Office 365を利用している場合に、再認証が発生するタイミングを知りたい

Office 365とフェデレーションする環境にて、再認証が行われるタイミングは以下のとおりです。

【参考】

この情報は2020年02月28日現在のものです。Microsoft社の仕様変更により、変更される場合があります。

再認証が行われるタイミングは、以下の2つの要因で決定します。

  • Azure ADが発行するトークンの失効
  • IIJ IDサービスのセッションの失効

上記の2つが両方ともが満たされる場合に、ユーザにて再認証が発生します。

Azure ADが発行するトークンの失効

Azure ADのトークンが失効すると、IIJ IDサービスへの認証要求が発生します。

Azure ADのトークン有効期限については、「https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-configurable-token-lifetimes」をご覧ください。

【参考】

IIJ IDサービスからユーザをプロビジョニングしている場合、発行されるリフレッシュトークンは「Refresh Token Max Age(失効情報が不十分なフェデレーション ユーザーに発行)」です。これは、IIJ IDサービスがAzure ADに「LastPasswordChangeTimestamp属性」を同期しないためです。

IIJ IDサービスのセッションの失効

IIJ IDサービスがAzure ADから認証要求を受け取ったあと、IIJ IDサービスのセッションが失効している場合は再認証が発生します。

IIJ IDサービスのセッションの有効期限はID管理者が変更することができ、デフォルトは3時間です。設定方法については、「IIJ IDサービス オンラインマニュアル[管理者用]」の「 セッションの有効期限の変更 」をご覧ください。

なお、ブラウザやアプリケーションがIIJ IDサービスにセッションを送信しなかった場合も、再認証が発生します。

【参考】

  • セッション情報はクッキーとして保存されているため、ブラウザのクッキーを削除することで強制的に認証させることもできます。
  • Windows版のOfficeアプリではクッキーが保持されないため、Azure ADのトークンが失効すると毎回再認証が必要となります。IIJ IDサービスのセッション有効期限には影響しません。