Definições de cookies para o Azure AD B2C
As seções a seguir fornecem informações sobre os cookies usados no Azure Ative Directory B2C (Azure AD B2C).
SameSite
O serviço Azure B2C é compatível com as configurações do navegador SameSite, incluindo suporte para SameSite=None o Secure atributo.
Para salvaguardar o acesso aos sites, os navegadores da Web introduzirão um novo modelo seguro por padrão que pressupõe que todos os cookies devem ser protegidos contra acesso externo, a menos que especificado de outra forma. O navegador Chrome é o primeiro a implementar esta alteração, começando com o Chrome 80 em fevereiro de 2020. Para obter mais informações sobre como se preparar para a alteração no Chrome, consulte Desenvolvedores: prepare-se para o novo SameSite=None; Configurações de cookies seguras no blog do Chromium.
Os desenvolvedores devem usar a nova configuração de cookies, SameSite=None, para designar cookies para acesso entre sites. Quando o atributo está presente, um atributo adicional Secure deve ser usado para que os SameSite=None cookies entre sites só possam ser acessados por conexões HTTPS. Valide e teste todos os seus aplicativos, incluindo os aplicativos que usam o Azure AD B2C.
Para obter mais informações, consulte:
- Lidar com alterações de cookies do SameSite no navegador Chrome
- Efeito nos sites do cliente e nos serviços e produtos Microsoft na versão 80 e superior do Chrome
Cookies
A tabela a seguir lista os cookies usados no Azure AD B2C.
| Nome | Domínio | Expiração | Propósito |
|---|---|---|---|
x-ms-cpim-admin |
main.b2cadmin.ext.azure.com | Fim da sessão do navegador | Armazena dados de associação de usuários entre locatários. Os locatários dos quais um usuário é membro e o nível de associação (Administrador ou Usuário). |
x-ms-cpim-slice |
b2clogin.com, login.microsoftonline.com, domínio de marca | Fim da sessão do navegador | Usado para rotear solicitações para a instância de produção apropriada. |
x-ms-cpim-trans |
b2clogin.com, login.microsoftonline.com, domínio de marca | Fim da sessão do navegador | Usado para controlar as transações (número de solicitações de autenticação para o Azure AD B2C) e a transação atual. |
x-ms-cpim-sso:{Id} |
b2clogin.com, login.microsoftonline.com, domínio de marca | Fim da sessão do navegador | Usado para manter a sessão SSO. Este cookie é definido como persistent, quando Manter-me com sessão iniciada está ativado. |
x-ms-cpim-cache:{id}_n |
b2clogin.com, login.microsoftonline.com, domínio de marca | Fim da sessão do navegador, autenticação bem-sucedida | Usado para manter o estado da solicitação. |
x-ms-cpim-csrf |
b2clogin.com, login.microsoftonline.com, domínio de marca | Fim da sessão do navegador | Token de falsificação de solicitação entre sites usado para proteção CRSF. Para obter mais informações, leia a seção Cross-Site request forgery token . |
x-ms-cpim-dc |
b2clogin.com, login.microsoftonline.com, domínio de marca | Fim da sessão do navegador | Usado para roteamento de rede do Azure AD B2C. |
x-ms-cpim-ctx |
b2clogin.com, login.microsoftonline.com, domínio de marca | Fim da sessão do navegador | Contexto |
x-ms-cpim-rp |
b2clogin.com, login.microsoftonline.com, domínio de marca | Fim da sessão do navegador | Usado para armazenar dados de associação para o locatário do provedor de recursos. |
x-ms-cpim-rc |
b2clogin.com, login.microsoftonline.com, domínio de marca | Fim da sessão do navegador | Usado para armazenar o cookie de retransmissão. |
x-ms-cpim-geo |
b2clogin.com, login.microsoftonline.com, domínio de marca | Uma Hora | Usado como uma dica para determinar a localização geográfica inicial dos locatários de recursos. |
Token de falsificação de solicitação entre sites
Para evitar ataques CSRF (Cross Site Request Forgery), o Azure AD B2C aplica o mecanismo de estratégia de Token Sincronizador. Para obter mais detalhes sobre esse padrão, confira o artigo Cross-Site Request Forgery Prevention .
O Azure AD B2C gera um token sincronizador e o adiciona em dois locais; em um cookie rotulado x-ms-cpim-csrfe um parâmetro de cadeia de caracteres de consulta nomeado csrf_token na URL da página enviada para o Azure AD B2C. À medida que o serviço Azure AD B2C processa as solicitações de entrada do navegador, ele confirma que a cadeia de caracteres de consulta e as versões de cookie do token existem e que elas correspondem exatamente. Além disso, ele verifica os elementos do conteúdo do token para confirmar em relação aos valores esperados para a autenticação em andamento.
Por exemplo, na página de inscrição ou entrada, quando um usuário seleciona os links "Esqueceu a senha" ou "Inscreva-se agora", o navegador envia uma solicitação GET para o Azure AD B2C para carregar o conteúdo da próxima página. A solicitação para carregar conteúdo O Azure AD B2C também opta por enviar e validar o Token do Sincronizador como uma camada extra de proteção para garantir que a solicitação para carregar a página foi o resultado de uma autenticação em andamento.
O Token Sincronizador é uma credencial que não identifica um usuário, mas está vinculada a uma sessão de autenticação exclusiva ativa.