Токен обновления Azure AD, похоже, не истекает, даже если установлена ​​политика токена

Question

Я попытался зайти в PowerShell портала Azure и создал эту политику токенов по умолчанию.Установив токен обновления максимального возраста до 12 минут.Но кажется, что я все еще могу использовать токен обновления, чтобы получить новый токен доступа через конечную точку POST /token через 15 минут (больше, чем MaxInactiveTime из 11 минут).

Я знаю, что политика применяется, потому что недавно выданный токен доступа использует новое время жизни, определенное политикой (10 минут).Просто время жизни нового маркера обновления не применяется

AzureAdTokenPolicy

  New-AzureADPolicy -DisplayName OrganizationDefaultPolicyScenario -Definition @('{  
   "TokenLifetimePolicy":{  
      "Version":1,
      "MaxAgeSingleFactor":"00:12:00",
      "AccessTokenLifetime":"00:10:00",
      "MaxInactiveTime":"00:11:00",
      "MaxAgeSessionSingleFactor":"00:12:00",
      "MaxAgeSessionMultiFactor":"00:12:00",
      "MaxAgeMultiFactor":"00:12:00"
   }
}') -IsOrganizationDefault $true -Type "TokenLifetimePolicy"

Answer 1

Я думаю, что это поведение является заданным: https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-configurable-token-lifetimes

Время жизни токенов с токенами обновления конфиденциального клиента

Конфиденциальные клиенты - это приложения, которые могут безопасно хранить пароль клиента (секретный),Они могут доказать, что запросы поступают от защищенного клиентского приложения, а не от злоумышленника.Например, веб-приложение является конфиденциальным клиентом, поскольку оно может хранить секрет клиента на веб-сервере.Это не выставлено.Поскольку эти потоки являются более безопасными, время жизни токенов обновления, выданных этим потокам по умолчанию, является аннулированным до тех пор, пока не будет изменено с помощью политики , и не будет отменено при добровольной перезагрузке пароля.

Таким образом, если ваше приложение Azure AD зарегистрировано как приложение «Веб-приложение / API» (устаревший блейд-сервер регистрации) или «Веб» (новый бланк регистраций), оно считается «конфиденциальным клиентом» и обновляется без истечения срока действия.лексемы.