Definicje plików cookie dla usługi Azure AD B2C
Poniższe sekcje zawierają informacje o plikach cookie używanych w usłudze Azure Active Directory B2C (Azure AD B2C).
SameSite
Usługa Azure B2C jest zgodna z konfiguracjami przeglądarki SameSite, w tym z obsługą SameSite=None atrybutu Secure .
Aby chronić dostęp do witryn, przeglądarki internetowe wprowadzają nowy model bezpieczny domyślnie, który zakłada, że wszystkie pliki cookie powinny być chronione przed dostępem zewnętrznym, chyba że określono inaczej. Przeglądarka Chrome jest pierwszą, która wdroży tę zmianę, począwszy od chrome 80 w lutym 2020 roku. Aby uzyskać więcej informacji na temat przygotowywania zmian w przeglądarce Chrome, zobacz Deweloperzy: Przygotowanie do nowej witryny SameSite=None; Bezpieczne ustawienia plików cookie na blogu Chromium.
Deweloperzy muszą użyć nowego ustawienia plików cookie, SameSite=None, aby wyznaczyć pliki cookie na potrzeby dostępu między witrynami. SameSite=None Gdy atrybut jest obecny, należy użyć dodatkowego Secure atrybutu, aby pliki cookie między witrynami były dostępne tylko za pośrednictwem połączeń HTTPS. Zweryfikuj i przetestuj wszystkie aplikacje, w tym aplikacje korzystające z usługi Azure AD B2C.
Aby uzyskać więcej informacji, zobacz:
- Obsługa zmian plików cookie SameSite w przeglądarce Chrome
- Wpływ na witryny internetowe klientów oraz usługi i produkty firmy Microsoft w przeglądarce Chrome w wersji 80 lub nowszej
Pliki cookie
W poniższej tabeli wymieniono pliki cookie używane w usłudze Azure AD B2C.
| Nazwisko | Domain | Wygaśnięcie | Purpose |
|---|---|---|---|
x-ms-cpim-admin |
main.b2cadmin.ext.azure.com | Koniec sesji przeglądarki | Przechowuje dane członkostwa użytkowników w dzierżawach. Dzierżawy użytkownika jest członkiem i poziomem członkostwa (administrator lub użytkownik). |
x-ms-cpim-slice |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | Koniec sesji przeglądarki | Służy do kierowania żądań do odpowiedniego wystąpienia produkcyjnego. |
x-ms-cpim-trans |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | Koniec sesji przeglądarki | Służy do śledzenia transakcji (liczba żądań uwierzytelniania do usługi Azure AD B2C) i bieżącej transakcji. |
x-ms-cpim-sso:{Id} |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | Koniec sesji przeglądarki | Używane do obsługi sesji SSO. Ten plik cookie jest ustawiany jako persistent, gdy opcja Zachowaj logowanie mnie jest włączona. |
x-ms-cpim-cache:{id}_n |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | Zakończenie sesji przeglądarki, pomyślne uwierzytelnienie | Używane do obsługi stanu żądania. |
x-ms-cpim-csrf |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | Koniec sesji przeglądarki | Token fałszowania żądań między witrynami używany do ochrony CRSF. Aby uzyskać więcej informacji, przeczytaj sekcję Token fałszowania żądania między witrynami. |
x-ms-cpim-dc |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | Koniec sesji przeglądarki | Służy do routingu sieciowego usługi Azure AD B2C. |
x-ms-cpim-ctx |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | Koniec sesji przeglądarki | Kontekst |
x-ms-cpim-rp |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | Koniec sesji przeglądarki | Służy do przechowywania danych członkostwa dla dzierżawy dostawcy zasobów. |
x-ms-cpim-rc |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | Koniec sesji przeglądarki | Służy do przechowywania pliku cookie przekaźnika. |
x-ms-cpim-geo |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | 1 godzina | Służy jako wskazówka do określania lokalizacji geograficznej dzierżawy zasobów. |
Token fałszowania żądania obejmującego wiele witryn
Aby zapobiec atakom fałszerzującego żądania między witrynami (CSRF), usługa Azure AD B2C stosuje mechanizm strategii tokenu synchronizatora. Aby uzyskać więcej informacji na temat tego wzorca, zapoznaj się z artykułem Zapobieganie fałszerzowaniu żądań między witrynami .
Usługa Azure AD B2C generuje token synchronizatora i dodaje go w dwóch miejscach; w pliku cookie oznaczonym etykietą x-ms-cpim-csrfi parametr ciągu zapytania o nazwie csrf_token w adresie URL strony wysłanej do usługi Azure AD B2C. Ponieważ usługa Azure AD B2C przetwarza żądania przychodzące z przeglądarki, potwierdza, że istnieją zarówno ciąg zapytania, jak i wersje plików cookie tokenu oraz że są dokładnie zgodne. Sprawdza również elementy zawartości tokenu, aby potwierdzić oczekiwane wartości uwierzytelniania w toku.
Na przykład na stronie rejestracji lub logowania, gdy użytkownik wybierze link "Nie pamiętam hasła" lub "Zarejestruj się teraz", przeglądarka wysyła żądanie GET do usługi Azure AD B2C, aby załadować zawartość następnej strony. Żądanie załadowania zawartości usługi Azure AD B2C dodatkowo wybiera wysyłanie i weryfikowanie tokenu synchronizatora jako dodatkową warstwę ochrony, aby upewnić się, że żądanie załadowania strony było wynikiem uwierzytelniania w toku.
Token synchronizatora to poświadczenie, które nie identyfikuje użytkownika, ale jest powiązane z aktywną unikatową sesją uwierzytelniania.