Hogyan használja a tokent

Token és okoskártya használata a Hitelesítési ügynökkel

Mi az az elsődleges frissítési jogkivonat? What is a Primary Refresh Token? Ez a cikk részletesen ismerteti, hogyan történik a PRT kibocsátása, használata és védelme a Windows es eszközökön.

• Mobil token - Raiffeisen BANK
• - На это я прошу разрешения и у Совета, и у Компьютера. - Почему бы и .
• Opciós portfólió ára
• Lehet e pénzt keresni egy kereskedési roboton?
• Opció vanília

In this article, we will provide details on how a PRT is issued, hogyan használja a tokent, and protected on Windows 10 devices. Ez a cikk azt feltételezi, hogy már ismeri az Azure AD-ben elérhető különböző eszközök állapotát, valamint azt, hogy az egyszeri bejelentkezés hogyan működik a Windows 10 rendszerben.

This article assumes that you already understand the different device states available hogyan használja a tokent Azure AD and how single sign-on works in Windows Kulcsfontosságú terminológia és összetevőkKey terminology and components A következő Windows-összetevők kulcsszerepet játszanak a PRT igénylésében és használatában:The following Windows components play a key role in requesting and using a PRT: Felhőalapú hitelesítési szolgáltató CloudAP : a CloudAP a Windows-bejelentkezéshez használt modern hitelesítési szolgáltató, amely ellenőrzi, hogy a felhasználók Windows es eszközre jelentkeznek-e.

A CloudAP olyan beépülő modul-keretrendszert biztosít, amelyet az identitás-szolgáltatók az identitás-szolgáltató hitelesítő adatait használó Windows-hitelesítés engedélyezéséhez használhatnak. A WAM egy beépülő modul-keretrendszert is biztosít, amelyet az identitás-szolgáltatók építhetnek be, és lehetővé teszik az egyszeri bejelentkezést az adott identitás-szolgáltatóra támaszkodó alkalmazásaikban.

WAM also provides a plugin framework that identity providers can build on and enable SSO to their applications relying on that identity provider. Azure ad CloudAP beépülő modul: a CloudAP-keretrendszerre épülő Azure ad-specifikus beépülő modul, amely a felhasználói hitelesítő adatokat ellenőrzi az Azure ad-ben a Windows bejelentkezés során. Azure ad WAM beépülő modul: a WAM-keretrendszerre épülő Azure ad-specifikus beépülő modul, amely lehetővé teszi az egyszeri bejelentkezést az Azure ad-t használó alkalmazásokhoz a hitelesítéshez.

Dsreg: egy Azure ad-specifikus összetevő a Windows 10 rendszerben, amely az eszköz regisztrációs folyamatát kezeli az összes eszköz állapotára vonatkozóan. Dsreg: An Azure AD specific component on Windows 10, that handles the device registration process for all device states. Platformmegbízhatósági hogyan használja a tokent TPM : a TPM egy eszközbe épített hardver-összetevő, amely hardveres biztonsági funkciókat biztosít a felhasználók és az eszközök titkos kulcsaihoz.

További részletekért tekintse hogyan használja a tokent a következő cikket: platformmegbízhatósági modul Technology áttekintése. Mit tartalmaz a PRT? What does the PRT contain?

Emellett a PRT-ben bizonyos, az eszközre vonatkozó jogcímek is szerepelnek. In addition, there are some device-specific claims included in the PRT. Ezek a következők:They are as follows: Eszköz azonosítója: egy adott eszköz felhasználója számára kap egy PRT-t. Az eszköz-azonosító jogcím deviceID meghatározza azt az eszközt, amelyet a PRT a felhasználó számára adott ki.

Ezt a jogcímet később a PRT-n keresztül beszerzett jogkivonatoknak adják ki. This claim is later issued to tokens obtained via the PRT. Az eszköz-azonosító jogcím az eszköz állapotára vagy megfelelőségére vonatkozó feltételes hozzáférés engedélyezésének meghatározására szolgál.

