’identités Microsoft

Lorsqu’un client acquiert un jeton d’accès pour accéder à une ressource protégée, il reçoit aussi un jeton d’actualisation. Le jeton d’actualisation est utilisé pour obtenir de nouvelles paires de jetons d’accès/actualisation à l’expiration du jeton d’accès actuel.

Les jetons d’actualisation permettent également d’acquérir des jetons d’accès supplémentaires pour d’autres ressources. Ils sont associés à une combinaison utilisateur/client, mais ils ne sont pas liés à une ressource ou à un locataire. Un client peut utiliser un jeton d’actualisation pour acquérir des jetons d’accès sur n’importe quelle combinaison de ressource et de tenant (locataire) où il dispose de l’autorisation nécessaire. Les jetons d’actualisation sont chiffrés, et seule la plateforme d’identités Microsoft peut les lire.

Durée de vie des jetons

Les jetons d’actualisation ont une durée de vie plus longue que les jetons d’accès. La durée de vie par défaut des jetons d’actualisation est de 24 heures pour les applications monopages et de 90 jours pour tous les autres scénarios. Les jetons d’actualisation sont automatiquement remplacés par un nouveau jeton après chaque utilisation. La plateforme d’identités Microsoft ne révoque pas les anciens jetons d’actualisation qui ont été utilisés pour récupérer de nouveaux jetons d’accès. Vous pouvez sans problème supprimer l’ancien jeton d’actualisation après l’acquisition d’un nouveau. Les jetons d’actualisation doivent être stockés de manière sécurisée comme les jetons d’accès ou les informations d’identification d’application.

Remarque

Les jetons d’actualisation envoyés à un URI de redirection inscrit en tant que spa expirent au bout de 24 heures. Les jetons d’actualisation supplémentaires acquis à l’aide du jeton d’actualisation initial répercutant ce délai d’expiration, les applications doivent être prêtes à réexécuter le flux de code d’autorisation en utilisant une authentification interactive pour obtenir un nouveau jeton d’actualisation toutes les 24 heures. Les utilisateurs n’ont pas besoin d’entrer leurs informations d’identification et généralement ne voient même pas d’expérience utilisateur associée, juste un rechargement de votre application. Le navigateur doit accéder à la page de connexion dans un cadre de niveau supérieur pour montrer la session de connexion. Cela est dû aux fonctionnalités de confidentialité dans les navigateurs qui bloquent les cookies tiers.

Expiration du jeton

Les jetons d’actualisation peuvent être révoqués à tout moment, en raison de délais d’attente et de révocations. Votre application doit gérer correctement des révocations par le service de connexion en envoyant l’utilisateur vers une invite de connexion interactive pour se reconnecter.

Délais d’expiration des jetons

Vous ne pouvez pas configurer la durée de vie d’un jeton d’actualisation. Vous ne pouvez pas réduire ou allonger leur durée de vie. Il est donc important de s’assurer que les jetons d’actualisation sont sécurisés, car des acteurs malveillants peuvent les extraire à partir d’emplacements publics voire à partir de l’appareil si celui-ci est compromis. Voici quelques opérations que vous pouvez effectuer :

Tous les jetons d’actualisation ne suivent pas les règles définies dans la stratégie de durée de vie des jetons. En particulier, les jetons d’actualisation utilisés dans les applications monopages ont toujours une durée d’activité limitée à 24 heures, comme si une stratégie MaxAgeSessionSingleFactor de 24 heures leur était appliquée.

Révocation de jetons

Le serveur peut révoquer des jetons d’actualisation en raison d’une modification des informations d’identification, d’une action de l’utilisateur ou d’une action de l’administrateur. Les jetons d’actualisation se répartissent en deux classes : les jetons émis pour les clients confidentiels (colonne la plus à droite) et les jetons émis pour les clients publics (toutes les autres colonnes).

Modifier Cookie basé sur un mot de passe Jeton basé sur un mot de passe Cookie non basé sur un mot de passe Jeton non basé sur un mots de passe Jeton client confidentiel
Le mot de passe expire Reste actif Reste actif Reste actif Reste actif Reste actif
Mot de passe modifié par l’utilisateur Révoqué Révoqué Reste actif Reste actif Reste actif
L’utilisateur effectue SSPR Révoqué Révoqué Reste actif Reste actif Reste actif
L’administrateur réinitialise le mot de passe Révoqué Révoqué Reste actif Reste actif Reste actif
L’utilisateur révoque ses jetons d’actualisation Révoqué Révoqué Révoqué Révoqué Révoqué
L’administrateur révoque tous les jetons d’actualisation d’un utilisateur Révoqué Révoqué Révoqué Révoqué Révoqué
Déconnexion unique Révoqué Reste actif Révoqué Reste actif Reste actif

Remarque

Les jetons d’actualisation ne sont pas révoqués pour les utilisateurs B2B dans leur locataire de ressource. Le jeton doit être révoqué dans le locataire d’accueil.

Voir aussi