AADにより発行される各種トークンを端末から削除する方法
AADの認証試験をするときに、そもそもどのトークンで認証されているかわからなくなり、試験が正しくできない可能性があるため、トークンがない状態にする方法を確認してみた。
質問
・端末はwindows 10/11を想定しています。
・AADにおけるSSOの動作を確認するために、前提として端末にトークンがない状態にする必要があります。(どのトークンが作用してSSOが実現できているか明確にするため)
・トークンとしては、SAML関係のトークン、OpenID関係のトークン、PRTトークンがあると思いますが、端末からそれぞれのトークンを端末から削除する方法を教えてください。
https://jpazureid.github.io/blog/azure-active-directory/token-lifetime-2023/
・また、削除した後、端末に各種トークンが保持されていないことを確認する方法を教えてください。
回答
ご教示いただきましたアプリについて、M365 アプリ、Web アプリのどちらもクライアントと Azure AD 間の認証については、利用可能な PRT がある場合には、PRT を利用されることが想定されます。
その際、PRT が利用されている場合には、サインイン ログの詳細画面、[デバイス情報] タブにデバイス ID が記録され、確認することができます。
PRT については、デバイスが Hybrid Azure AD 参加など構成済みの場合には、定期的にPRT が更新されますため、デバイスでプロファイルを再作成していただくことで、PRT がない状態とすることができるかと存じます。
以下のコマンドの実行結果で [AzureAdPrt : NO] となっている場合は、PRT が取得できていないことになります。
dsregcmd /status
追加の質問
> デバイスでプロファイルを再作成していただくことで,、PRT がない状態とすることができるかと存じます。
端末はAAD参加となります。
デバイスでプロファイルを再作成とはどのような作業を具体的に言われておりますでしょうか。
また、samlトークン、OpenIDコネクトのトークン削除方法もご教示いただけますでしょうか。
回答
プロファイルは、該当のデバイスで新しくユーザー アカウントを作成していただき、そのユーザー アカウントでWindows へサインインした際に作成されます。
この状態であれば、PRT がない状態となります。
また、SAML トークン、ID トークンについても回答いたします。
・SAML トークン
SAML トークンは Azure AD がブラウザーを介して、連携しているアプリケーションに送信します。
アプリケーションが受け取った後は認証時に SAML トークンを検証しますが、保存するかはアプリの実装次第でございます。
認証の仕組み上ブラウザーは一時的に SAML トークンを受けとりますが、一般的に SAML トークンを保存することは無く、連携アプリに送信されます。
・ID トークン
こちらも同様に連携しているアプリケーションに送信し、保存するかどうかはアプリの実装次第でございます。