The device ID claim is used to determine authorization for Conditional Access based on device state or compliance. Munkamenetkulcs: a munkamenetkulcs egy titkosított szimmetrikus kulcs, amelyet az Azure ad hitelesítési szolgáltatás generál, amelyet a PRT részeként állítottak ki. Session key: The session key is an encrypted symmetric key, generated by the Azure AD authentication service, issued as part of the PRT. A munkamenet-kulcs igazolja a tulajdonjogot, ha egy PRT-t használ a más alkalmazásokhoz tartozó jogkivonatok beszerzéséhez.

The session key acts as the proof of possession when a PRT is used to obtain tokens for other applications. Megtekinthetem a PRT-ket? A PRT egy olyan átlátszatlan blob, amely az Azure AD-ből származik, és a tartalmakat nem ismerik egyetlen ügyfél-összetevő sem.

A PRT-k belsejében nem látható.

1. Ему понадобилось всего десять минут, чтобы обнаружить, что они встречаются здесь не только из соображений симметрии - десять минут, должны были исчезнуть навсегда.
4. Villámhálózat hogyan lehet pénzt keresni
5. A kibocsátó lehetőségei
6. Carapet opciók

Hogyan lett kibocsátva a PRT? How is a PRT issued? Az eszköz regisztrációja az eszközön alapuló hitelesítés előfeltétele az Azure AD-ben. Device registration is a prerequisite for device based authentication in Azure AD. A PRT-ket csak regisztrált eszközökön adják ki a felhasználók számára. A PRT hogyan használja a tokent issued to users only on registered devices. További részletes információk az eszközök regisztrálásáról: a Windows Hello for Business és az eszközök regisztrációja.

For more in-depth details on device registration, see the article Windows Hello for Business and Device Registration. Ezek a kulcsok az eszköz állapotának ellenőrzéséhez használhatók a PRT-kérelmekben. These keys are used to validate the device state during PRT requests. A PRT-t a Windows es eszköz felhasználói hitelesítése során két forgatókönyvben adják ki:The PRT is issued during user authentication on a Windows 10 hogyan használja a tokent in two scenarios: Azure ad-hez csatlakoztatott vagy hibrid Azure ad-csatlakozás: a rendszer a Windows-bejelentkezés során kiállítja a PRT-t, amikor egy felhasználó bejelentkezik a szervezeti hitelesítő adataival.

Azure ad-beli regisztrált eszköz: a rendszer akkor bocsát ki egy PRT-t, amikor egy felhasználó másodlagos munkahelyi fiókot ad hozzá a Windows es eszközhöz. Megjegyzés a harmadik féltől származó identitás-szolgáltatóknak támogatnia kell az WS-Trust protokollt a PRT-kiadásoknak a Windows es eszközökön való engedélyezéséhez.

Az ADFS csak usernamemixed-végpontokra van szükség. On ADFS only usernamemixed endpoints are required. What is the lifetime of a PRT? A kiadást követően a PRT 14 napig érvényes, és folyamatosan megújul, amíg a felhasználó aktívan használja az eszközt. Once issued, a PRT is valid for 14 days and is continuously renewed as long as the user actively uses the device.

Hogyan használják a PRT-ket? Hogyan használja a tokent is a PRT used? Emellett gyorsítótárazza a PRT-t, hogy engedélyezze a gyorsítótárazott bejelentkezést, ha a felhasználó nem fér hozzá internetkapcsolathoz. It also caches the PRT to enable cached sign in when the user does not have access to an internet connection.

Emellett lehetővé teszi az egyszeri bejelentkezést a böngészőkben a PRT-nek a böngészőalapú kérelmekbe való beadásával. A Windows es böngésző egyszeri bejelentkezését a Microsoft Edge natív módon és a Chrome a Windows 10 fiókjain vagy az Office Online -bővítményeken keresztül támogatja. Hogyan újítják meg a PRT-ket?

Elsődleges frissítési jogkivonat (PRT) és Azure AD – Azure Active Directory | Microsoft Docs

How is a PRT renewed? Ha a felhasználó ebben az időszakban nem rendelkezik internetkapcsolattal, a CloudAP beépülő modul megújítja a PRT-t, miután az eszköz csatlakozik az internethez. If the user does not have internet connection during that time, CloudAP plugin will renew the PRT after the device is connected to the internet.

