Tempo de vida configurável para tokens na plataforma de identidade da Microsoft (versão prévia)
Você pode especificar o tempo de vida de um token de acesso, ID ou SAML emitido pela plataforma de identidade da Microsoft. Você pode definir tempos de vida de token para todos os aplicativos em sua organização, para aplicativos multilocatários (várias organizações) ou para entidades de serviço. Atualmente, não oferecemos suporte à configuração de tempos de vida de token para entidades de serviço de identidade gerenciadas.
No Microsoft Entra ID, um objeto de política representa um conjunto de regras aplicadas a todos os aplicativos ou a aplicativos individuais em uma organização. Cada tipo de política tem uma estrutura exclusiva com um conjunto de propriedades que são aplicadas aos objetos aos quais são atribuídas.
Designe uma política como a padrão para sua organização. Essa política é aplicada a qualquer aplicativo na organização, desde que não seja substituída por uma política com uma prioridade mais alta. Você também pode atribuir uma política para aplicativos específicos. A ordem de prioridade varia por tipo de política.
Veja exemplos de como configurar o tempo de vida de tokens.
Observação
A política de tempo de vida de token configurável só se aplica a clientes móveis e de desktop que acessem recursos do SharePoint Online e do OneDrive for Business. Ela não é aplicável a sessões de navegador da Web. Para gerenciar o tempo de vida de sessões de navegador da Web para o SharePoint Online e o OneDrive for Business, use o recurso de Tempo de vida da sessão de Acesso Condicional. Consulte o blog do SharePoint Online para saber mais sobre como configurar o tempo limite da sessão ociosa.
Observação
Talvez você queira aumentar o tempo de vida do token para que um script seja executado por mais de uma hora. Muitas bibliotecas da Microsoft, como o SDK do Microsoft Graph PowerShell, estendem o tempo de vida do token conforme necessário, e você não precisa fazer alterações na política de token de acesso.
Requisitos de licença
O uso desse recurso requer uma licença de P1 do Microsoft Entra ID. Para localizar a licença correta para os seus requisitos, consulte Comparar recursos geralmente disponíveis nos planos Gratuito e Premium.
Os clientes com licenças do Microsoft 365 Business também têm acesso a recursos de Acesso Condicional.
Políticas de tempo de vida para tokens de acesso, SAML e ID
Você pode definir políticas de tempo de vida para tokens de acesso, SAML e ID.
Tokens de acesso
Os clientes usam tokens de acesso para acessar um recurso protegido. Um token de acesso só pode ser usado para uma combinação específica de usuário, cliente e recurso. Os tokens de acesso não podem ser revogados e são válidos até o vencimento. Um ator mal-intencionado que tenha obtido um token de acesso pode usá-lo pela extensão do tempo de vida. Ajustar o tempo de vida do token de acesso é uma compensação entre a melhorar o desempenho do sistema e aumentar o tempo pelo qual o cliente retém acesso depois que a conta do usuário é desabilitada. Um melhor desempenho do sistema é obtido, reduzindo o número de vezes que um cliente precisa adquirir um novo token de acesso.
O tempo de vida padrão de um token de acesso é variável. Quando emitido, o tempo de vida padrão de um token de acesso é atribuído a um valor aleatório que varia entre 60-90 minutos (75 minutos em média). O tempo de vida padrão também varia dependendo do aplicativo cliente solicitando o token ou se o Acesso Condicional estiver habilitado no locatário. Para obter mais informações, veja Tempo de vida do tokens de acesso.
Tokens SAML
Os tokens SAML são usados por muitos aplicativos SaaS baseados na Web e obtidos com o uso do ponto de extremidade do protocolo SAML2 do Microsoft Entra ID. Eles também são consumidos pelos aplicativos que usam o WS-Federation. O tempo de vida padrão do token é 1 hora. Sob a perspectiva de um aplicativo, o período de validade do token é especificado pelo valor NotOnOrAfter do elemento <conditions …>
no token. Após o término do período de validade do token, o cliente deve iniciar uma nova solicitação de autenticação, que geralmente será satisfeita sem entrada interativa, como resultado do token de SSO (sessão de logon único).
