如何配置 Azure AD 访问令牌的过期时间（使用 ADAL）？

Posted 2023-03-04

【中文标题】如何配置 Azure AD 访问令牌的过期时间（使用 ADAL）？

【英文标题】：How can I configure the expiration time of an Azure AD access token (using ADAL)?

【发布时间】：2018-04-01 20:21:46

【问题描述】：

我们使用 Azure AD 通过用户的 Office 365 帐户向我们的 WPF 应用程序验证用户身份。这是使用 Active Directory 身份验证库 (ADAL) 完成的。

目前，每次打开应用程序时都会提示他们登录。我们想要更改它以允许通过缓存的令牌登录到应用程序。这可行，但我们希望将令牌的到期时间缩短到 24 小时或更短，在该时间过后需要再次登录。

我看不到在代码中操纵访问令牌过期的方法。这是需要在 Azure AD 中完成的事情吗？

【问题讨论】：

你的代码怎么样？

【参考方案1】：

总结

您不能使用 ADAL 来配置令牌的到期时间。 ADAL 是一个身份验证库，可帮助您与令牌服务进行交互，但您可以在服务主体、应用程序或租户上设置令牌生命周期配置。

您需要使用 Powershell 创建描述所需行为的策略，并将其链接到您的服务主体、租户或应用程序。请记住，如果您正在构建多租户应用程序，租户的所有者可以覆盖您的策略。

tl;dr: 不要依赖应用中的令牌生命周期，因为它随时可能发生变化。

创建和设置令牌生命周期策略

您可以使用Azure AD Powershell Commands 设置这些属性。然后运行以下命令来设置访问令牌的生命周期：

登录到 Powershell。

Connect-AzureAD -Confirm

创建新策略以将访问令牌有效期设置为 2 小时。您可以将其更改为 10 分钟到 1 天之间。

New-AzureADPolicy -Definition @('"TokenLifetimePolicy":"Version":1,"AccessTokenLifetime":"02:00:00","MaxAgeSessionSingleFactor":"02:00:00"') -DisplayName "WebPolicyScenario" -IsOrganizationDefault $false -Type "TokenLifetimePolicy"

获取策略的 ObjectId。

Get-AzureAdPolicy

将新策略链接到您的应用程序。您可以使用 GraphExplorer 获取应用的 objectId。

Add-AzureADApplicationPolicy -Id <ObjectId of the Application> -RefObjectId <ObjectId of the Policy>

如需更多示例和完整文档，请查看Azure AD Configurable Token Lifetime。

【讨论】：

听起来正是我们所需要的。我现在将其标记为答案，如果某些东西不起作用，我会发表评论，但我想它应该。谢谢

@S-Vuk 如果您有任何问题，请告诉我！

@DanielDobalian 你知道不用 powershell 的方法吗？

@MartinPeck 这些 PowerShell 脚本调用 Azure AD Graph API，因此我相信您可以直接针对 API 执行此操作。如果您正在寻找一些 UI，我认为 Azure AD Graph Explorer 会有所帮助！

刚试过这个，PowerShell 抛出一个错误，说它已于 5 月 30 日退役。信息here 建议现在将“可配置令牌生命周期”功能替换为“条件访问身份验证会话管理”。但是，这是一项高级 Azure AD 功能。有谁知道如何配置令牌，以便可以在 pleb（免费）AD 租户上覆盖默认的 1 小时？谢谢！