Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Entra ID utilise les cookies d’accès et de session pour accéder aux applications locales via le proxy d’application. Découvrez comment configurer les paramètres de cookie du proxy d’application.
Que sont les paramètres de cookies ?
Le proxy d’application utilise les paramètres de cookie d’accès et de session suivants.
| Paramètre de cookie | Par défaut | Descriptif | Recommandations |
|---|---|---|---|
| Utiliser un cookie HTTPOnly | Non | Oui permet au proxy d’application d’inclure l’indicateur HTTPOnly dans les en-têtes de réponse HTTP. Cet indicateur offre des avantages supplémentaires en matière de sécurité. Par exemple, il empêche les scripts côté client (CSS) de copier ou de modifier les cookies. Avant, lorsque le paramètre HTTPOnly n’était pas pris en charge, le proxy d’application chiffrait et transmettait les cookies sur un canal TLS (Transport Layer Security) sécurisé pour empêcher les modifications. |
Utilisez Oui en raison des avantages de sécurité supplémentaires. Utilisez Non pour les clients ou les agents utilisateur qui nécessitent l’accès au cookie de session. Par exemple, utilisez Non pour Remote Desktop Protocol (RDP) ou Microsoft Terminal Services Client (MSTSC) qui se connecte à un serveur de passerelle de Bureau à distance via le proxy d'application. |
| Utiliser un cookie sécurisé | Oui | Oui permet au proxy d’application d’inclure l’indicateur sécurisé dans les en-têtes de réponse HTTP. Les cookies sécurisés renforcent la sécurité en transmettant les cookies sur un canal TLS sécurisé tel que HTTPS. TLS empêche la transmission des cookies en texte clair. | Utilisez Oui en raison des avantages de sécurité supplémentaires. |
| Utiliser un cookie persistant | Non | Oui permet au proxy d’application de définir ses cookies d’accès à ne pas expirer lorsque le navigateur web est fermé. La persistance dure jusqu’à l’expiration du jeton d’accès ou jusqu’à ce que l’utilisateur supprime manuellement les cookies persistants. | Utilisez Non en raison du risque de sécurité associé à la conservation des utilisateurs authentifiés. Utilisez Oui uniquement pour les applications plus anciennes qui ne peuvent pas partager les cookies entre les processus. Pour gérer le partage des cookies entre les processus, il est préférable de mettre votre application à jour plutôt que d’utiliser des cookies persistants. Par exemple, vous aurez peut-être besoin de cookies persistants pour permettre à un utilisateur d’ouvrir des documents Office en mode Explorateur à partir d’un site SharePoint. Sans les cookies persistants, cette opération peut échouer si les cookies d’accès ne sont pas partagés entre le navigateur, le processus de l’explorateur et le processus Office. |
Cookies SameSite
Les cookies qui ne spécifient pas l’attribut SameSite sont traités comme s’ils sont définis sur SameSite=Lax. L’attribut SameSite déclare la façon dont les cookies doivent être restreints à un contexte de site identique. Lorsqu’il est défini sur Lax, le cookie est uniquement envoyé à des requêtes du même site ou une navigation de niveau supérieur. Toutefois, le proxy d’application nécessite que ces cookies soient conservés dans le contexte tiers pour que les utilisateurs se connectent pendant leur session. En raison de cette exigence, des mises à jour ont été effectuées :
- La définition de l’attribut SameSite sur None garantit que les cookies de session de proxy d’application sont envoyés dans le contexte tiers.
- Définition du paramètre Utiliser le cookie sécurisé pour utiliser Oui comme valeur par défaut. Chrome rejette les cookies qui n’utilisent pas l’indicateur
Secure. Cette modification s’applique à toutes les applications existantes publiées via le proxy d’application. Les cookies d’accès au proxy de l’application sont définis sur « Sécurisé » et ne sont transmis que via HTTPS. Cette modification s’applique uniquement aux cookies de session.
De plus, si votre application back-end utilise des cookies qui nécessitent un contexte tiers, vous devez explicitement accepter cette modification en modifiant votre application pour qu’elle utilise SameSite=None. Le proxy d’application traduit l’en-tête Set-Cookie en URL et respecte les paramètres.
Définir les paramètres de cookie avec le Centre d’administration Microsoft Entra
Pour définir les paramètres des cookies à l’aide du centre d’administration Microsoft Entra :
- Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application au moins.
- Accédez à Entra ID>Applications d’entreprise>Proxy d’application.
- Sous Paramètres supplémentaires, définissez le paramètre de cookie sur Oui ou Non.
- Sélectionnez Enregistrer pour appliquer vos modifications.
Afficher les paramètres de cookie actuels avec PowerShell
Pour afficher les paramètres actuels en matière de cookie de l’application, utilisez cette commande PowerShell :
Get-MgBetaApplication -ApplicationId <Id> | FL *
Définir les paramètres de cookie avec PowerShell
Dans les commandes PowerShell suivantes, <Id> correspond à l’ID de l’application.
Http-Only cookie
Set-EntraBetaApplicationProxyApplication -ApplicationId <Id> -IsHttpOnlyCookieEnabled $true
Set-EntraBetaApplicationProxyApplication -ApplicationId <Id> -IsHttpOnlyCookieEnabled $false
Cookie sécurisé
Set-EntraBetaApplicationProxyApplication -ApplicationId <Id> -IsSecureCookieEnabled $true
Set-EntraBetaApplicationProxyApplication -ApplicationId <Id> -IsSecureCookieEnabled $false
Cookies persistants
Set-EntraBetaApplicationProxyApplication -ApplicationId <Id> -IsPersistentCookieEnabled $true
Set-EntraBetaApplicationProxyApplication -ApplicationId <Id> -IsPersistentCookieEnabled $false