Microsoft 365を利用している場合に、再認証が発生するタイミングを知りたい
Microsoft 365(現 Microsoft 365サービス)とフェデレーションする環境にて、再認証が行われるタイミングは以下のとおりです。
【参考】
この情報は2020年02月28日現在のものです。Microsoft社の仕様変更により、変更される場合があります。
再認証が行われるタイミングは、以下の2つの要因で決定します。
- Microsoft 365 サービスのセッション、もしくはAzure ADが発行するトークンの失効
- IIJ IDサービスのセッションの失効
上記の2つが両方ともが満たされる場合に、ユーザにて再認証が発生します。
Microsoft 365サービスのセッション、もしくはAzure ADが発行するトークンの失効
Microsoft 365 サービスのセッション、もしくはAzure ADのトークンが失効すると、IIJ IDサービスへの認証要求が発生します。
Microsoft 365 サービスのセッションについては、「Microsoft 365 のセッションタイムアウト」をご覧ください。
Azure ADのトークン有効期限については、「https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-configurable-token-lifetimes」をご覧ください。
【参考】
IIJ IDサービスからユーザをプロビジョニングしている場合、発行されるリフレッシュトークンは「Refresh Token Max Age(失効情報が不十分なフェデレーション ユーザーに発行)」です。これは、IIJ IDサービスがAzure ADに「LastPasswordChangeTimestamp属性」を同期しないためです。
「https://docs.microsoft.com/en-us/troubleshoot/azure/active-directory/federated-users-forced-sign-in(英語)」
IIJ IDサービスのセッションの失効
IIJ IDサービスがAzure ADから認証要求を受け取ったあと、IIJ IDサービスのセッションが失効している場合は再認証が発生します。
IIJ IDサービスのセッションの有効期限はID管理者が変更することができ、デフォルトは3時間です。設定方法については、「IIJ IDサービス オンラインマニュアル[管理者用]」の「 セッションの有効期限の変更 」をご覧ください。
なお、ブラウザやアプリケーションがIIJ IDサービスにセッションを送信しなかった場合も、再認証が発生します。
【参考】
- セッション情報はクッキーとして保存されているため、ブラウザのクッキーを削除することで強制的に認証させることもできます。
- Windows版のOfficeアプリではクッキーが保持されないため、Azure ADのトークンが失効すると毎回再認証が必要となります。IIJ IDサービスのセッション有効期限には影響しません。