Definizioni di cookie per Azure AD B2C
Le sezioni seguenti forniscono informazioni sui cookie usati in Azure Active Directory B2C (Azure AD B2C).
SameSite
Il servizio Azure B2C è compatibile con le configurazioni del browser SameSite, incluso il supporto per SameSite=None con l'attributo Secure .
Per proteggere l'accesso ai siti, i Web browser introducono un nuovo modello sicuro per impostazione predefinita che presuppone che tutti i cookie siano protetti dall'accesso esterno, a meno che non diversamente specificato. Il browser Chrome è il primo a implementare questa modifica, a partire da Chrome 80 a febbraio 2020. Per altre informazioni sulla preparazione della modifica in Chrome, vedere Developers: Get Ready for New SameSite=None; Proteggere le impostazioni dei cookie nel blog di Chromium.
Gli sviluppatori devono usare la nuova impostazione di cookie, SameSite=None, per designare i cookie per l'accesso tra siti. Quando l'attributo SameSite=None è presente, è necessario usare un attributo aggiuntivo Secure in modo che i cookie tra siti possano essere accessibili solo tramite connessioni HTTPS. Convalidare e testare tutte le applicazioni, incluse quelle che usano Azure AD B2C.
Per altre informazioni, vedi:
- Gestire le modifiche dei cookie SameSite nel browser Chrome
- Effetto sui siti Web dei clienti e sui servizi e prodotti Microsoft in Chrome versione 80 o successiva
Cookie
La tabella seguente elenca i cookie usati in Azure AD B2C.
| Nome | Dominio | Scadenza | Scopo |
|---|---|---|---|
x-ms-cpim-admin |
main.b2cadmin.ext.azure.com | Fine della sessione del browser | Contiene i dati di appartenenza dell'utente tra tenant. I tenant di un utente sono membri di e livello di appartenenza (amministratore o utente). |
x-ms-cpim-slice |
b2clogin.com, login.microsoftonline.com, dominio con marchio | Fine della sessione del browser | Usato per instradare le richieste all'istanza di produzione appropriata. |
x-ms-cpim-trans |
b2clogin.com, login.microsoftonline.com, dominio con marchio | Fine della sessione del browser | Usato per tenere traccia delle transazioni (numero di richieste di autenticazione ad Azure AD B2C) e della transazione corrente. |
x-ms-cpim-sso:{Id} |
b2clogin.com, login.microsoftonline.com, dominio con marchio | Fine della sessione del browser | Utilizzato per mantenere la sessione SSO. Questo cookie viene impostato su persistent, quando l'opzione Mantieni l'accesso è abilitata. |
x-ms-cpim-cache:{id}_n |
b2clogin.com, login.microsoftonline.com, dominio con marchio | Fine della sessione del browser, autenticazione riuscita | Utilizzato per mantenere lo stato della richiesta. |
x-ms-cpim-csrf |
b2clogin.com, login.microsoftonline.com, dominio con marchio | Fine della sessione del browser | Token Forgery di richiesta intersito usato per la protezione CRSF. Per altre informazioni, vedere la sezione Token di richiesta cross-site forgery . |
x-ms-cpim-dc |
b2clogin.com, login.microsoftonline.com, dominio con marchio | Fine della sessione del browser | Usato per il routing di rete di Azure AD B2C. |
x-ms-cpim-ctx |
b2clogin.com, login.microsoftonline.com, dominio con marchio | Fine della sessione del browser | Contesto |
x-ms-cpim-rp |
b2clogin.com, login.microsoftonline.com, dominio con marchio | Fine della sessione del browser | Usato per archiviare i dati di appartenenza per il tenant del provider di risorse. |
x-ms-cpim-rc |
b2clogin.com, login.microsoftonline.com, dominio con marchio | Fine della sessione del browser | Usato per archiviare il cookie di inoltro. |
x-ms-cpim-geo |
b2clogin.com, login.microsoftonline.com, dominio con marchio | 1 ora | Usato come suggerimento per determinare la posizione geografica dei tenant delle risorse. |
Token di richiesta intersito falso
Per evitare attacchi CSRF (Cross Site Request Forgery), Azure AD B2C applica il meccanismo di strategia del token di sincronizzazione. Per altri dettagli su questo modello, vedere l'articolo Prevenzione della richiesta intersito.
Azure AD B2C genera un token del programma di sincronizzazione e lo aggiunge in due posizioni; in un cookie con x-ms-cpim-csrfetichetta e un parametro di stringa di query denominato csrf_token nell'URL della pagina inviata ad Azure AD B2C. Poiché il servizio Azure AD B2C elabora le richieste in ingresso dal browser, conferma che sia la stringa di query che le versioni dei cookie del token esistono e che corrispondono esattamente. Verifica anche gli elementi del contenuto del token per verificare i valori previsti per l'autenticazione in corso.
Ad esempio, nella pagina di iscrizione o accesso, quando un utente seleziona i collegamenti "Password dimenticata" o "Iscriviti ora", il browser invia una richiesta GET ad Azure AD B2C per caricare il contenuto della pagina successiva. La richiesta di caricare il contenuto di Azure AD B2C sceglie inoltre di inviare e convalidare il token del programma di sincronizzazione come livello aggiuntivo di protezione per garantire che la richiesta di caricamento della pagina sia il risultato di un'autenticazione in corso.
Il token del programma di sincronizzazione è una credenziale che non identifica un utente, ma è associata a una sessione di autenticazione univoca attiva.