Azure ad WAM beépülő modul az alkalmazási jogkivonat-kérelmek során: a WAM beépülő modul lehetővé teszi az egyszeri bejelentkezést a Windows es eszközökön az alkalmazások csendes jogkivonat-kérelmének engedélyezésével. A WAM beépülő modul két különböző módon tudja megújítani a PRT-ket a következő jogkivonat-kérelmekben:The WAM plugin can renew the PRT during these token requests in two different ways: Egy alkalmazás a WAM-t csendes hozzáférési jogkivonatra kéri, de az alkalmazáshoz nem érhető el frissítési jogkivonat.

Ebben az esetben a WAM olyan interaktív bejelentkezést kezdeményez, amely megköveteli a felhasználótól, hogy ismételt hitelesítést végezzen, vagy további ellenőrzéseket nyújtson, és egy új PRT-t állítanak ki sikeres hitelesítéssel. In this scenario, WAM initiates an interactive logon requiring the user to reauthenticate or provide additional verification and a new PRT is issued on successful authentication.

A jelszó-hitelesítéshez a Windows átviteli végpontok csak akkor szükségesek, ha a jelszó módosul, és nem a PRT megújításához. Windows transport endpoints are required for password authentication only when hogyan használja a tokent password is changed, not for PRT renewal.

Fő szempontokKey considerations A PRT-t csak a natív alkalmazás hitelesítése során kell kiállítani és megújítani. A PRT is only issued and renewed during native app authentication. Egy PRT-t nem újítanak meg vagy állítanak ki egy böngésző-munkamenet során.

A PRT is hogyan használja a tokent renewed or issued during a browser session. Hogyan történik a PRT védelme?

+ Letöltés

How is the PRT protected? A PRT-t a felhasználó által a szolgáltatásba bejelentkezett eszközhöz kötéssel védi. A PRT is protected by binding it to the device the user has signed in to. Az Azure AD és a Windows 10 a következő módszerekkel teszi lehetővé a PRT-védelmet:Azure AD and Windows 10 enable PRT protection through the following methods: Az első bejelentkezés során: az első bejelentkezéskor a rendszer a PRT-ket az eszköz regisztrálása során kriptográfiailag generált kulcs használatával állítja ki.

During first sign in: During first sign in, a PRT is issued by signing requests using the device key cryptographically generated during device registration. Egy érvényes és működő TPM-mel rendelkező eszközön a TPM védi az eszköz kulcsát, ami megakadályozza a kártékony hozzáférést.

A rendszer nem bocsát ki egy PRT-t, ha a megfelelő eszköz kulcsának aláírása nem érvényesíthető. A PRT is not issued if the corresponding device key signature cannot be validated. A jogkivonat-kérelmek és a megújítás során: Ha egy PRT-t bocsát ki, az Azure ad egy titkosított munkamenetkulcsot is kiad az eszközhöz. Az eszköz regisztrációjának részeként a rendszer az Azure AD-ben generált és eljuttatott nyilvános átviteli kulccsal tkpub titkosítja.

It is encrypted with the public transport key tkpub generated and hogyan használja a tokent to Azure AD as part of device registration.

Ezt a munkamenetkulcsot csak a TPM által védett privát átviteli kulccsal tkpriv lehet visszafejteni. This session key can only be decrypted by the private transport key tkpriv secured by the TPM.

A munkamenet-kulcsot a TPM is védi, és más operációs rendszer-összetevő sem fér hozzá. A jogkivonat-kérelmeket vagy a PRT-megújítási kérelmeket a TPM-en keresztül biztonságosan aláírja a rendszer, ezért nem lehet illetéktelenül módosítani. Token requests or PRT renewal requests are securely signed by this session key through the TPM and hence, cannot be tampered with.

Az Azure AD érvényteleníti az eszközről érkező olyan kéréseket, amelyeket nem a megfelelő munkamenetkulcs írta alá.

