Požadavky na protokol TLS a šifrovací sadu Azure Active Directory B2C

Důležité

Od 1. května 2025 už nebude Azure AD B2C k dispozici k nákupu pro nové zákazníky. Další informace najdete v našich nejčastějších dotazech.

Azure Active Directory B2C (Azure AD B2C) se připojuje ke koncovým bodům prostřednictvím konektorů rozhraní API a zprostředkovatelů identity v rámci toků uživatelů. Tento článek popisuje požadavky na protokol TLS a šifrovací sadu pro vaše koncové body.

Koncové body nakonfigurované s konektory rozhraní API a zprostředkovateli identity se musí publikovat na veřejně přístupném identifikátoru URI HTTPS. Před navázáním zabezpečeného připojení s koncovým bodem se protokol a šifra vyjednávají mezi Azure AD B2C a koncovým bodem na základě možností obou stran připojení.

Azure AD B2C se musí umět připojit ke koncovým bodům pomocí tls (Transport Layer Security) a šifrovacích sad, jak je popsáno v tomto článku.

Verze protokolu TLS

TLS je kryptografický protokol, který zajišťuje ověřování a šifrování dat mezi servery a klienty. Azure AD B2C podporuje TLS verze 1.3 a TLS verze 1.2. Váš koncový bod musí podporovat zabezpečenou komunikaci přes protokol TLS 1.2 nebo TLS 1.3. Starší verze TLS 1.0 a 1.1 jsou zastaralé.

Šifrovací sady

Šifrovací sady jsou sady kryptografických algoritmů. Poskytují základní informace o bezpečné komunikaci dat při použití protokolu HTTPS prostřednictvím protokolu TLS.

Váš koncový bod musí podporovat alespoň jednu z následujících šifer:

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Koncové body v oboru

Následující koncové body používané v prostředí Azure AD B2C musí splňovat požadavky popsané v tomto článku:

• Konektory API
• OAuth1 řekl:
  • Koncový bod tokenu
  • Koncový bod informací o uživateli
• Zprostředkovatelé identity OAuth2 a OpenId Connect
  • Koncový bod zjišťování OpenId Connect
  • Koncový bod OpenId Connect JWKS
  • Koncový bod tokenu
  • Koncový bod informací o uživateli
• Nápověda tokenu ID
  • Koncový bod zjišťování OpenId Connect
  • Koncový bod OpenId Connect JWKS
• Koncový bod metadat zprostředkovatele identity SAML
• Koncový bod metadat poskytovatele služeb SAML

Kontrola kompatibility koncových bodů

Pokud chcete ověřit, že vaše koncové body splňují požadavky popsané v tomto článku, proveďte test pomocí nástroje šifrování TLS a skeneru. Otestujte koncový bod pomocí SSL LABS.

Další kroky

Projděte si také následující články:

• Řešení potíží s aplikacemi, které nepodporují TLS 1.2
• Sady šifrovacích algoritmů v TLS/SSL (Schannel SSP)
• Jak povolit TLS 1.2
• Řešení problému s protokolem TLS 1.0