Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Идентификатор Microsoft Entra использует файлы cookie доступа и сеанса для доступа к локальным приложениям через прокси-сервер приложений. Узнайте, как настроить параметры прокси-файла cookie приложения.
Что такое параметры файлов cookie
Прокси приложения использует следующие параметры доступа и файла cookie сеанса.
| Параметр файла cookie | По умолчанию. | Описание | Рекомендации |
|---|---|---|---|
| Использовать файл cookie, предназначенный только для HTTP | Нет |
Да , прокси приложения включает флаг HTTPOnly в заголовки ответа HTTP. Этот флаг обеспечивает дополнительные преимущества безопасности, например, предотвращает копирование или изменение файлов cookie на стороне клиента (CSS). До того как мы поддержали параметр "Только HTTP", прокси-сервер приложения шифровал и передавал файлы cookie через защищенный канал TLS для защиты от изменений. |
Используйте "Да " из-за дополнительных преимуществ безопасности. Используйте No для клиентов или пользовательских агентов, которым не требуется доступ к файлу cookie сеанса. Например, используйте Нет для протокола удаленного рабочего стола (RDP) или клиента служб терминалов Microsoft (MSTSC), который подключается к серверу шлюза удаленного рабочего стола через прокси-сервер приложения. |
| Использование безопасного файла cookie | Да | Да , прокси приложения позволяет включить флаг Secure в заголовки ответа HTTP. Защищенные файлы cookie повышают безопасность, передавая файлы через защищенный канал TLS, такой как HTTPS. TLS предотвращает передачу файлов cookie в виде ясного текста. | Используйте "Да " из-за дополнительных преимуществ безопасности. |
| Использовать постоянные файлы cookie | Нет | Да позволяет прокси-серверу приложения задать срок действия файлов cookie доступа, которые не истекают при закрытии веб-браузера. Сохраняемость длится до окончания срока действия маркера доступа, или пока пользователь вручную не удалит постоянные файлы cookie. | Используйте нет из-за риска безопасности, связанного с проверкой подлинности пользователей. Используйте да только для старых приложений, которые не могут совместно использовать файлы cookie между процессами. Лучше обновить приложение, чтобы настроить разделение файлов cookie между процессами, вместо использования постоянных файлов cookie. Например, вам могут потребоваться постоянные файлы cookie, чтобы разрешить открывать документы Office в представлении проводника с сайта SharePoint. Без постоянных файлов cookie эта операция может завершиться ошибкой, если файлы cookie не будут передаваться между браузером, процессом проводника и процессом Office. |
Файлы cookie SameSite
Файлы cookie, которые не указывают атрибут SameSite , обрабатываются так же, как если бы они были заданы как SameSite=Lax. Атрибут SameSite объявляет, как файлы cookie должны быть ограничены контекстом одного сайта. Если установлено значение Lax, файл cookie отправляется только в запросы с того же сайта или для навигации на верхнем уровне. Однако прокси приложения требует, чтобы эти файлы cookie сохранялись в стороннем контексте, чтобы пользователи вошли во время сеанса. В связи с требованием были сделаны обновления:
- При задании атрибута SameSite значение None гарантирует, что файлы cookie сессии приложения отправляются в контексте сторонней среды.
- Установка параметра "Безопасный файл cookie" для использования "Да " в качестве значения по умолчанию. Chrome отклоняет файлы cookie, которые не используют
Secureфлаг. Это изменение применяется ко всем существующим приложениям, опубликованным через прокси приложения. Файлы cookie доступа прокси приложения установлены как Secure и передаются только по протоколу HTTPS. Изменение применяется только к файлам cookie сеанса.
Кроме того, если в вашем серверном приложении есть файлы cookie, необходимые для стороннего контекста, необходимо явно согласиться на использование SameSite=None приложения. Прокси приложения преобразует Set-Cookie заголовок в URL-адреса и учитывает настройки.
Настройка параметров cookie в Центре администрирования Microsoft Entra
Чтобы задать параметры cookie с помощью Центра администрирования Microsoft Entra, выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.
- Перейдите к Entra ID>Корпоративные приложения>Прокси для приложения.
- В разделе "Дополнительные параметры" задайте для параметра cookie значение "Да " или "Нет".
- Нажмите кнопку "Сохранить", чтобы применить изменения.
Просмотр текущих параметров cookie с помощью PowerShell
Чтобы просмотреть текущие параметры cookie для приложения, используйте следующую команду PowerShell:
Get-MgBetaApplication -ApplicationId <Id> | FL *
Настройка параметров cookie с помощью PowerShell
В следующих командах PowerShell <Id> — это идентификатор приложения.
Файл cookieHttp-Only
Set-EntraBetaApplicationProxyApplication -ApplicationId <Id> -IsHttpOnlyCookieEnabled $true
Set-EntraBetaApplicationProxyApplication -ApplicationId <Id> -IsHttpOnlyCookieEnabled $false
Безопасный файл cookie
Set-EntraBetaApplicationProxyApplication -ApplicationId <Id> -IsSecureCookieEnabled $true
Set-EntraBetaApplicationProxyApplication -ApplicationId <Id> -IsSecureCookieEnabled $false
Постоянные файлы cookie
Set-EntraBetaApplicationProxyApplication -ApplicationId <Id> -IsPersistentCookieEnabled $true
Set-EntraBetaApplicationProxyApplication -ApplicationId <Id> -IsPersistentCookieEnabled $false