مشاركة عبر

نظرة عامة على مفاتيح النهج في Azure Active Directory B2C

  • مقالة

قبل أن تبدأ استخدم اختر نوع النهجالمحدد لاختيار نوع النهج التي تقوم بإعدادها. يوفر Azure Active Directory B2C طريقتين لتحديد كيفية تفاعل المستخدمين مع تطبيقاتك: من خلال تدفقات محددة مسبقا للمستخدمين أو من خلال سياسات مخصصة قابلة للتكوين بشكل كامل. تختلف الخطوات المطلوبة في هذه المقالة لكل أسلوب.

هذه الميزة متاحة فقط للسياسات المخصصة. لخطوات الإعداد، حدد نهج مخصص في المحدد السابق.

يخزن Microsoft Azure Active Directory B2C (Azure AD B2C) الأسرار والشهادات في شكل مفاتيح نهج لتأسيس الثقة مع الخدمات التي يتكامل معها. تتكون هذه الثقة من:

  • موفري الهوية الخارجيين
  • الاتصال بخدمات REST API
  • توقيع الرمز المميز والتشفير

تتناول هذه المقالة ما تحتاج إلى معرفته حول مفاتيح النهج المستخدمة من قبل Microsoft Azure Active Directory B2C.

إشعار

حاليًا، يقتصر تكوين مفاتيح النهج على النهج المخصصة فقط.

يمكنك تكوين الأسرار والشهادات لتأسيس الثقة بين الخدمات في مدخل Microsoft Azure ضمن القائمة مفاتيح النهج. يمكن أن تكون المفاتيح متماثلة أو غير متماثلة. التشفير المتماثل أو تشفير المفتاح الخاص، هو المكان الذي يتم فيه استخدام سر مشترك لتشفير البيانات وفك تشفيرها. التشفير غير المتماثل أو تشفير المفتاح العمومي، هو نظام تشفير يستخدم أزواجًا من المفاتيح، تتكون من مفاتيح عامة تتم مشاركتها مع تطبيق الطرف المعول والمفاتيح الخاصة التي تعرف فقط بـMicrosoft Azure Active Directory B2C.

مجموعة مفاتيح النهج ومفاتيحه

المورد الأعلى مستوى لمفاتيح النهج في Microsoft Azure Active Directory B2C هو حاوية Keyset. تحتوي كل مجموعة مفاتيح على مفتاحواحد على الأقل. يحتوي المفتاح على السمات التالية:

السمة المطلوب ملاحظات
use ‏‏نعم‬ الاستخدام: يحدد الاستخدام المقصود للمفتاح العمومي. تشفير البيانات enc أو التحقق من التوقيع على البيانات sig.
nbf لا تاريخ التنشيط ووقته.
exp لا تاريخ ووقت انتهاء الصلاحية.

نوصي بتعيين قيم التنشيط وانتهاء الصلاحية الرئيسية وفقًا لمعايير PKI الخاصة بك. قد تحتاج إلى تدوير هذه الشهادات بشكل دوري لأسباب تتعلق بالأمان أو النهج. على سبيل المثال، قد يكون لديك نهج لتدوير كافة الشهادات الخاصة بك كل عام.

لإنشاء مفتاح، يمكنك اختيار إحدى الطرق التالية:

  • يدويًا -- إنشاء سر مع سلسلة تقوم بتعريفها. السر هو مفتاح متماثل. يمكنك تعيين تواريخ التنشيط وانتهاء الصلاحية.
  • تم إنشاؤه - إنشاء مفتاح تلقائيًا. يمكنك تعيين تواريخ التنشيط وانتهاء الصلاحية. هناك خياران:
    • بيانات سرية -- إنشاء مفتاح متماثل.
    • RSA - إنشاء زوج مفاتيح (مفاتيح غير متماثلة).
  • تحميل - تحميل شهادة أو مفتاح PKCS12. ينبغي أن تحتوي الشهادة على المفاتيح الخاصة والعامة (مفاتيح غير المتماثلة).

مفتاح التمرير

لأغراض الأمان، يمكن لـ Microsoft Azure Active Directory B2C نقل المفاتيح بشكل دوري أو فورًا في حالة الطوارئ. ينبغي أن يكون أي تطبيق أو موفر هوية أو REST API يتكامل مع Microsoft Azure Active Directory B2C جاهزًا للتعامل مع حدث تمرير المفتاح، بصرف النظر عن مدى تكرار حدوثه. وإلا، في حال حاول التطبيق أو Microsoft Azure Active Directory B2C استخدام مفتاح منتهي الصلاحية لتنفيذ عملية تشفير، سيفشل طلب تسجيل الدخول.

