Cookiesdefinities voor Azure AD B2C
De volgende secties bevatten informatie over de cookies die worden gebruikt in Azure Active Directory B2C (Azure AD B2C).
SameSite
De Azure B2C-service is compatibel met SameSite-browserconfiguraties, inclusief ondersteuning voor SameSite=None het Secure kenmerk.
Om de toegang tot sites te beschermen, introduceren webbrowsers een nieuw standaardmodel dat ervan uitgaat dat alle cookies moeten worden beveiligd tegen externe toegang, tenzij anders is opgegeven. De Chrome-browser is de eerste die deze wijziging implementeert, te beginnen met Chrome 80 in februari 2020. Voor meer informatie over het voorbereiden van de wijziging in Chrome raadpleegt u Ontwikkelaars: Voorbereiden op nieuwe SameSite=Geen; Veilige cookie-instellingen op de Chromium-blog.
Ontwikkelaars moeten de nieuwe cookie-instelling SameSite=Nonegebruiken om cookies aan te wijzen voor toegang op meerdere sites. Wanneer het SameSite=None kenmerk aanwezig is, moet er een extra Secure kenmerk worden gebruikt, zodat cross-site cookies alleen toegankelijk zijn via HTTPS-verbindingen. Valideer en test al uw toepassingen, inclusief toepassingen die gebruikmaken van Azure AD B2C.
Zie voor meer informatie:
- SameSite-cookiewijzigingen afhandelen in de Chrome-browser
- Effect op websites van klanten en Microsoft-services en producten in Chrome versie 80 of hoger
Cookies
De volgende tabel bevat de cookies die worden gebruikt in Azure AD B2C.
| Naam | Domein | Verloop | Doel |
|---|---|---|---|
x-ms-cpim-admin |
main.b2cadmin.ext.azure.com | Einde van browsersessie | Bevat gebruikerslidmaatschapsgegevens in tenants. De tenants van een gebruiker zijn lid van en lidmaatschapsniveau (beheerder of gebruiker). |
x-ms-cpim-slice |
b2clogin.com, login.microsoftonline.com, merkdomein | Einde van browsersessie | Wordt gebruikt om aanvragen naar het juiste productie-exemplaar te routeren. |
x-ms-cpim-trans |
b2clogin.com, login.microsoftonline.com, merkdomein | Einde van browsersessie | Wordt gebruikt voor het bijhouden van de transacties (aantal verificatieaanvragen voor Azure AD B2C) en de huidige transactie. |
x-ms-cpim-sso:{Id} |
b2clogin.com, login.microsoftonline.com, merkdomein | Einde van browsersessie | Wordt gebruikt voor het onderhouden van de SSO-sessie. Deze cookie wordt ingesteld als persistent, wanneer Aangemeld blijven is ingeschakeld. |
x-ms-cpim-cache:{id}_n |
b2clogin.com, login.microsoftonline.com, merkdomein | Einde van browsersessie, geslaagde verificatie | Wordt gebruikt voor het onderhouden van de aanvraagstatus. |
x-ms-cpim-csrf |
b2clogin.com, login.microsoftonline.com, merkdomein | Einde van browsersessie | Token voor aanvraagvervalsing tussen sites dat wordt gebruikt voor CRSF-beveiliging. Lees de sectie Vervalsingstoken voor meerdere sites voor meer informatie. |
x-ms-cpim-dc |
b2clogin.com, login.microsoftonline.com, merkdomein | Einde van browsersessie | Wordt gebruikt voor Azure AD B2C-netwerkroutering. |
x-ms-cpim-ctx |
b2clogin.com, login.microsoftonline.com, merkdomein | Einde van browsersessie | Context |
x-ms-cpim-rp |
b2clogin.com, login.microsoftonline.com, merkdomein | Einde van browsersessie | Wordt gebruikt voor het opslaan van lidmaatschapsgegevens voor de tenant van de resourceprovider. |
x-ms-cpim-rc |
b2clogin.com, login.microsoftonline.com, merkdomein | Einde van browsersessie | Wordt gebruikt voor het opslaan van de relay-cookie. |
x-ms-cpim-geo |
b2clogin.com, login.microsoftonline.com, merkdomein | 1 uur | Wordt gebruikt als hint om de geografische locatie van de resourcetenants te bepalen. |
Token voor aanvraagvervalsing op meerdere sites
Om CSRF-aanvallen (Cross Site Request Forgery) te voorkomen, past Azure AD B2C het mechanisme voor de synchronisatietokenstrategie toe. Raadpleeg het artikel Over vervalsingspreventie op meerdere sites voor meer informatie over dit patroon.
Azure AD B2C genereert een synchronisatietoken en voegt het toe op twee plaatsen; in een cookie met x-ms-cpim-csrfhet label en een queryreeksparameter met de naam csrf_token in de URL van de pagina die naar Azure AD B2C wordt verzonden. Omdat de Azure AD B2C-service de binnenkomende aanvragen van de browser verwerkt, wordt bevestigd dat zowel de queryreeks als de cookieversies van het token bestaan en dat deze exact overeenkomen. Ook wordt gecontroleerd of de elementen van de inhoud van het token worden gecontroleerd om te bevestigen op basis van de verwachte waarden voor de actieve verificatie.
Wanneer een gebruiker bijvoorbeeld op de registratie- of aanmeldingspagina de koppelingen 'Wachtwoord vergeten' of 'Nu registreren' selecteert, verzendt de browser een GET-aanvraag naar Azure AD B2C om de inhoud van de volgende pagina te laden. De aanvraag voor het laden van inhoud azure AD B2C kiest er bovendien voor om het synchronisatietoken te verzenden en te valideren als een extra beveiligingslaag om ervoor te zorgen dat de aanvraag voor het laden van de pagina het resultaat was van een actieve verificatie.
Het synchronisatietoken is een referentie waarmee een gebruiker niet wordt geïdentificeerd, maar die is gekoppeld aan een actieve unieke verificatiesessie.