O valor de NotOnOrAfter pode ser alterado com o parâmetro AccessTokenLifetime
em uma TokenLifetimePolicy
. Ele será definido para o tempo de vida configurado na política, se houver, além de um fator de defasagem horária de cinco minutos.
O valor NotOnOrAfter de confirmação da entidade especificado no elemento <SubjectConfirmationData>
não é afetado pela configuração de Tempo de Vida de Token.
Tokens de ID
Tokens de ID são passados para sites e clientes nativos. Os tokens de ID contêm informações de perfil sobre um usuário. Um token de ID é associado a uma combinação específica de cliente e usuário. Os tokens de ID são considerados válidos até a expiração. Normalmente, um aplicativo Web corresponde o tempo de vida de sessão de um usuário no aplicativo ao tempo de vida do token de ID emitido para o usuário. Ajuste o tempo de vida de um token de ID para controlar com que frequência o aplicativo Web expira a sessão do aplicativo e exige que o usuário seja novamente autenticado na plataforma de identidade da Microsoft (de forma silenciosa ou interativa).
Políticas de tempo de vida para tokens de atualização e de sessão
Você não pode definir políticas de tempo de vida de tokens para os tokens de atualização e tokens de sessão. Para obter informações de tempo de vida, tempo limite e revogação em tokens de atualização, confira Tokens de atualização.
Importante
Desde 30 de janeiro de 2021, não é possível configurar a atualização e o tempo de vida dos tokens de sessão. O Microsoft Entra não honra mais a configuração de tokens de atualização e de sessão nas políticas existentes. Agora, os novos tokens emitidos após os existentes terem expirado são definidos com a configuração padrão. Você ainda pode configurar o tempo de vida de tokens de acesso, SAML e ID após a desativação da configuração dos tokens de atualização e de sessão.
O tempo de vida do token existente não será alterado. Depois que ele expirar, será emitido um novo token com base no valor padrão.
Se você precisar continuar definindo o período após o qual um usuário é solicitado a entrar novamente, configure a frequência de conexão no Acesso Condicional. Para saber mais sobre o Acesso Condicional, leia Configurar o gerenciamento da sessão de autenticação com Acesso Condicional.
Propriedades de tempo de vida de token configurável
Uma política de tempo de vida do token é um tipo de objeto de política que contém regras de tempo de vida do token. Essa política controla por quanto tempo tokens de acesso, SAML e ID para esse recurso são considerados válidos. As políticas de tempo de vida do token não podem ser definidas para os tokens de atualização e de sessão. Se nenhuma política for definida, o sistema aplicará o valor de tempo de vida padrão.
Propriedades da política de tempo de vida do token de acesso, ID e SAML2
A redução da propriedade de Tempo de vida útil do token acesso minimiza o risco de uso de um token de acesso ou de ID por um ator mal-intencionado durante um longo período. (Esses tokens não podem ser revogados). A desvantagem é que o desempenho é afetado negativamente, pois os tokens precisam ser substituído com mais frequência.
Veja um exemplo em Criar uma política para entrada na Web.
A configuração de tokens de acesso, ID e SAML2 é afetada pelas seguintes propriedades e seus valores definidos respectivamente:
- Propriedade: Tempo de Vida do Token de Acesso
- Cadeia de caracteres de propriedade de política: AccessTokenLifetime
- Afeta: tokens de acesso, de ID e SAML2
- Padrão:
- Tokens de acesso: varia, dependendo do aplicativo cliente que solicita o token. Por exemplo, clientes com capacidade de avaliação de acesso contínuo (CAE) que negociam sessões com reconhecimento de CAE observarão um tempo de vida de token de vida útil (de até 28 horas).
- Tokens de ID, tokens SAML2: 1 hora
- Mínimo: 10 minutos
- Máximo: 1 dia
Propriedades da política de tempo de vida de tokens de atualização e de sessão
A configuração de tokens de atualização e de sessão é afetada pelas seguintes propriedades e seus valores definidos respectivamente. Após a desativação da configuração de tokens de atualização e de sessão em 30 de janeiro de 2021, o Microsoft Entra ID honrará apenas os valores padrão descritos abaixo. Se você decidir não usar o Acesso Condicional para gerenciar a frequência de entrada, seus tokens de atualização e de sessão serão definidos com a configuração padrão nessa data, e você não poderá mais alterar seu tempo de vida.
