我们有一个使用 OAuth 身份验证代码授权类型的应用。我们正在尝试限制会话令牌并限制为 10 分钟,但是在应用该策略后它不起作用并且用户在浏览器上保持登录状态。
您能否建议如果我们遗漏了什么,我们正在使用以下政策:
$policy = New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeSessionSingleFactor":"00:10:00","MaxAgeSessionMultiFactor":"00:10:00"} }') -DisplayName $policyName -IsOrganizationDefault $false -Type "TokenLifetimePolicy"
【问题讨论】:
标签: jwt azure-active-directory single-sign-on azure-devops-rest-api
此功能处于预览阶段 - Configurable token lifetimes in Azure Active Directory (Preview),New-AzureADPolicy 命令也仅属于 AzureADPreview 模块。
目前只支持-IsOrganizationDefault $true参数,该功能可能还没有完全实现。
$policy = New-AzureADPolicy -Definition @('{"TokenLifetimePolicy":{"Version":1,"MaxAgeSessionSingleFactor":"00:10:00","MaxAgeSessionMultiFactor":"00:10:00"}}') -DisplayName $policyName -IsOrganizationDefault $true -Type "TokenLifetimePolicy"
更新:
抱歉我的疏忽,上面的解决方案是我在 2020 年 4 月 17 日在 this post 中测试的,但是正如@alphaz18 提到的那样,doc 中有更新:
所以如果你想配置会话生命周期,你需要使用新功能——Configure authentication session management with Conditional Access。
【讨论】:
根据乔伊发布的链接,请不要使用它。 https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-configurable-token-lifetimes
Microsoft 已弃用此功能。并更改为 aad 条件访问菜单中的身份验证会话管理功能。
“在预览期间听取客户的意见后,我们在 Azure AD 条件访问中实现了身份验证会话管理功能。您可以使用此新功能通过设置登录频率来配置刷新令牌生命周期。2020 年 5 月 1 日之后,您将无法使用可配置令牌生命周期策略来配置会话和刷新令牌。您仍然可以在弃用后配置访问令牌生命周期。"
【讨论】: