Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Enkel inloggning (SSO) gör det möjligt för användare att autentisera en gång och komma åt flera resurser utan att uppmanas att ange fler autentiseringsuppgifter. Den här artikeln beskriver standardbeteendet för AD FS för enkel inloggning och de konfigurationsinställningar som gör att du kan anpassa det här beteendet.
Typer av enkel inloggning som stöds
AD FS stöder flera typer av funktioner för enkel inloggning:
Sessions-SSO
Sessions-SSO eliminerar extra frågor när användaren växlar program under en viss session. Om en viss session avslutas uppmanas användaren att ange sina autentiseringsuppgifter igen. Sessions-SSO-cookies skrivs för den autentiserade användaren.
AD FS ställer in sessionscookies för enkel inloggning som standard om användarnas enheter inte är registrerade. Om webbläsarsessionen har avslutats och startas om tas sessionscookien bort och är inte giltig längre.
Ihållande SSO
Beständig enkel inloggning eliminerar extra uppmaningar när användaren byter program så länge den beständiga SSO-cookien är giltig. Beständiga SSO-cookies skrivs för den autentiserade användaren. Skillnaden mellan beständig enkel inloggning och sessions-SSO är att beständig enkel inloggning kan underhållas mellan olika sessioner.
AD FS ställer in beständiga SSO-cookies om enheten är registrerad. AD FS anger också en beständig SSO-cookie om en användare väljer alternativet "Behåll mig inloggad". Om den beständiga SSO-cookien inte längre är giltig avvisas den och tas bort.
Applikationsspecifik SSO
I OAuth-scenariot används en uppdateringstoken för att upprätthålla användarens SSO-tillstånd inom omfånget för ett visst program.
AD FS anger förfallotiden för en uppdateringstoken baserat på den beständiga SSO-cookiens livslängd för en registrerad enhet. Som standard är cookiens livslängd sju dagar för AD FS på Windows Server 2012 R2. Standardtiden för cookie för AD FS på Windows Server 2016 är upp till högst 90 dagar om enheten används för att komma åt AD FS-resurser inom ett 14-dagarsfönster.
Om enheten inte är registrerad men en användare väljer alternativet "Håll mig inloggad" är förfallotiden för uppdateringstoken lika med den beständiga SSO-cookiens livslängd för "Håll mig inloggad". Den beständiga livslängden för SSO-cookien är en dag som standard med högst sju dagar. Annars är livslängden för uppdateringstoken lika med sessions-SSO-cookiens livslängd (8 timmar som standard).
Användare på registrerade enheter får alltid en beständig enkel inloggning om inte den beständiga enkel inloggningen är inaktiverad. För oregistrerade enheter kan beständig enkel inloggning uppnås genom att aktivera funktionen "keep me signed in" (KMSI).
För Windows Server 2012 R2, för att aktivera PSSO för scenariot "Håll mig inloggad" måste du installera den här snabbkorrigeringen, som också är en del av uppdateringen från augusti 2014 för Windows RT 8.1, Windows 8.1 och Windows Server 2012 R2.
| Task | PowerShell | Description |
|---|---|---|
| Aktivera/inaktivera ihållande SSO | Set-AdfsProperties –EnablePersistentSso <Boolean> |
Persistent SSO är aktiverad som standard. Om den är inaktiverad skapas ingen PSSO-cookie. |
| "Aktivera/inaktivera "behåll mig inloggad" | Set-AdfsProperties –EnableKmsi <Boolean> |
Funktionen "Håll mig inloggad" är inaktiverad som standard. Om den är aktiverad ser användaren alternativet "Håll mig inloggad" på AD FS-inloggningssidan |
AD FS 2016 – enkel inloggning och autentiserade enheter
AD FS 2016 ändrar PSSO när en beställare autentiserar från en registrerad enhet så att PSSO-fönstret ökar till maximalt 90 dagar, men det krävs autentisering inom en 14-dagarsperiod (enhetsanvändningsfönster). När du har angett autentiseringsuppgifter för första gången får användare med registrerade enheter som standard enkel inloggning i högst 90 dagar, förutsatt att de använder enheten för att få åtkomst till AD FS-resurser minst en gång var 14:e dag. Efter 15 dagar uppmanas användarna att ange autentiseringsuppgifter igen.
Persistent SSO är aktiverad som standard. Om den är inaktiverad skapas ingen PSSO-cookie.|
Set-AdfsProperties –EnablePersistentSso <Boolean\>
Enhetsanvändningsfönstret (14 dagar som standard) styrs av AD FS-egenskapen DeviceUsageWindowInDays.
Set-AdfsProperties -DeviceUsageWindowInDays
Den maximala perioden för enkel inloggning (90 dagar som standard) styrs av AD FS-egenskapen PersistentSsoLifetimeMins.
Set-AdfsProperties -PersistentSsoLifetimeMins
Behåll mig inloggad för oautentiserade enheter
För icke-registrerade enheter bestäms perioden för enkel inloggning av inställningarna för funktionen Keep Me Signed In (KMSI). KMSI är inaktiverat som standard och kan aktiveras genom att ange AD FS-egenskapen KmsiEnabled till True.
Set-AdfsProperties -EnableKmsi $true
När KMSI är inaktiverat är standardperioden för enkel inloggning 8 timmar. Perioden för enkel inloggning kan konfigureras med egenskapen SsoLifetime. Egenskapen mäts i minuter, så standardvärdet är 480.
Set-AdfsProperties –SsoLifetime <Int32\>
Med KMSI aktiverat är standardperioden för enkel inloggning 24 timmar. Den enkla inloggningsperioden med KMSI aktiverat kan konfigureras med egenskapen KmsiLifetimeMins. Egenskapen mäts i minuter, så standardvärdet är 1440.