Propriedade | Cadeia de caracteres de propriedade de política | Afeta | Padrão |
---|---|---|---|
Tempo Máximo Inativo de Token de Atualização | MaxInactiveTime | Tokens de atualização | 90 dias |
Idade Máxima de Token de Atualização de Fator Único | MaxAgeSingleFactor | Tokens de atualização (para quaisquer usuários) | Until-revoked |
Idade Máxima de Token de Atualização Multifator | MaxAgeMultiFactor | Tokens de atualização (para quaisquer usuários) | Until-revoked |
Idade Máxima de Token de Sessão de Fator Único | MaxAgeSessionSingleFactor | Tokens de sessão (persistentes e não persistentes) | Until-revoked |
Idade Máxima de Token de Sessão Multifator | MaxAgeSessionMultiFactor | Tokens de sessão (persistentes e não persistentes) | Until-revoked |
Os tokens de sessão não persistentes têm um Tempo Inativo Máximo de 24 horas, enquanto os tokens de sessão persistentes têm um Tempo Inativo Máximo de 90 dias. Sempre que o token de uma sessão de SSO é usado dentro de seu período de validade, o período de validade é prorrogado por 24 horas ou 90 dias. Se não for usado dentro do período de Tempo de Inatividade Máximo, o token da sessão de SSO será considerado expirado e não será mais aceito. Quaisquer alterações nesse período padrão devem ser alteradas usando o Acesso Condicional.
Você pode usar o PowerShell para localizar as políticas afetadas pela desativação. Use os cmdlets do PowerShell para ver todas as políticas criadas na sua organização ou descobrir quais aplicativos estão vinculados a uma política específica.
Avaliação e priorização de política
Você pode criar e atribuir uma política de tempo de vida de token para um aplicativo específico ou para a sua organização. Várias políticas podem se aplicar a um aplicativo específico. A política de tempo de vida do token que entra em vigor segue estas regras:
- Se uma política for atribuída explicitamente à organização, ela será implementada.
- Se nenhuma política for atribuída explicitamente à organização, a política atribuída ao aplicativo será implementada.
- Se nenhuma política tiver sido atribuída à organização ou ao objeto de aplicativo, os valores padrão serão implementados. (Consulte a tabela em Propriedades configuráveis de tempo de vida de token.)
A validade de um token é avaliada no momento em que ele é usado. A política com a prioridade mais alta no aplicativo que está sendo acessado entra em vigor.
Todos os períodos de tempo usados aqui são formatados de acordo com o objeto C# TimeSpan - D.HH:MM:SS. Assim, 80 dias e 30 minutos seria 80.00:30:00
. Os D principal pode ser descartado se for zero, então 90 minutos seria 00:90:00
.
Referência da API REST
Você pode configurar políticas de tempo de vida de token e atribuí-las aos aplicativos usando o Microsoft Graph. Para obter mais informações, confira o tokenLifetimePolicy
tipo de recurso e os métodos associados.
Referência de cmdlet
Esses são os cmdlets incluídos no SDK do PowerShell do Microsoft Graph.
Gerenciar políticas
Use os seguintes comandos para gerenciar as políticas.
Cmdlet | Descrição |
---|---|
New-MgPolicyTokenLifetimePolicy | Cria uma nova política. |
Get-MgPolicyTokenLifetimePolicy | Obtém todas as políticas de tempo de vida de token ou uma política especificada. |
Update-MgPolicyTokenLifetimePolicy | Atualiza uma política existente. |
Remove-MgPolicyTokenLifetimePolicy | Exclui a política especificada. |
Políticas de aplicativo
Use os cmdlets a seguir para políticas de aplicativos.
Cmdlet | Descrição |
---|---|
New-MgApplicationTokenLifetimePolicyByRef | Vincula a política especificada a um aplicativo. |
Get-MgApplicationTokenLifetimePolicyByRef | Obtém as políticas que foram atribuídas a um aplicativo. |
Remove-MgApplicationTokenLifetimePolicyByRef | Remove uma política de um aplicativo. |
Próximas etapas
Para saber mais, veja exemplos de como configurar o tempo de vida de token.