Параметры единого входа AD FS

  • Статья

Область применения: Windows Server (все поддерживаемые версии)

Единый вход позволяет пользователям проходить проверку подлинности один раз и получать доступ к нескольким ресурсам, не запрашивая дополнительные учетные данные. В этой статье описывается поведение единого входа и параметров конфигурации, которые позволяют настроить это поведение по умолчанию AD FS.

Поддерживаемые типы единого входа

AD FS поддерживает несколько типов возможностей единого входа:

  • Единый вход сеанса

    Единый вход сеанса устраняет дополнительные запросы, когда пользователь переключает приложения во время определенного сеанса. Если определенный сеанс заканчивается, пользователю будет предложено снова укажите свои учетные данные. Файлы cookie единого входа сеанса записываются для пользователя, прошедшего проверку подлинности.

    AD FS устанавливает файлы cookie единого входа сеанса по умолчанию, если устройства пользователей не зарегистрированы. Если сеанс браузера завершился и перезагружается, этот файл cookie сеанса удаляется и больше не является допустимым.

  • Постоянный единый вход

    Постоянный единый вход устраняет дополнительные запросы, когда пользователь переключает приложения до тех пор, пока постоянный файл cookie единого входа действителен. Постоянные файлы cookie единого входа записываются для прошедшего проверку подлинности пользователя. Разница между постоянным единым входом и единым входом сеанса заключается в том, что постоянный единый вход может поддерживаться в разных сеансах.

    AD FS установит постоянные файлы cookie единого входа, если устройство зарегистрировано. AD FS также устанавливает постоянный файл cookie единого входа, если пользователь выбирает параметр "Сохранить меня в системе". Если постоянный файл cookie единого входа больше не действителен, он отклоняется и удаляется.

  • Единый вход для конкретного приложения

    В сценарии OAuth маркер обновления используется для поддержания состояния единого входа пользователя в область конкретного приложения.

    AD FS устанавливает время окончания срока действия маркера обновления на основе времени существования постоянного единого входа для зарегистрированного устройства. По умолчанию время существования файла cookie составляет семь дней для AD FS в Windows Server 2012 R2. Время существования файлов cookie по умолчанию для AD FS в Windows Server 2016 составляет не более 90 дней, если устройство используется для доступа к ресурсам AD FS в течение 14 дней.

Если устройство не зарегистрировано, но пользователь выбирает параметр "Сохранить меня вошедшего в систему", срок действия маркера обновления будет равно времени существования постоянного единого входа для параметра "Сохранить меня вошедшего". Время существования файла cookie постоянного единого входа составляет один день по умолчанию не более семи дней. В противном случае время существования маркера обновления равно времени существования единого входа сеанса (по умолчанию — 8 часов).

Пользователи на зарегистрированных устройствах всегда получают постоянный единый вход, если постоянный единый вход не отключен. Для незарегистрированных устройств постоянный единый вход можно достичь, включив функцию "Сохранить вход" (KMSI).

Для Windows Server 2012 R2, чтобы включить PSSO для сценария "Сохранить меня в системе", необходимо установить это исправление, которое также входит в накопительный пакет обновления за август 2014 г. для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2.

Задача PowerShell Description
Включение и отключение постоянного единого входа Set-AdfsProperties –EnablePersistentSso <Boolean> Постоянный единый вход включен по умолчанию. Если он отключен, файл cookie PSSO не создается.
"Включить или отключить "Сохранить вход" Set-AdfsProperties –EnableKmsi <Boolean> Функция "Сохранить вход" отключена по умолчанию. Если он включен, пользователь увидит выбор "Сохранить меня вошедшего" на странице входа AD FS

AD FS 2016 — устройства с единым входом и проверкой подлинности

AD FS 2016 изменяет PSSO при проверке подлинности запрашивающего устройства, увеличивающегося до 90 дней, но требуя проверки подлинности в течение 14 дней (окно использования устройства). После первого предоставления учетных данных пользователи с зарегистрированными устройствами получают единый вход в течение максимального периода 90 дней, если устройство используется для доступа к ресурсам AD FS по крайней мере один раз в 14 дней. Через 15 дней пользователям будет предложено снова укажите учетные данные.

Постоянный единый вход включен по умолчанию. Если он отключен, файл cookie PSSO не создается.|

Set-AdfsProperties –EnablePersistentSso <Boolean\>

Окно использования устройства (14 дней по умолчанию) регулируется свойством AD FS DeviceUsageWindowInDays.

Set-AdfsProperties -DeviceUsageWindowInDays

Максимальный период единого входа (90 дней по умолчанию) регулируется свойством AD FS PersistentSoLifetimeMins.

Set-AdfsProperties -PersistentSsoLifetimeMins

Сохранение входа на устройства без проверки подлинности

Для не зарегистрированных устройств период единого входа определяется параметрами функции Keep Me Sign In (KMSI). KMSI отключен по умолчанию и может быть включен, установив для свойства KMsiEnabled свойство AD FS значение True.

Set-AdfsProperties -EnableKmsi $true

При отключении KMSI период единого входа по умолчанию составляет 8 часов. Период единого входа можно настроить с помощью свойства SsoLifetime. Свойство измеряется в минутах, поэтому значение по умолчанию — 480.