Set-AdfsProperties –KmsiLifetimeMins <Int32\>
Beteende för multifaktorautentisering (MFA)
AD FS ger relativt långa perioder med enkel inloggning. Det är viktigt att notera att AD FS uppmanar till mer autentisering (multifaktorautentisering) när en tidigare inloggning baseras på primära autentiseringsuppgifter (inte MFA) men den aktuella inloggningen kräver MFA. Det här beteendet är oavsett SSO-konfiguration. När AD FS tar emot en autentiseringsbegäran avgör den först om det finns en SSO-kontext (till exempel en cookie) och sedan om MFA krävs. Till exempel krävs MFA när autentiseringsbegäran kommer utifrån. I ett sådant fall bedömer AD FS om SSO-kontexten innehåller MFA eller inte. Annars kommer ett meddelande om att aktivera MFA.
PSSO-återkallelse
För att skydda säkerheten avvisar AD FS alla beständiga SSO-cookies som tidigare utfärdats när följande villkor uppfylls:
Användaren ändrar lösenord
Inställningen Persistent SSO är inaktiverad i AD FS
Enheten inaktiveras av administratören i förlorat eller stulet fall
AD FS tar emot en beständig SSO-cookie som utfärdas för en registrerad användare, men användaren eller enheten är inte registrerad längre
AD FS tar emot en beständig SSO-cookie för en registrerad användare men användaren återregistreras
AD FS får en beständig SSO-cookie som utfärdas som ett resultat av inställningen "håll mig inloggad" men inställningen "behåll mig inloggad" är inaktiverad i AD FS
AD FS tar emot en beständig SSO-cookie som utfärdas för en registrerad användare men enhetscertifikatet saknas eller ändras under autentiseringen
AD FS-administratören har angett en sluttid för beständig SSO. Med en tidsgräns konfigurerad avvisar AD FS alla beständiga SSO-cookies som utfärdats före denna tid
Om en beständig SSO-cookie avvisas måste användaren ange sina autentiseringsuppgifter för att kunna autentisera med AD FS igen.
Om du vill ange tidsgränsen kör du följande PowerShell-cmdlet:
Set-AdfsProperties -PersistentSsoCutoffTime <DateTime>
Aktivera PSSO för Office 365-användare för åtkomst till SharePoint Online
När PSSO har aktiverats och konfigurerats skapar AD FS en beständig cookie omedelbart efter användarautentisering. PSSO undviker behovet av att autentisera igen under efterföljande sessioner, så länge cookien fortfarande är giltig.
Användare kan också undvika extra autentiseringsanvisningarna för Office 365 och SharePoint Online. Konfigurera följande två anspråksregler i AD FS för att utlösa beständighet hos Microsoft Entra ID och SharePoint Online. Om du vill att PSSO för Office 365-användare ska få åtkomst till SharePoint online installerar du den här snabbkorrigeringen. Det är en del av uppdateringen från augusti 2014 för Windows RT 8.1, Windows 8.1 och Windows Server 2012 R2.
En regel för utfärdandetransformering för att passera genom InsideCorporateNetwork-anspråket
@RuleTemplate = "PassThroughClaims"
@RuleName = "Pass through claim - InsideCorporateNetwork"
c:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"]
=> issue(claim = c);
A custom Issuance Transform rule to pass through the persistent SSO claim
@RuleName = "Pass Through Claim - Psso"
c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
=> issue(claim = c);
Sammanfatta:
| Enkel inloggningsupplevelse | ADFS 2012 R2 Är enheten registrerad? |
ADFS 2016 Är enheten registrerad? |
|---|---|---|
| Nej Nej men KMSI Ja | Nej Nej men KMSI Ja | |
| SSO=>set Refresh Token=> | 8 timmar n/a n/a | 8 timmar n/a n/a |
| PSSO=>ställ in uppdaterings-token=> | n/a 24 timmar 7 dagar | n/a 24 timmar Max 90 dagar med 14 dagars fönster |
| Tokens livslängd | 1 timme 1 timme 1 timme | 1 timme 1 timme 1 timme |
Registrerad enhet? Du får PSSO/ihållande SSO.
Inte registrerad enhet? Du får enkel inloggning (SSO).
Inte registrerad enhet men ändå KMSI? Du får PSSO/ihållande SSO.
IF:
- [x] Administratören har aktiverat KMSI-funktionen [AND]
- [x] Användaren markerar kryssrutan KMSI på formulärens inloggningssida
AD FS utfärdar endast en ny uppdateringstoken om giltigheten för den nyare uppdateringstoken är längre än den tidigare token. Den maximala livslängden för en token är 84 dagar, men AD FS håller tokenen giltig inom ett 14-dagars växlande fönster. Om uppdateringstoken är giltig i 8 timmar, vilket är den vanliga SSO-tiden, utfärdas inte en ny uppdateringstoken.
Bra att veta:
Federerade användare som inte har attributet LastPasswordChangeTimestamp synkroniserat utfärdas sessionscookies och refresh-token som har ett Max ålder-värde på 12 timmar.
Sessionscookies med "Max Age"-värde och uppdateringstokens utfärdas eftersom Microsoft Entra-ID inte kan avgöra när tokens som är relaterade till gamla autentiseringsuppgifter ska återkallas. Det här beteendet kan till exempel orsakas av ett lösenord som har ändrats. Microsoft Entra-ID måste kontrolleras oftare för att se till att användare och associerade token fortfarande är giltiga.