Přehled klíčů zásad v Azure Active Directory B2C
Než začnete, pomocí selektoru Zvolit typ zásady zvolte typ zásady, kterou nastavujete. Azure Active Directory B2C nabízí dvě metody, jak uživatelé pracují s vašimi aplikacemi: prostřednictvím předdefinovaných toků uživatelů nebo prostřednictvím plně konfigurovatelných vlastních zásad. Kroky požadované v tomto článku se pro každou metodu liší.
Tato funkce je dostupná jenom pro vlastní zásady. Pokud chcete nastavit kroky, vyberte v předchozím selektoru vlastní zásady .
Azure Active Directory B2C (Azure AD B2C) ukládá tajné kódy a certifikáty ve formě klíčů zásad pro navázání vztahu důvěryhodnosti se službami, se kterými se integruje. Tyto vztahy důvěryhodnosti se skládají z:
- Zprostředkovatelé externích identit
- Připojení pomocí služeb REST API
- Podepisování a šifrování tokenů
Tento článek popisuje, co potřebujete vědět o klíčích zásad, které používá Azure AD B2C.
Poznámka
Konfigurace klíčů zásad je v současné době omezená jenom na vlastní zásady .
Tajné kódy a certifikáty můžete nakonfigurovat pro navázání důvěryhodnosti mezi službami v Azure Portal v nabídce Klíče zásad. Klíče můžou být symetrické nebo asymetrické. Symetrická kryptografie nebo kryptografie privátního klíče se používá ke šifrování a dešifrování dat sdílený tajný klíč. Asymetrická kryptografie nebo kryptografie veřejného klíče je kryptografický systém, který používá páry klíčů, které se skládají z veřejných klíčů, které jsou sdílené s aplikací předávající strany a privátními klíči, které jsou známé jenom pro Azure AD B2C.
Sada klíčů zásad a klíče
Prostředek nejvyšší úrovně pro klíče zásad v Azure AD B2C je kontejner keyset . Každá sada klíčů obsahuje alespoň jeden klíč. Klíč má následující atributy:
| Atribut | Vyžadováno | Poznámky |
|---|---|---|
use |
Yes | Použití: Identifikuje zamýšlené použití veřejného klíče. Šifrování dat encnebo ověření podpisu dat sig. |
nbf |
No | Datum a čas aktivace |
exp |
No | Datum a čas vypršení platnosti |
Doporučujeme nastavit hodnoty aktivace a vypršení platnosti klíče podle vašich standardů infrastruktury veřejných klíčů. Tyto certifikáty možná budete muset pravidelně otáčet z důvodů zabezpečení nebo zásad. Můžete mít například zásadu, která bude každý rok otáčet všechny certifikáty.
Pokud chcete vytvořit klíč, můžete zvolit jednu z následujících metod:
- Ruční – Vytvoření tajného kódu s řetězcem, který definujete. Tajný klíč je symetrický klíč. Můžete nastavit data aktivace a vypršení platnosti.
- Vygenerováno – automaticky vygenerujte klíč. Můžete nastavit data aktivace a vypršení platnosti. Existují dvě možnosti:
- Tajný kód – vygeneruje symetrický klíč.
- RSA – Vygeneruje dvojici klíčů (asymetrických klíčů).
- Upload – Upload certifikát nebo klíč PKCS12. Certifikát musí obsahovat privátní a veřejné klíče (asymetrického klíče).
Převrácení klíče
Pro účely zabezpečení může Azure AD B2C pravidelně převádět klíče nebo okamžitě v případě tísňového volání. Všechny aplikace, zprostředkovatele identit nebo rozhraní REST API, které se integrují s Azure AD B2C, by měly být připravené ke zpracování události přechodu klíčů bez ohledu na to, jak často může dojít. Pokud se vaše aplikace nebo Azure AD B2C pokusí použít klíč s vypršenou platností k provedení kryptografické operace, žádost o přihlášení se nezdaří.
Pokud má sada klíčů Azure AD B2C více klíčů, je na základě následujících kritérií aktivní jenom jeden z těchto klíčů:
- Aktivace klíče je založená na datu aktivace.
- Klíče jsou seřazené podle data aktivace ve vzestupném pořadí. Klíče s daty aktivace se dále zobrazují v seznamu níže. Klíče bez data aktivace se nacházejí v dolní části seznamu.
- Pokud je aktuální datum a čas větší než datum aktivace klíče, aktivuje Azure AD B2C klíč a přestane používat předchozí aktivní klíč.
- Pokud vypršela doba vypršení platnosti aktuálního klíče a kontejner klíčů obsahuje nový klíč s platným před vypršením platnosti a časem vypršení platnosti , nový klíč se automaticky aktivuje.
- Pokud vypršela doba vypršení platnosti aktuálního klíče a kontejner klíčů neobsahuje nový klíč s platnými časy před vypršením platnosti a vypršením platnosti, Azure AD B2C nebude moct používat klíč s vypršenou platností. Azure AD B2C vyvolá chybovou zprávu v rámci závislé komponenty vaší vlastní zásady. Abyste se vyhnuli tomuto problému, můžete vytvořit výchozí klíč bez aktivace a data vypršení platnosti jako bezpečnostní síť.
- Koncový bod klíče (JWKS URI) openid Připojení známého koncového bodu konfigurace odráží klíče nakonfigurované v kontejneru klíčů, když se na klíč odkazuje v technickém profilu JwtIssuer. Aplikace používající knihovnu OIDC automaticky načte tato metadata, aby zajistila, že k ověření tokenů používá správné klíče. Další informace najdete v tématu použití knihovny Microsoft Authentication Library, která vždy načte nejnovější podpisové klíče tokenu automaticky.
Správa klíčů zásad
Pokud chcete získat aktuální aktivní klíč v rámci kontejneru klíčů, použijte koncový bod Microsoft Graph API getActiveKey.
Přidání nebo odstranění podpisových a šifrovacích klíčů:
- Přihlaste se k webu Azure Portal.
- Ujistěte se, že používáte adresář, který obsahuje vašeho tenanta Azure AD B2C. Na panelu nástrojů portálu vyberte ikonu Adresáře + předplatná .
- Na | nastavení portálu Stránka adresářů + předplatná , vyhledejte adresář Azure AD B2C v seznamu názvů adresářů a pak vyberte Přepnout.
- V Azure Portal vyhledejte a vyberte Azure AD B2C.
- Na stránce přehledu vyberte v části Zásadyarchitekturu prostředí identit.
- Výběr klíčů zásad
- Pokud chcete přidat nový klíč, vyberte Přidat.
- Pokud chcete odebrat nový klíč, vyberte klíč a pak vyberte Odstranit. Pokud chcete klíč odstranit, zadejte název kontejneru klíčů, který chcete odstranit. Azure AD B2C odstraní klíč a vytvoří kopii klíče s příponou .bak.
Nahrazení klíče
Klíče v sadě klíčů nejsou vyměnitelné ani vyměnitelné. Pokud potřebujete změnit existující klíč:
- Doporučujeme přidat nový klíč s datem aktivace nastaveným na aktuální datum a čas. Azure AD B2C aktivuje nový klíč a přestane používat předchozí aktivní klíč.
- Případně můžete vytvořit novou sadu klíčů se správnými klíči. Aktualizujte zásadu tak, aby používala novou sadu klíčů, a pak odeberte starou sadu klíčů.
Další kroky
- Naučte se používat Microsoft Graph k automatizaci nasazení sad klíčů a klíčů zásad.