Set-AdfsProperties –SsoLifetime <Int32\>

С включенной функцией KMSI период единого входа по умолчанию составляет 24 часа. Период единого входа с включенной функцией KMSI можно настроить с помощью свойства KmsiLifetimeMins. Свойство измеряется в минутах, поэтому значение по умолчанию — 1440.

Set-AdfsProperties –KmsiLifetimeMins <Int32\>

Поведение многофакторной проверки подлинности (MFA)

AD FS предоставляет относительно длительные периоды единого входа. Важно отметить, что AD FS будет запрашивать дополнительную проверку подлинности (многофакторную проверку подлинности), когда предыдущий вход основан на первичных учетных данных (не MFA), но для текущего входа требуется MFA. Это поведение независимо от конфигурации единого входа. Когда AD FS получает запрос проверки подлинности, сначала определяет, существует ли контекст единого входа (например, файл cookie), а затем требуется ли MFA. Например, MFA требуется, если запрос проверки подлинности находится вне. В таком случае AD FS оценивает, содержит ли контекст единого входа MFA. В противном случае появится запрос MFA.

Отзыв PSSO

Для защиты безопасности AD FS отклоняет любой постоянный файл cookie единого входа, выданный ранее при выполнении следующих условий:

  • Изменения пароля пользователя

  • Параметр постоянного единого входа отключен в AD FS

  • Устройство отключено администратором в случае потери или кражи

  • AD FS получает постоянный единый вход, выданный для зарегистрированного пользователя, но пользователь или устройство больше не зарегистрировано.

  • AD FS получает постоянный единый вход для зарегистрированного пользователя, но пользователь повторно зарегистрирован

  • AD FS получает постоянный единый вход, который выдается в результате "сохранить вход", но параметр "Сохранить вход" отключен в AD FS

  • AD FS получает постоянный файл cookie единого входа, выданный для зарегистрированного пользователя, но сертификат устройства отсутствует или изменен во время проверки подлинности.

  • Администратор AD FS установил время отсечения для постоянного единого входа. При настройке времени отсечения AD FS отклонит любой постоянный единый вход, выданный до этого времени.

Отказ от постоянного единого входа требует, чтобы пользователь предоставил свои учетные данные для повторной проверки подлинности с помощью AD FS.

Чтобы задать время отключения, выполните следующий командлет PowerShell:

Set-AdfsProperties -PersistentSsoCutoffTime <DateTime>

Включение PSSO для пользователей Office 365 для доступа к SharePoint Online

После включения и настройки PSSO AD FS создает постоянный файл cookie сразу после проверки подлинности пользователя. PSSO избегает необходимости повторной проверки подлинности в последующих сеансах, если файл cookie по-прежнему действителен.

Пользователи также могут избежать дополнительных запросов проверки подлинности для Office 365 и SharePoint Online. Настройте следующие два правила утверждений в AD FS, чтобы активировать сохраняемость в идентификаторе Microsoft Entra и SharePoint Online. Чтобы включить PSSO для пользователей Office 365 для доступа к SharePoint Online, установите это исправление. Это часть накопительного пакета обновления за август 2014 г. для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2.

Правило преобразования выдачи для передачи утверждения InsideCorporateNetwork

@RuleTemplate = "PassThroughClaims"
@RuleName = "Pass through claim - InsideCorporateNetwork"
c:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"]
=> issue(claim = c);
A custom Issuance Transform rule to pass through the persistent SSO claim
@RuleName = "Pass Through Claim - Psso"
c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
=> issue(claim = c);

Чтобы свести итоги, выполните приведенные ниже действия.

Интерфейс единого входа ADFS 2012 R2
Зарегистрировано ли устройство?		 ADFS 2016
Зарегистрировано ли устройство?
Нет, но KMSI Да Нет, но KMSI Да
SSO=>set Refresh Token=> 8 часов n/a 8 часов n/a
PSSO=>set Refresh Token=> n/a24 hrs 7 дней n/a24 hrs Max 90 дней с 14-дневным окном
Время существования маркера 1 ч 1 ч 1 ч 1 ч 1 ч 1 ч

Зарегистрированное устройство? Вы получаете единый вход в PSSO или постоянный единый вход.

Не зарегистрировано устройство? Вы получаете единый вход.

Не зарегистрировано устройство, но KMSI? Вы получаете единый вход в PSSO/Persistent.

ЕСЛИ:

  • [x] Администратор включил функцию KMSI [AND]
  • [x] Пользователь выбирает поле проверка KMSI на странице входа в формы

  AD FS выдает новый маркер обновления только в том случае, если срок действия нового маркера обновления превышает предыдущий маркер. Максимальное время существования маркера составляет 84 дня, но AD FS сохраняет маркер допустимым в 14-дневном скользящем окне. Если маркер обновления действителен в течение 8 часов, то это обычное время единого входа, новый маркер обновления не выдан.

Хорошо знать:

Федеративные пользователи, у которых нет атрибута LastPasswordChangeTimestamp, выдают файлы cookie сеанса и маркеры обновления с максимальным возрастом в 12 часов.

Файлы cookie сеанса максимального возраста и маркеры обновления выдаются, так как идентификатор Microsoft Entra ID не может определить, когда отменять маркеры, связанные со старыми учетными данными. Это поведение может быть вызвано изменением пароля, например. Идентификатор Microsoft Entra должен проверка чаще, чтобы убедиться, что маркеры пользователя и связанные маркеры по-прежнему действительны.