Azure AD will invalidate any requests from the device that are not signed by the corresponding session key. A kulcsoknak a TPM-mel migesco bináris opciók hivatalos webhely biztonságossá tételével a rosszindulatú szereplők nem tudják ellopni és visszajátszani a PRT-ket, mivel a TPM nem érhető el, még akkor is, ha egy támadó fizikailag is rendelkezik az eszközön. By securing these keys with the TPM, malicious actors cannot steal the keys nor replay the PRT elsewhere as the TPM is inaccessible even if an attacker has physical possession of the device.

A teljesítmény és a megbízhatóság érdekében a TPM 2,0 a Windows 10 összes Azure AD-eszköz regisztrációs forgatókönyvének ajánlott verziója. For performance and reliability, TPM 2. Hogyan védi az alkalmazás-jogkivonatokat és a böngésző cookie-jait?

Mobil Token Használja az internetbanki és mobilalkalmazási szolgáltatás szoftveres hitelesítési módját- a Mobil-tokent.

How are app tokens and browser cookies protected? Alkalmazás-jogkivonatok: Ha egy alkalmazás a WAM-n keresztül kér jogkivonatot, az Azure ad egy frissítési tokent és egy hozzáférési jogkivonatot bocsát kiApp tokens: When an app requests token through WAM, Azure AD issues a refresh token and an access token.

A WAM azonban csak az alkalmazás hozzáférési jogkivonatát adja vissza, és a gyorsítótárban lévő frissítési tokent a felhasználó adatvédelmi alkalmazásprogramozási felületének DPAPI kulcsával titkosítja.

Token és okoskártya használata a Hitelesítési ügynökkel A titkosított merevlemezekhez való hozzáféréshez token vagy okoskártya is használható. Ehhez a token vagy okoskártya elektronikus tanúsítványának fájlját meg kell adni a Hitelesítési ügynök-fiók létrehozására szolgáló parancsban. Akkor lehet tokent vagy okoskártyát használni, ha a számítógép merevlemezeit az AES titkosítási algoritmus titkosította.

A WAM biztonságosan használja a frissítési tokent, ha a munkamenet-kulccsal aláírja a kérelmeket a további hozzáférési tokenek kijavításához. WAM securely uses the refresh token by signing requests with the session key to issue further access tokens. Ez a funkció biztosítja a frissítési tokenek védelmének egységességét, és elkerüli a saját védelmi mechanizmusait megvalósító alkalmazásokat. This functionality ensures consistency in securing refresh tokens and avoids applications implementing their own protection mechanisms.

Böngészőbeli cookie-k: a Windows es verzióban az Azure ad támogatja a böngésző egyszeri bejelentkezését az Internet Explorerben és a Microsoft Edge-ben a Windows es fiókok bővítmény használatával, a Google Chrome-ban. A biztonsági rendszer nem csak a cookie-k védelmére, hanem a cookie-k elküldésekor használt végpontokra is épül.

The security is built not only to protect the cookies but also the endpoints to which the cookies are sent. A böngésző cookie-jai ugyanúgy vannak védve, mint a PRT-k, a munkamenet-kulcs használatával aláírhatja és megvédheti a cookie-kat.

Token használata HTML linkben | pcmagicnet.hu

Browser cookies are protected the same way a PRT is, by utilizing the session key to sign and protect the cookies. Amikor a felhasználó egy böngészőbeli interakciót kezdeményez, a böngésző vagy bővítmény egy COM natív ügyfél-gazdagépet hív meg. When a user initiates a browser interaction, the browser or extension invokes a COM native client host. A natív ügyfél gazdagépe biztosítja, hogy a lap az egyik engedélyezett tartományból származik.

The native client host ensures that the page is from one of the allowed domains. A böngésző más paramétereket is küldhet a natív ügyfél-gazdagép számára, beleértve az egymást megnyitó gazdagépet is, de a natív ügyfél gazdagépe garantálja az állomásnév érvényesítését. The browser could send other parameters to the native client host, including a nonce, however the native client host guarantees validation of the hostname.

