Azure AD n'invalide pas le jeton d'accès/actualisation si l'utilisateur est verrouillé

Question

Nous implémentons Azure AD dans une application mobile utilisant des bibliothèques ADAL. Compte tenu de ce scénario:

l'utilisateur s'est connecté à l'application et dispose de jetons d'accès et d'actualisation valides. L'utilisateur ne se déconnecte pas et d'une autre application - disons Outlook, l'utilisateur saisit le mot de passe plusieurs fois de manière incorrecte afin que le compte soit verrouillé. Publiez cela, revenez à l'application et nous constatons que les jetons d'accès et d'actualisation sont toujours valides et que l'utilisateur peut effectuer toutes les opérations constituant une violation de la sécurité. Idéalement, lorsque le compte de l'utilisateur est verrouillé, il doit invalider l'accès et actualiser les jetons. Comment faire fonctionner cela correctement.

Answer 1

Le jeton d'accès/jeton d'accès sera disponible pendant la durée de vie du jeton. Déconnectez l'application Web et bloquez le compte ne révoquera pas le jeton.

Actuellement Azure Active Directory ne prend pas en charge ou ne fournit pas un point de terminaison pour une application pour révoquer les jetons d'accès/d'actualisation.

Vous pouvez en savoir plus sur configurable token lifetimes in Azure Active Directory pour vérifier les politiques sur la durée de vie des jetons et ajuster cette base à vos besoins.