問題
當您存取 Microsoft 365 或 Google Workspace 等與 Access Control 串接的服務供應商(以下簡稱 SP)時,有時會發現未顯示登入畫面(驗證畫面)而直接登入。
請問在什麼條件下會跳過驗證?其運作機制為何?
另外,請問如何再次要求驗證(強制中斷工作階段狀態)?
回答
當使用者存取 SP 時未顯示驗證畫面,可能是因為 SP 端的驗證工作階段狀態仍被保留。
若您所使用的瀏覽器或應用程式保留了 SP 端的驗證工作階段狀態,則不會向 IdP 發出驗證要求。
因此,如下圖所示,使用者將不會經過 Access Control 的驗證處理或登入條件判斷,而可直接存取服務。
SP 端的工作階段狀態保留時間會依各服務而異。
例如,Microsoft / Google 官方有以下相關說明文章:
部分 SP 可於 Access Control 的外部服務連結設定中,設定「工作階段狀態有效時間」來調整 SP 端的工作階段狀態保留時間。
※ 請注意,有些 SP 會優先採用其自身設定的工作階段狀態有效期限,而不參考 Access Control 所設定的「工作階段狀態有效時間」。
強制中斷各服務的工作階段狀態的方法
Microsoft 365 的情況
- 變更使用者密碼
您需於管理介面重設密碼、使用 PowerShell 變更密碼,或透過 Azure AD Connect 從 AD 變更密碼。 - 使用 PowerShell 強制中斷工作階段狀態
詳細資訊請參考以下文章。可針對單一使用者或全部使用者操作。
中斷 Azure AD 現代驗證 - 透過 Microsoft 365 管理中心強制登出
詳細資訊請參考以下文章。可針對單一使用者操作。
重設密碼並從全部工作階段狀態登出(外部網站)
Google Workspace 的情況
- 變更使用者密碼
詳細資訊請參考以下文章。可針對單一使用者或批次操作。
中斷 Google Workspace 驗證 - 重設使用者的登入 Cookie
僅能針對單一使用者重設。詳細資訊請參考下方 Google 官方文章。
封鎖遺失裝置對 Google 服務的存取(外部連結)
上述操作可能因 SP 端規格變更而有所調整。
參考資訊
[Access Control] 想了解外部服務連結設定的「工作階段狀態有效時間」與「Cookie 保留時間」的關係
[Access Control] 為什麼在外部服務連結設定中經常被要求重複登入(頻繁要求驗證)