Přehled klíčů zásad v Azure Active Directory B2C

  • Článek

Než začnete, pomocí selektoru Zvolit typ zásady zvolte typ zásady, kterou nastavujete. Azure Active Directory B2C nabízí dvě metody pro definování způsobu interakce uživatelů s vašimi aplikacemi: prostřednictvím předdefinovaných toků uživatelů nebo prostřednictvím plně konfigurovatelných vlastních zásad. Kroky vyžadované v tomto článku se pro každou metodu liší.

Tato funkce je dostupná jenom pro vlastní zásady. Pro kroky nastavení vyberte v předchozím selektoru vlastní zásady .

Azure Active Directory B2C (Azure AD B2C) ukládá tajné kódy a certifikáty ve formě klíčů zásad pro navázání vztahu důvěryhodnosti se službami, se kterými se integruje. Tyto vztahy důvěryhodnosti se skládají z:

Tento článek popisuje, co potřebujete vědět o klíčích zásad používaných službou Azure AD B2C.

Poznámka:

Konfigurace klíčů zásad je v současné době omezená jenom na vlastní zásady .

Tajné kódy a certifikáty můžete nakonfigurovat pro navázání vztahu důvěryhodnosti mezi službami na webu Azure Portal v nabídce Klíče zásad. Klíče můžou být symetrické nebo asymetrické. Symetrická kryptografie nebo kryptografie privátního klíče je místo, kde se sdílený tajný klíč používá k šifrování i dešifrování dat. Asymetrická kryptografie neboli kryptografie veřejného klíče je kryptografický systém, který používá dvojice klíčů, který se skládá z veřejných klíčů sdílených s aplikací předávající strany a privátními klíči, které jsou známé pouze pro Azure AD B2C.

Sada klíčů zásad a klíče

Prostředek nejvyšší úrovně pro klíče zásad v Azure AD B2C je kontejner keyset . Každá sada klíčů obsahuje aspoň jeden klíč. Klíč má následující atributy:

Atribut Požaduje se Poznámky
use Ano Použití: Identifikuje zamýšlené použití veřejného klíče. Šifrování dat encnebo ověření podpisu dat sig.
nbf No Datum a čas aktivace
exp No Datum a čas vypršení platnosti.

Doporučujeme nastavit hodnoty aktivace klíče a vypršení platnosti podle vašich standardů PKI. Tyto certifikáty možná budete muset pravidelně obměňovat z důvodů zabezpečení nebo zásad. Můžete mít například zásadu, která bude každý rok obměňovat všechny certifikáty.

Pokud chcete vytvořit klíč, můžete zvolit jednu z následujících metod:

  • Ruční – vytvoření tajného kódu s řetězcem, který definujete. Tajný kód je symetrický klíč. Můžete nastavit data aktivace a vypršení platnosti.
  • Vygenerováno – automaticky vygenerujte klíč. Můžete nastavit data aktivace a vypršení platnosti. Existují dvě možnosti:
    • Tajný kód – vygeneruje symetrický klíč.
    • RSA – Vygeneruje dvojici klíčů (asymetrického klíče).
  • Nahrání – nahrání certifikátu nebo klíče PKCS12 Certifikát musí obsahovat privátní a veřejné klíče (asymetrické klíče).

Změna klíče

Pro účely zabezpečení může Azure AD B2C pravidelně vyvádět klíče nebo okamžitě v případě tísňového volání. Každá aplikace, zprostředkovatel identity nebo rozhraní REST API, které se integrují s Azure AD B2C, by měla být připravená na zpracování události přechodu klíče bez ohledu na to, jak často může dojít. Pokud se vaše aplikace nebo Azure AD B2C pokusí k provedení kryptografické operace použít klíč s vypršenou platností, žádost o přihlášení se nezdaří.

Pokud má sada klíčů Azure AD B2C více klíčů, je na základě následujících kritérií aktivní jenom jeden z těchto klíčů:

  • Aktivace klíče je založená na datu aktivace.
    • Klíče jsou seřazené podle data aktivace ve vzestupném pořadí. Klíče s daty aktivace dále v budoucnu se v seznamu zobrazí níže. Klíče bez data aktivace se nacházejí v dolní části seznamu.
    • Pokud je aktuální datum a čas větší než datum aktivace klíče, Azure AD B2C tento klíč aktivuje a přestane používat předchozí aktivní klíč.
  • Pokud uplynula doba vypršení platnosti aktuálního klíče a kontejner klíčů obsahuje nový klíč s platným před vypršením platnosti a časem vypršení platnosti , nový klíč se automaticky aktivuje.
  • Pokud uplynula doba vypršení platnosti aktuálního klíče a kontejner klíčů neobsahuje nový klíč s platným před vypršením platnosti a časem vypršení platnosti , Azure AD B2C nebude moct klíč s vypršenou platností používat. Azure AD B2C vyvolá chybovou zprávu v rámci závislé součásti vaší vlastní zásady. Abyste se tomuto problému vyhnuli, můžete vytvořit výchozí klíč bez aktivace a data vypršení platnosti jako bezpečnostní síť.
  • Koncový bod klíče (JWKS URI) openid Připojení dobře známý koncový bod konfigurace odráží klíče nakonfigurované v kontejneru klíčů, když se na klíč odkazuje v technickém profilu JwtIssuer. Aplikace používající knihovnu OIDC automaticky načte tato metadata, aby se zajistilo, že k ověření tokenů používá správné klíče. Další informace najdete v tématu Použití knihovny Microsoft Authentication Library, která vždy načítá nejnovější podpisové klíče tokenu automaticky.

Správa klíčů zásad

Pokud chcete získat aktuální aktivní klíč v rámci kontejneru klíčů, použijte koncový bod GetActiveKey rozhraní Microsoft Graph API.

Přidání nebo odstranění podpisových a šifrovacích klíčů:

  1. Přihlaste se k portálu Azure.
  2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a v nabídce Adresáře a předplatná přepněte do svého tenanta Azure AD B2C.
  3. Na webu Azure Portal vyhledejte a vyberte Azure AD B2C.
  4. Na stránce přehledu v části Zásady vyberte Architekturu prostředí identit.
  5. Výběr klíčů zásad
    1. Pokud chcete přidat nový klíč, vyberte Přidat.
    2. Pokud chcete odebrat nový klíč, vyberte ho a pak vyberte Odstranit. Pokud chcete klíč odstranit, zadejte název kontejneru klíčů, který chcete odstranit. Azure AD B2C odstraní klíč a vytvoří kopii klíče s příponou .bak.

Nahrazení klíče

Klíče v sadě klíčů se nedají nahradit ani vyměnit. Pokud potřebujete změnit existující klíč:

  • Doporučujeme přidat nový klíč s datem aktivace nastaveným na aktuální datum a čas. Azure AD B2C aktivuje nový klíč a přestane používat předchozí aktivní klíč.
  • Případně můžete vytvořit novou sadu klíčů se správnými klíči. Aktualizujte zásadu tak, aby používala novou sadu klíčů, a potom odeberte starou sadu klíčů.

Další kroky