Mivel a PRT-cookie-t a munkamenetkulcs aláírja, az nem módosítható.

Microsoft Project - Full Tutorial for Beginners in 13 MINUTES!

As the PRT-cookie is signed by the session key, it cannot be tampered with. Ha a Chrome böngészőt használja, csak a natív ügyfél-gazdagép jegyzékfájljában explicit módon meghatározott bővítmény hivatkozhat arra, hogy tetszőleges kiterjesztéseket hozzon a kérelmekbe. Ez a munkamenet-cookie a PRT-vel kiadott azonos munkamenetkulcs-kulcsot is tartalmazza. This session cookie hogyan használja a tokent contains the robotok általi kereskedelem a piacon session key issued with a PRT.

A későbbi kérések során a rendszer ellenőrzi, hogy a munkamenetkulcs valóban a cookie-t az eszközhöz köti-e, és megakadályozza a többitől való visszajátszást. During subsequent requests, the session key is validated effectively binding the cookie to the device and preventing replays from elsewhere. Ez a funkció zökkenőmentes felhasználói élményt nyújt a felhasználóknak azáltal, hogy megakadályozza az MFA-kihívásokat minden olyan alkalmazáshoz, amelyhez szükséges.

This functionality provides a seamless experience to users by preventing MFA challenge for every app that requires it. Sign in with Windows Hello for Business: Windows Hello for Business replaces passwords and uses cryptographic keys to provide strong two-factor authentication.

Ez a forgatókönyv hogyan használja a tokent intelligens kártyákkal bejelentkező felhasználókra is vonatkozik, ha az intelligens kártya hitelesítése MFA-jogcímet hoz létre az ADFS-től. Ebben az esetben az MFA-jogcím nem frissül folyamatosan, így az MFA időtartama a címtárban beállított élettartamon alapul.

In this case, the MFA claim is not updated continuously, so the MFA duration is based on the lifetime set on the directory. MFA az eszköz regisztrálása során: Ha egy rendszergazda konfigurálta az eszköz beállításait az Azure ad-ben, hogy a többtényezős hitelesítés megkövetelése az eszközök regisztrálásáhoza felhasználónak MFA-t kell tennie a regisztráció befejezéséhez. Ez a funkció csak az összekapcsolási műveletet végző felhasználóra vonatkozik, nem pedig az adott eszközre bejelentkező többi felhasználóra.

Visszajelzés

This capability only applies to the user who did the join operation, not to other users who sign in to that device. A Windows 10 minden hitelesítő adathoz megtartja hogyan használja a tokent PRT-ket tartalmazó particionált listát.

Windows 10 maintains a partitioned list of PRTs for each credential. Ez a particionálás biztosítja, hogy az MFA-jogcímek elkülönítése a használt hitelesítő adatok alapján történjen, és ne legyen összekeverve a jogkivonat-kérelmekben. This partitioning ensures that MFA claims are isolated based on the credential gyorsan keresni a hálózatokat, and not mixed up during token requests.

Hogyan lett érvénytelenítve a PRT? How is a PRT invalidated? A PRT-t a következő esetekben érvényteleníti a rendszer:A PRT is invalidated in the following scenarios: Érvénytelen felhasználó: Ha egy felhasználót törölnek vagy letiltanak az Azure ad-ben, a PRT érvénytelenné válik, és nem használható jogkivonatok beszerzésére az alkalmazások számára.

Invalid user: If a user is deleted or disabled in Azure AD, their PRT is invalidated and cannot be used to obtain tokens for applications. Ha egy törölt vagy letiltott felhasználó már be van jelentkezve egy eszközre, a gyorsítótárazott bejelentkezés a következő helyre fog bejelentkezni, amíg a CloudAP nem ismeri a érvénytelen állapotot.

If a deleted or disabled user already signed in to a device before, cached sign-in would log them in, until CloudAP is aware of their invalid state. Miután a CloudAP megállapítja, hogy a felhasználó érvénytelen, blokkolja a további bejelentkezéseket.