Definice souborů cookie pro Azure AD B2C
Následující části obsahují informace o souborech cookie používaných v Azure Active Directory B2C (Azure AD B2C).
SameSite
Služba Azure B2C je kompatibilní s konfiguracemi prohlížeče SameSite, včetně podpory pro SameSite=None atribut Secure .
Aby bylo možné zabezpečit přístup k webům, webové prohlížeče zavádějí nový model zabezpečených ve výchozím nastavení, který předpokládá, že všechny soubory cookie by měly být chráněny před externím přístupem, pokud neurčíte jinak. Prohlížeč Chrome je první, co tuto změnu implementuje, počínaje Chromem 80 v únoru 2020. Další informace o přípravě na změnu v Chromu najdete v tématu Vývojáři: Příprava na nový SameSite=None; Zabezpečené nastavení souborů cookie na blogu Chromium.
Vývojáři musí použít nové nastavení souborů cookie , SameSite=Nonek určení souborů cookie pro přístup mezi weby. SameSite=None Pokud je atribut k dispozici, je nutné použít další Secure atribut, aby k souborům cookie mezi weby bylo možné přistupovat pouze přes připojení HTTPS. Ověřte a otestujte všechny aplikace, včetně těch aplikací, které používají Azure AD B2C.
Další informace naleznete v tématu:
- Zpracování změn souborů cookie SameSite v prohlížeči Chrome
- Dopad na weby zákazníků a služby a produkty Microsoftu v prohlížeči Chrome verze 80 nebo novější
Soubory cookie
Následující tabulka uvádí soubory cookie používané v Azure AD B2C.
| Název | Doména | Vypršení platnosti | Účel |
|---|---|---|---|
x-ms-cpim-admin |
main.b2cadmin.ext.azure.com | Konec relace prohlížeče | Uchovává data členství uživatelů napříč tenanty. Tenanti, kteří je uživatelem, je členem a úrovní členství (správce nebo uživatel). |
x-ms-cpim-slice |
b2clogin.com, login.microsoftonline.com, branded domain | Konec relace prohlížeče | Používá se ke směrování požadavků do příslušné produkční instance. |
x-ms-cpim-trans |
b2clogin.com, login.microsoftonline.com, branded domain | Konec relace prohlížeče | Používá se ke sledování transakcí (počet žádostí o ověření do Azure AD B2C) a aktuální transakce. |
x-ms-cpim-sso:{Id} |
b2clogin.com, login.microsoftonline.com, branded domain | Konec relace prohlížeče | Používá se k udržování relace SSO. Tento soubor cookie je nastaven jako persistent, pokud je povoleno zůstat přihlášeni . |
x-ms-cpim-cache:{id}_n |
b2clogin.com, login.microsoftonline.com, branded domain | Konec relace prohlížeče, úspěšné ověření | Používá se pro udržování stavu žádosti. |
x-ms-cpim-csrf |
b2clogin.com, login.microsoftonline.com, branded domain | Konec relace prohlížeče | Token forgery mezi weby používaný pro ochranu CRSF. Další informace najdete v části tokenu typu forgery požadavku mezi weby . |
x-ms-cpim-dc |
b2clogin.com, login.microsoftonline.com, branded domain | Konec relace prohlížeče | Používá se pro směrování sítě Azure AD B2C. |
x-ms-cpim-ctx |
b2clogin.com, login.microsoftonline.com, branded domain | Konec relace prohlížeče | Kontext |
x-ms-cpim-rp |
b2clogin.com, login.microsoftonline.com, branded domain | Konec relace prohlížeče | Používá se k ukládání dat členství pro tenanta poskytovatele prostředků. |
x-ms-cpim-rc |
b2clogin.com, login.microsoftonline.com, branded domain | Konec relace prohlížeče | Používá se k ukládání reléového souboru cookie. |
x-ms-cpim-geo |
b2clogin.com, login.microsoftonline.com, branded domain | 1 hodina | Používá se jako nápověda k určení domovské geografické polohy tenantů prostředků. |
Token forgery požadavku mezi weby
Aby se zabránilo útokům CSRF (Cross Site Request Forgery), použije Azure AD B2C mechanismus strategie tokenů synchronizátoru. Další podrobnosti o tomto vzoru najdete v článku Prevence padělání žádostí mezi weby.
Azure AD B2C vygeneruje token synchronizátoru a přidá ho na dvě místa; v souboru cookie označeném x-ms-cpim-csrfa parametr řetězce dotazu pojmenovaný csrf_token v adrese URL stránky odeslané do Azure AD B2C. Vzhledem k tomu, že služba Azure AD B2C zpracovává příchozí požadavky z prohlížeče, potvrzuje, že existuje řetězec dotazu i verze souboru cookie tokenu a že přesně odpovídají. Ověřuje také prvky obsahu tokenu, aby potvrdily očekávané hodnoty probíhajícího ověřování.
Například na přihlašovací stránce nebo na přihlašovací stránce uživatel vybere odkazy "Zapomenuté heslo" nebo "Zaregistrovat se", prohlížeč odešle požadavek GET do Azure AD B2C, aby mohl načíst obsah další stránky. Požadavek na načtení obsahu Azure AD B2C se navíc rozhodne odeslat a ověřit token synchronizátoru jako další vrstvu ochrany, aby se zajistilo, že požadavek na načtení stránky byl výsledkem probíhajícího ověřování.
Token synchronizátoru je přihlašovací údaje, které uživatele neidentifikují, ale jsou svázané s aktivní jedinečnou ověřovací relací.