Cookiesdefinitioner för Azure AD B2C
Följande avsnitt innehåller information om de cookies som används i Azure Active Directory B2C (Azure AD B2C).
SameSite
Azure B2C-tjänsten är kompatibel med SameSite-webbläsarkonfigurationer, inklusive stöd för SameSite=None med Secure -attributet.
För att skydda åtkomsten till webbplatser introducerar webbläsare en ny säker modell som förutsätter att alla cookies ska skyddas från extern åtkomst om inget annat anges. Webbläsaren Chrome är den första som implementerar den här ändringen, från och med Chrome 80 i februari 2020. Mer information om hur du förbereder för ändringen i Chrome finns i Developers: Get Ready for New SameSite=None; Skydda cookieinställningar på Chromium-bloggen.
Utvecklare måste använda den nya cookieinställningen , SameSite=Noneför att utse cookies för åtkomst mellan webbplatser. När attributet SameSite=None finns måste ytterligare Secure ett attribut användas så att cookies mellan webbplatser endast kan nås via HTTPS-anslutningar. Verifiera och testa alla dina program, inklusive de program som använder Azure AD B2C.
Mer information finns i:
- Hantera ändringar av SameSite-cookien i Webbläsaren Chrome
- Påverkan på kundens webbplatser samt Microsoft-tjänster och produkter i Chrome-version 80 eller senare
Kakor
I följande tabell visas de cookies som används i Azure AD B2C.
| Name | Domän | Förfallodatum | Syfte |
|---|---|---|---|
x-ms-cpim-admin |
main.b2cadmin.ext.azure.com | Slutet av webbläsarsessionen | Innehåller data om användarmedlemskap mellan klientorganisationer. Klientorganisationen som en användare är medlem i och medlemsnivå (administratör eller användare). |
x-ms-cpim-slice |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | Slutet av webbläsarsessionen | Används för att dirigera begäranden till lämplig produktionsinstans. |
x-ms-cpim-trans |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | Slutet av webbläsarsessionen | Används för att spåra transaktionerna (antal autentiseringsbegäranden till Azure AD B2C) och den aktuella transaktionen. |
x-ms-cpim-sso:{Id} |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | Slutet av webbläsarsessionen | Används för att underhålla SSO-sessionen. Den här cookien anges som persistent, när Keep Me Signed In (Behåll mig inloggad) är aktiverat. |
x-ms-cpim-cache:{id}_n |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | Avsluta webbläsarsession, lyckad autentisering | Används för att underhålla status för begäran. |
x-ms-cpim-csrf |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | Slutet av webbläsarsessionen | Förfalskningstoken för begäranden mellan webbplatser som används för CRSF-skydd. Mer information finns i avsnittet förfalskningstoken för begäranden mellan webbplatser. |
x-ms-cpim-dc |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | Slutet av webbläsarsessionen | Används för Azure AD B2C-nätverksroutning. |
x-ms-cpim-ctx |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | Slutet av webbläsarsessionen | Kontext |
x-ms-cpim-rp |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | Slutet av webbläsarsessionen | Används för att lagra medlemskapsdata för resursproviderns klientorganisation. |
x-ms-cpim-rc |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | Slutet av webbläsarsessionen | Används för att lagra reläkakan. |
x-ms-cpim-geo |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | 1 timme | Används som ett tips för att fastställa resursklienternas geografiska plats. |
Förfalskningstoken för begäranden mellan webbplatser
För att förhindra csrf-attacker (Cross Site Request Forgery) tillämpar Azure AD B2C strategimekanismen synkroniserartoken. Mer information om det här mönstret finns i artikeln Skydd mot förfalskning mellan webbplatser.
Azure AD B2C genererar en synkroniserartoken och lägger till den på två platser. i en cookie märkt x-ms-cpim-csrf, och en frågesträngsparameter med namnet csrf_token i URL:en för sidan som skickas till Azure AD B2C. När Azure AD B2C-tjänsten bearbetar inkommande begäranden från webbläsaren bekräftar den att både frågesträngen och cookieversionerna av token finns och att de matchar exakt. Dessutom verifieras elementen i innehållet i token för att bekräfta mot förväntade värden för pågående autentisering.
När en användare till exempel väljer länkarna "Glömt lösenord" eller "Registrera dig nu" skickar webbläsaren en GET-begäran till Azure AD B2C för att läsa in innehållet på nästa sida. Begäran om att läsa in innehåll i Azure AD B2C väljer dessutom att skicka och verifiera synkroniserartoken som ett extra skyddslager för att säkerställa att begäran om att läsa in sidan var resultatet av en pågående autentisering.
Synkroniserartoken är en autentiseringsuppgift som inte identifierar en användare, utan snarare är kopplad till en aktiv unik autentiseringssession.