Omówienie kluczy zasad w usłudze Azure Active Directory B2C
Przed rozpoczęciem użyj selektora Wybierz typ zasad, aby wybrać typ konfigurowanych zasad. Usługa Azure Active Directory B2C oferuje dwie metody definiowania sposobu interakcji użytkowników z aplikacjami: za pomocą wstępnie zdefiniowanych przepływów użytkowników lub w pełni konfigurowalnych zasad niestandardowych. Kroki wymagane w tym artykule są różne dla każdej metody.
Ta funkcja jest dostępna tylko dla zasad niestandardowych. Aby uzyskać instrukcje konfiguracji, wybierz pozycję Zasady niestandardowe w poprzednim selektorze.
Usługa Azure Active Directory B2C (Azure AD B2C) przechowuje wpisy tajne i certyfikaty w postaci kluczy zasad w celu ustanowienia zaufania z usługami, z których się integruje. Te relacje zaufania składają się z następujących elementów:
- Zewnętrzni dostawcy tożsamości
- Połączenie za pomocą polecenia Usługi interfejsu API REST
- Podpisywanie i szyfrowanie tokenów
W tym artykule omówiono, co należy wiedzieć o kluczach zasad używanych przez usługę Azure AD B2C.
Uwaga
Obecnie konfiguracja kluczy zasad jest ograniczona tylko do zasad niestandardowych.
Wpisy tajne i certyfikaty można skonfigurować do ustanawiania zaufania między usługami w witrynie Azure Portal w menu Klucze zasad. Klucze mogą być symetryczne lub asymetryczne. Kryptografia symetryczna lub kryptografia klucza prywatnego to miejsce, w którym wspólny klucz tajny jest używany do szyfrowania i odszyfrowywania danych. Kryptografia asymetryczna lub kryptografia klucza publicznego to system kryptograficzny, który używa par kluczy składających się z kluczy publicznych udostępnianych aplikacji jednostki uzależnionej i kluczy prywatnych, które są znane tylko usłudze Azure AD B2C.
Zestaw kluczy zasad i klucze
Zasób najwyższego poziomu dla kluczy zasad w usłudze Azure AD B2C jest kontenerem Zestawu kluczy. Każdy zestaw kluczy zawiera co najmniej jeden klucz. Klucz ma następujące atrybuty:
Atrybut | Wymagania | Uwagi |
---|---|---|
use |
Tak | Użycie: określa zamierzone użycie klucza publicznego. Szyfrowanie danych enc lub weryfikowanie podpisu danych sig . |
nbf |
Nie. | Data i godzina aktywacji. |
exp |
Nie. | Data i godzina wygaśnięcia. |
Zalecamy ustawienie wartości aktywacji i wygaśnięcia klucza zgodnie ze standardami PKI. Może być konieczne okresowe obracanie tych certyfikatów ze względów bezpieczeństwa lub zasad. Na przykład możesz mieć zasady rotacji wszystkich certyfikatów co roku.
Aby utworzyć klucz, możesz wybrać jedną z następujących metod:
- Ręczne — tworzenie wpisu tajnego za pomocą zdefiniowanego ciągu. Wpis tajny jest kluczem symetrycznym. Możesz ustawić daty aktywacji i wygaśnięcia.
- Wygenerowane — automatyczne generowanie klucza. Możesz ustawić daty aktywacji i wygaśnięcia. Dostępne są dwie opcje:
- Wpis tajny — generuje klucz symetryczny.
- RSA — generuje parę kluczy (klucze asymetryczne).
- Przekazywanie — przekazywanie certyfikatu lub klucza PKCS12. Certyfikat musi zawierać klucze prywatne i publiczne (klucze asymetryczne).
Przerzucanie klucza
Ze względów bezpieczeństwa usługa Azure AD B2C może okresowo przerzucać klucze lub natychmiast w razie wystąpienia awarii. Każda aplikacja, dostawca tożsamości lub interfejs API REST, który integruje się z usługą Azure AD B2C, powinna być przygotowana do obsługi zdarzenia przerzucania klucza, niezależnie od tego, jak często może wystąpić. W przeciwnym razie jeśli aplikacja lub usługa Azure AD B2C spróbuje użyć wygasłego klucza do wykonania operacji kryptograficznych, żądanie logowania zakończy się niepowodzeniem.
