ブラウザを利用してEntraログインした際に、別種類のブラウザでEntraログインページにアクセスした際、再度認証は求められるのか?
主催していた勉強会で質問いただいたので、こちらでも回答記載させていただきます。
前提
- デバイスには、Entraに関する認証情報(各種トークン)が存在していない
シナリオ
- ①デバイスにて、Edgeブラウザを利用して、M365ログインサイト(https://www.microsoft365.com)にアクセスし、「サインイン」をクリック
- ②Entraユーザアカウント、パスワードを入力し、サインインする(必要に応じて多要素認証も実施)
- ③同デバイスいて、Chromeブラウザを利用して、M365ログインサイト(https://www.microsoft365.com)にアクセスし、「サインイン」をクリック
③において、再度Entraユーザアカウント、パスワード入力(Entraでの認証)は必要となるか?
異なるブラウザ間で認証情報は共有されない
③において、再度Entraユーザアカウント、パスワード入力(Entraでの認証)は必要となります。
ブラウザのセッション情報はCookieに記録され、異なるブラウザ間では連携がおこなわれません。
以下の、MS社サイトの「セッショントークン」が該当します。
Azure AD が発行するトークンの有効期間と考え方 (2023 年版) | Japan Azure Identity Support Blog
永続的なセッショントークンでも異なるブラウザ間で認証情報は共有されない
Cookie(セッショントークンの実態) は永続/非永続いずれもブラウザごとに管理され、保存された Cookie をブラウザ間で連携することはできません。
たとえば、Edge における Cookie のローカル ファイルへの保存先は以下となります。
※ 以下の保存先にあるファイルはユーザーによる参照や編集、削除などを想定しておりませんので、あくまで保存場所の参考情報として認識ください。
%LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Network
永続的なセッションの Cookie は、有効期限付きの Cookie として保存されます。
一方、非永続的なセッションの Cookie は有効期間が設定されずに保存され、ブラウザを閉じたときに破棄される動作となります。(セッション Cookie と呼ばれます)
Title:クッキーとは?セッションと永続の違いは何ですか。 – Cisco (外部サイト)
ーーーーーーーーーーーーーーーーーーーーーーーーーーー
Cookie には、セッション Cookie と永続的な Cookie の 2 種類があります。Cookie に期限日が含まれていない場合は、セッション Cookie と見なされます。セッション Cookie はメモリに保存されますが、ディスクに書き込まれることはありません。ブラウザが閉じると、クッキーはこの時点から永久に失われます。クッキーに有効期限が含まれている場合、永続クッキーと見なされます。期限で指定された日付に、Cookie はディスクから削除されます。