في حال كانت لشركة Microsoft Azure Active Directory B2C مفاتيح متعددة، فإن أحد المفاتيح فقط نشط في أي وقت، استنادًا إلى المعايير التالية:

  • يستند تنشيط المفتاح إلى تاريخ التنشيط.
    • يتم فرز المفاتيح حسب تاريخ التنشيط بترتيب تصاعدي. تظهر المفاتيح ذات تواريخ التنشيط في المستقبل أقل في القائمة. توجد المفاتيح التي لا يوجد بها تاريخ تنشيط في أسفل القائمة.
    • عندما يكون التاريخ والوقت الحالي أكبر من تاريخ تنشيط المفتاح، سيقوم Microsoft Azure Active Directory B2C بتنشيط المفتاح والتوقف عن استخدام المفتاح النشط السابق.
  • عند انقضاء وقت انتهاء صلاحية المفتاح الحالي واحتواء حاوية المفاتيح على مفتاح جديد بأوقات صالحة وليس قبل وأوقات انتهاء الصلاحية سيصبح المفتاح الجديد نشطًا تلقائيًا.
  • عند انقضاء وقت انتهاء صلاحية المفتاح الحالي وعدم احتواء حاوية المفتاح على مفتاح جديد ليس صالحًا قبل وأوقات انتهاء الصلاحية، لن يتمكن Microsoft Azure Active Directory B2C من استخدام المفتاح منتهي الصلاحية. سيرفع Microsoft Azure Active Directory B2C رسالة خطأ داخل مكون تابع لسياستك المخصصة. لتجنب هذه المشكلة، يمكنك إنشاء مفتاح افتراضي بدون التنشيط وتواريخ انتهاء الصلاحية كشبكة أمان.
  • تعكس نقطة نهاية المفتاح (JWKS URI) لنقطة نهاية التكوين المعروفة لـ OpenId Connect المفاتيح التي تم تكوينها في Key Container، عند الإشارة إلى المفتاح في JwtIssuer Technical Profile. سيقوم التطبيق الذي يستخدم مكتبة OIDC بإحضار بيانات التعريف تلقائيًا للتأكد من أنه يستخدم المفاتيح الصحيحة للتحقق من صحة الرموز المميزة. لمزيد من المعلومات، تعرف على كيفية استخدام مكتبة مصادقة Microsoft، التي تجلب دائمًا أحدث مفاتيح توقيع الرمز المميز تلقائيًا.

إدارة مفتاح النهج

للحصول على المفتاح النشط الحالي داخل حاوية مفتاح، استخدم نقطة نهاية getActiveKey Microsoft Graph API.

لإضافة مفاتيح التوقيع والتشفير أو حذفها:

  1. سجل الدخول إلى مدخل Azure.
  2. إذا كان لديك حق الوصول إلى عدة مستأجرين، فحدد رمز الإعدادات في القائمة العلوية للتبديل إلى مستأجر Azure AD B2C من قائمة Directories + subscriptions.
  3. في مدخل Microsoft Azure، ابحث عن Azure AD B2C وحددها.
  4. في صفحة النظرة العامة، ضمن السياسات، حدد إطار عمل تجربة الهوية.
  5. حدد Policy Keys
    1. لإضافة مفتاح جديد، حدد إضافة.
    2. لإزالة مفتاح جديد، حدد المفتاح، ثم حدد حذف. لحذف المفتاح، اكتب اسم حاوية المفاتيح لحذفها. سيقوم Microsoft Azure Active Directory B2C بحذف المفتاح وإنشاء نسخة من المفتاح مع لاحقة .bak.

استبدال المفتاح

لا يمكن استبدال المفاتيح الموجودة في مجموعة المفاتيح أو إزالتها. في حال كنت بحاجة إلى تغيير مفتاح موجود:

  • نوصي بإضافة مفتاح جديد مع تعيين تاريخ التنشيط إلى التاريخ والوقت الحاليين. سيقوم Microsoft Azure Active Directory B2C بتنشيط المفتاح الجديد والتوقف عن استخدام المفتاح النشط السابق.
  • بدلاً من ذلك، يمكنك إنشاء مجموعة مفاتيح جديدة مع المفاتيح الصحيحة. تحديث النهج الخاص بك لاستخدام مجموعة المفاتيح الجديدة، ثم قم بإزالة مجموعة المفاتيح القديمة.

الخطوات التالية