Jeśli zestaw kluczy usługi Azure AD B2C ma wiele kluczy, tylko jeden z kluczy jest aktywny w dowolnym momencie, na podstawie następujących kryteriów:
- Aktywacja klucza jest oparta na dacie aktywacji.
- Klucze są sortowane według daty aktywacji w kolejności rosnącej. Klucze z datami aktywacji w przyszłości pojawią się poniżej na liście. Klucze bez daty aktywacji znajdują się w dolnej części listy.
- Gdy bieżąca data i godzina jest większa niż data aktywacji klucza, usługa Azure AD B2C aktywuje klucz i przestanie używać poprzedniego aktywnego klucza.
- Gdy upłynął czas wygaśnięcia bieżącego klucza, a kontener klucza zawiera nowy klucz z prawidłowym czasem nie wcześniej i wygaśnięciem , nowy klucz stanie się aktywny automatycznie.
- Gdy upłynął czas wygaśnięcia bieżącego klucza, a kontener kluczy nie zawiera nowego klucza, który nie jest prawidłowy przed upływem czasu wygaśnięcia, usługa Azure AD B2C nie będzie mogła użyć wygasłego klucza. Usługa Azure AD B2C zgłosi komunikat o błędzie w składniku zależnym zasad niestandardowych. Aby uniknąć tego problemu, możesz utworzyć klucz domyślny bez dat aktywacji i wygaśnięcia jako sieci bezpieczeństwa.
- Punkt końcowy klucza (JWKS URI) Połączenie dobrze znanego punktu końcowego konfiguracji odzwierciedla klucze skonfigurowane w kontenerze kluczy, gdy klucz jest przywoływany w profilu technicznym JwtIssuer. Aplikacja korzystająca z biblioteki OIDC automatycznie pobierze te metadane, aby upewnić się, że używa poprawnych kluczy do sprawdzania poprawności tokenów. Aby uzyskać więcej informacji, dowiedz się, jak używać biblioteki uwierzytelniania firmy Microsoft, która zawsze automatycznie pobiera najnowsze klucze podpisywania tokenu.
Zarządzanie kluczami zasad
Aby uzyskać bieżący aktywny klucz w kontenerze kluczy, użyj punktu końcowego getActiveKey interfejsu API programu Microsoft Graph.
Aby dodać lub usunąć klucze podpisywania i szyfrowania:
- Zaloguj się w witrynie Azure Portal.
- Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy usługi Azure AD B2C z menu Katalogi i subskrypcje.
- W witrynie Azure Portal wyszukaj i wybierz pozycję Azure AD B2C.
- Na stronie przeglądu w obszarze Zasady wybierz pozycję Identity Experience Framework.
- Wybieranie kluczy zasad
- Aby dodać nowy klucz, wybierz pozycję Dodaj.
- Aby usunąć nowy klucz, wybierz klucz, a następnie wybierz pozycję Usuń. Aby usunąć klucz, wpisz nazwę kontenera kluczy do usunięcia. Usługa Azure AD B2C usunie klucz i utworzy kopię klucza z sufiksem bak.
Zastępowanie klucza
Klucze w zestawie kluczy nie są zamienialne ani wymienne. Jeśli musisz zmienić istniejący klucz:
- Zalecamy dodanie nowego klucza z datą aktywacji ustawioną na bieżącą datę i godzinę. Usługa Azure AD B2C aktywuje nowy klucz i przestanie używać poprzedniego aktywnego klucza.
- Alternatywnie możesz utworzyć nowy zestaw kluczy z odpowiednimi kluczami. Zaktualizuj zasady, aby używały nowego zestawu kluczy, a następnie usuń stary zestaw kluczy.
Następne kroki
- Dowiedz się, jak zautomatyzować wdrażanie kluczy i kluczy zasad za pomocą programu Microsoft Graph.