Definições de cookies para o Azure AD B2C
As seções a seguir fornecem informações sobre os cookies usados no Azure Active Directory B2C (Azure AD B2C).
SameSite
O serviço Azure AD B2C é compatível com as configurações de navegador do SameSite, incluindo o suporte para SameSite=None com o atributo Secure.
Para proteger o acesso a sites, os navegadores da Web apresentarão um novo modelo seguro por padrão que presume que todos os cookies devem ser protegidos contra acesso externo, a menos que especificado de outra forma. O navegador Chrome é o primeiro a implementar essa alteração, a partir do Chrome 80 em fevereiro de 2020. Para obter mais informações sobre como se preparar para a alteração no Chrome, consulte Desenvolvedores: preparem-se para o New SameSite=None; Proteger as configurações de cookie no blog Chromium.
Os desenvolvedores devem usar a nova configuração de cookie, SameSite=None, para designar cookies para acesso entre sites. Quando o atributo SameSite=None estiver presente, um atributo Secure adicional deverá ser usado para que os cookies entre sites somente possam ser acessados por conexões HTTPS. Valide e teste todos os seus aplicativos, incluindo os aplicativos que usam o Azure AD B2C.
Para obter mais informações, consulte:
- Manipular alterações de cookie SameSite no navegador Chrome
- Efeito em sites de clientes e serviços e produtos da Microsoft no Chrome versão 80 ou posterior
Cookies
A tabela a seguir lista os cookies usados no Azure AD B2C.
| Nome | Domínio | Expiração | Finalidade |
|---|---|---|---|
x-ms-cpim-admin |
main.b2cadmin.ext.azure.com | Fim da sessão do navegador | Mantém os dados de associação do usuário entre locatários. Os locatários que um usuário é membro e nível de associação (administrador ou usuário). |
x-ms-cpim-slice |
b2clogin.com, login.microsoftonline.com, domínio com marca | Fim da sessão do navegador | Usado para rotear solicitações para a instância de produção apropriada. |
x-ms-cpim-trans |
b2clogin.com, login.microsoftonline.com, domínio com marca | Fim da sessão do navegador | Usado para acompanhar a transação atual e as demais transações (número de solicitações de autenticação para o Azure AD B2C). |
x-ms-cpim-sso:{Id} |
b2clogin.com, login.microsoftonline.com, domínio com marca | Fim da sessão do navegador | Usado para manter a sessão de SSO. Este cookie está definido como persistent, quando persistent é habilitado. |
x-ms-cpim-cache:{id}_n |
b2clogin.com, login.microsoftonline.com, domínio com marca | Fim da sessão do navegador, autenticação bem-sucedida | Usado para manter o estado da solicitação. |
x-ms-cpim-csrf |
b2clogin.com, login.microsoftonline.com, domínio com marca | Fim da sessão do navegador | Token de solicitação intersite forjada usado para proteção CRSF. Para obter mais informações, leia a seção Token de solicitação intersite forjada. |
x-ms-cpim-dc |
b2clogin.com, login.microsoftonline.com, domínio com marca | Fim da sessão do navegador | Usado para roteamento de rede do Azure AD B2C. |
x-ms-cpim-ctx |
b2clogin.com, login.microsoftonline.com, domínio com marca | Fim da sessão do navegador | Contexto |
x-ms-cpim-rp |
b2clogin.com, login.microsoftonline.com, domínio com marca | Fim da sessão do navegador | Usado para armazenar dados de associação para o locatário do provedor de recursos. |
x-ms-cpim-rc |
b2clogin.com, login.microsoftonline.com, domínio com marca | Fim da sessão do navegador | Usado para armazenar o cookie de retransmissão. |
x-ms-cpim-geo |
b2clogin.com, login.microsoftonline.com, domínio com marca | 1 hora | Usado como uma dica para determinar a localização geográfica inicial dos locatários do recurso. |
Token de solicitação intersite forjada
Para evitar ataques de CSRF (Solicitação intersite forjada), o Azure AD B2C aplica o mecanismo de estratégia do Token de Sincronizador. Para obter mais detalhes sobre esse padrão, confira o artigo Prevenção contra solicitação intersite forjada.
O Azure AD B2C gera um token de sincronizador e o adiciona em dois locais; em um cookie rotulado x-ms-cpim-csrf e em um parâmetro de cadeia de caracteres de consulta chamado csrf_token na URL da página enviada ao Azure AD B2C. Conforme o serviço do Azure AD B2C processa as solicitações de entrada do navegador, ele confirma que a cadeia de caracteres de consulta e as versões de cookie do token existem e que elas são exatamente a mesma. Além disso, ele verifica os elementos do conteúdo do token para confirmar em relação aos valores esperados para a autenticação em andamento.
Por exemplo, na página de assinatura ou de conexão, quando um usuário seleciona os links "Esqueceu a senha" ou "Inscrever-se agora", o navegador envia uma solicitação GET ao Azure AD B2C para carregar o conteúdo da próxima página. A solicitação para carregar conteúdo Azure AD B2C adicionalmente escolhe enviar e validar o Token de Sincronizador como uma camada extra de proteção para garantir que a solicitação para carregar a página seja o resultado de uma autenticação em andamento.
O Token de Sincronizador é uma credencial que não identifica um usuário, mas está vinculada a uma sessão de autenticação exclusiva ativa.