Požadavky na protokol TLS a šifrovací sadu Azure Active Directory B2C

Azure Active Directory B2C (Azure AD B2C) se připojuje k vašim koncovým bodům prostřednictvím konektorů rozhraní API a zprostředkovatelů identity v rámci toků uživatelů. Tento článek popisuje požadavky na protokol TLS a šifrovací sadu pro vaše koncové body.

Koncové body nakonfigurované s konektory rozhraní API a zprostředkovateli identity musí být publikované na veřejně přístupném identifikátoru URI HTTPS. Před navázáním zabezpečeného připojení ke koncovému bodu se protokol a šifra vyjednávají mezi Azure AD B2C a koncovým bodem na základě možností obou stran připojení.

Azure AD B2C se musí umět připojit ke koncovým bodům pomocí protokolu TLS (Transport Layer Security) a šifrovacích sad, jak je popsáno v tomto článku.

Verze protokolu TLS

TLS verze 1.2 je kryptografický protokol, který poskytuje ověřování a šifrování dat mezi servery a klienty. Váš koncový bod musí podporovat zabezpečenou komunikaci přes protokol TLS verze 1.2. Starší verze protokolu TLS 1.0 a 1.1 jsou zastaralé.

Šifrovací sady

Šifrovací sady jsou sady kryptografických algoritmů. Poskytují základní informace o tom, jak bezpečně komunikovat data při použití protokolu HTTPS prostřednictvím protokolu TLS.

Váš koncový bod musí podporovat alespoň jednu z následujících šifer:

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Koncové body v oboru

Následující koncové body používané ve vašem prostředí Azure AD B2C musí splňovat požadavky popsané v tomto článku:

• Konektory rozhraní API
• OAuth1
  • Koncový bod tokenu
  • Koncový bod informace o uživateli
• Zprostředkovatelé identity OAuth2 a OpenId Connect
  • Koncový bod zjišťování OpenId Connect
  • Koncový bod JWKS OpenId Connect
  • Koncový bod tokenu
  • Koncový bod informace o uživateli
• Tip tokenu ID
  • Koncový bod zjišťování OpenId Connect
  • Koncový bod JWKS OpenId Connect
• Koncový bod metadat zprostředkovatele identity SAML
• Koncový bod metadat poskytovatele služby SAML

Kontrola kompatibility koncového bodu

Pokud chcete ověřit, že vaše koncové body splňují požadavky popsané v tomto článku, proveďte test pomocí nástroje pro šifru a skener TLS. Otestujte koncový bod pomocí SSLLABS.

Další kroky

Projděte si také následující články:

• Řešení potíží s aplikacemi, které nepodporují TLS 1.2
• Šifrovací sady v TLS/SSL (zprostředkovatel zabezpečení Schannel)
• Povolení protokolu TLS 1.2
• Řešení problému s protokolem TLS 1.0