Wymagania dotyczące protokołu TLS i zestawu szyfrowania usługi Azure Active Directory B2C

Usługa Azure Active Directory B2C (Azure AD B2C) łączy się z punktami końcowymi za pośrednictwem łączników interfejsu API i dostawców tożsamości w przepływach użytkowników. W tym artykule omówiono wymagania dotyczące protokołu TLS i zestawu szyfrowania dla punktów końcowych.

Punkty końcowe skonfigurowane za pomocą łączników interfejsu API i dostawców tożsamości muszą zostać opublikowane w publicznie dostępnym identyfikatorze URI HTTPS. Przed nawiązaniem bezpiecznego połączenia z punktem końcowym protokół i szyfr są negocjowane między Azure AD B2C a punktem końcowym na podstawie możliwości obu stron połączenia.

Azure AD B2C musi być w stanie nawiązać połączenie z punktami końcowymi przy użyciu protokołu Transport Layer Security (TLS) i zestawów szyfrowania zgodnie z opisem w tym artykule.

Wersje protokołu TLS

TLS w wersji 1.2 to protokół kryptograficzny, który zapewnia uwierzytelnianie i szyfrowanie danych między serwerami i klientami. Punkt końcowy musi obsługiwać bezpieczną komunikację za pośrednictwem protokołu TLS w wersji 1.2. Starsze wersje protokołu TLS 1.0 i 1.1 są przestarzałe.

Zestawy szyfrowania

Zestawy szyfrowania to zestawy algorytmów kryptograficznych. Udostępniają one podstawowe informacje na temat bezpiecznego komunikowania danych podczas korzystania z protokołu HTTPS za pośrednictwem protokołu TLS.

Punkt końcowy musi obsługiwać co najmniej jeden z następujących szyfrów:

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Punkty końcowe w zakresie

Następujące punkty końcowe używane w środowisku usługi Azure AD B2C muszą być zgodne z wymaganiami opisanymi w tym artykule:

• Łączniki interfejsu API
• OAuth1
  • Punkt końcowy tokenu
  • Punkt końcowy informacji o użytkowniku
• Dostawcy tożsamości OAuth2 i OpenId connect
  • Punkt końcowy odnajdywania OpenId Connect
  • Punkt końcowy JWKS OpenId Connect
  • Punkt końcowy tokenu
  • Punkt końcowy informacji o użytkowniku
• Wskazówka tokenu identyfikatora
  • Punkt końcowy odnajdywania OpenId Connect
  • Punkt końcowy JWKS OpenId Connect
• Punkt końcowy metadanych dostawcy tożsamości SAML
• Punkt końcowy metadanych dostawcy usług SAML

Sprawdzanie zgodności punktu końcowego

Aby sprawdzić, czy punkty końcowe są zgodne z wymaganiami opisanymi w tym artykule, wykonaj test przy użyciu narzędzia do szyfrowania i skanera TLS. Przetestuj punkt końcowy przy użyciu rozwiązania SSLLABS.

Następne kroki

Zobacz również następujące artykuły:

• Rozwiązywanie problemów z aplikacjami, które nie obsługują protokołu TLS 1.2
• Zestawy szyfrowania w protokole TLS/SSL (SSP Schannel)
• Jak włączyć protokół TLS 1.2
• Rozwiązywanie problemu z protokołem TLS 1.0