Cookiedefinitionen für Azure AD B2C
Die nachstehenden Abschnitte enthalten Informationen zu den in Azure Active Directory B2C (Azure AD B2C) verwendeten Cookies.
SameSite
Der Azure AD B2C-Dienst ist kompatibel mit SameSite-Browserkonfigurationen, einschließlich des Supports für SameSite=None mit dem Attribut Secure.
Zum Schutz des Zugriffs auf Websites wird bei Webbrowsern ein neues standardmäßig sicheres Modell mit der Annahme eingeführt, dass alle Cookies vor externem Zugriff geschützt werden sollten, sofern nichts anderes angegeben wurde. Im Chrome-Browser wird diese Änderung als Erstes implementiert, und zwar ab Chrome 80 im Februar 2020. Weitere Informationen zur Vorbereitung auf die Änderung in Chrome finden Sie im Chromium-Blog unter Developers: Get Ready for New SameSite=None; Secure Cookie Settings (Entwickler: Vorbereiten für neue Einstellung „SameSite = None“. Sichere Cookieeinstellungen).
Entwickler müssen die neue Cookieeinstellung, SameSite=None, verwenden, um Cookies für websiteübergreifenden Zugriff festzulegen. Wenn das Attribut SameSite=None vorhanden ist, muss ein zusätzliches Secure-Attribut verwendet werden, damit auf websiteübergreifende Cookies nur über HTTPS-Verbindungen zugegriffen werden kann. Überprüfen und testen Sie alle Ihre Anwendungen, einschließlich der Anwendungen, die Azure AD B2C verwenden.
Weitere Informationen finden Sie unter:
- Verarbeiten von SameSite-Cookieänderungen im Chrome-Browser
- Auswirkung auf Kundenwebsites sowie Microsoft-Dienste und -Produkte in Chrome, Version 80 oder höher
Cookies
In der nachstehenden Tabelle werden die in Azure AD B2C verwendeten Cookies aufgeführt.
| Name | Domain | Ablauf | Zweck |
|---|---|---|---|
x-ms-cpim-admin |
main.b2cadmin.ext.azure.com | Ende der Browsersitzung | Enthält mandantenübergreifende Daten zur Benutzermitgliedschaft: Mandanten, zu denen ein Benutzer gehört, und die Ebene der Mitgliedschaft („Admin“ oder „Benutzer“). |
x-ms-cpim-slice |
b2clogin.com, login.microsoftonline.com, unternehmensbezogener Domänenname | Ende der Browsersitzung | Zum Weiterleiten von Anforderungen an die entsprechende Produktionsinstanz. |
x-ms-cpim-trans |
b2clogin.com, login.microsoftonline.com, unternehmensbezogener Domänenname | Ende der Browsersitzung | Zum Nachverfolgen von Transaktionen (Anzahl der Authentifizierungsanforderungen an Azure AD B2C) und der aktuellen Transaktion. |
x-ms-cpim-sso:{Id} |
b2clogin.com, login.microsoftonline.com, unternehmensbezogener Domänenname | Ende der Browsersitzung | Zum Verwalten der Sitzung mit einmaligem Anmelden (SSO). Dieses Cookie wird auf persistent festgelegt, wenn Angemeldet bleiben aktiviert ist. |
x-ms-cpim-cache:{id}_n |
b2clogin.com, login.microsoftonline.com, unternehmensbezogener Domänenname | Ende der Browsersitzung, erfolgreiche Authentifizierung | Zum Verwalten des Anforderungsstatus. |
x-ms-cpim-csrf |
b2clogin.com, login.microsoftonline.com, unternehmensbezogener Domänenname | Ende der Browsersitzung | Token der websiteübergreifenden Anforderungsfälschung zum Schutz vor CSRF-Angriffen. Weitere Informationen finden Sie im Abschnitt Websiteübergreifendes Anforderungsfälschungstoken. |
x-ms-cpim-dc |
b2clogin.com, login.microsoftonline.com, unternehmensbezogener Domänenname | Ende der Browsersitzung | Für Azure AD B2C-Netzwerkrouting. |
x-ms-cpim-ctx |
b2clogin.com, login.microsoftonline.com, unternehmensbezogener Domänenname | Ende der Browsersitzung | Kontext |
x-ms-cpim-rp |
b2clogin.com, login.microsoftonline.com, unternehmensbezogener Domänenname | Ende der Browsersitzung | Zum Speichern der Mitgliedschaftsdaten für den Ressourceourcenanbieter-Mandanten. |
x-ms-cpim-rc |
b2clogin.com, login.microsoftonline.com, unternehmensbezogener Domänenname | Ende der Browsersitzung | Zum Speichern des Relay-Cookies. |
x-ms-cpim-geo |
b2clogin.com, login.microsoftonline.com, unternehmensbezogener Domänenname | 1 Stunde | Wird als Hinweis verwendet, um den geografischen Standort der Ressourcenmandanten zu bestimmen. |
Websiteübergreifendes Anforderungsfälschungstoken
Um Cross Site Request Forgery (CSRF)-Angriffe zu verhindern, verwendet Azure AD B2C den Strategiemechanismus Synchronizer Token. Weitere Informationen zu diesem Muster finden Sie im Artikel Websiteübergreifende Anforderungsfälschung.
Azure AD B2C generiert ein Synchronisierungstoken und fügt es an zwei Stellen hinzu: in einem Cookie mit der Bezeichnung x-ms-cpim-csrf und einem Abfragezeichenfolgenparameter mit dem Namen csrf_token in der URL der an die Azure AD B2C gesendeten Seite. Während Azure AD B2C-Dienst die eingehenden Anforderungen aus dem Browser verarbeitet, wird bestätigt, dass sowohl die Abfragezeichenfolgen- als auch die Cookieversionen des Tokens vorhanden sind und genau übereinstimmen. Außerdem werden die Elemente des Inhalts des Tokens anhand der erwarteten Werte für die laufende Authentifizierung überprüft.
Wenn ein Benutzer beispielsweise auf der Anmelde- oder Anmeldeseite den Link "Kennwort vergessen" oder "Jetzt registrieren" auswählt, sendet der Browser eine GET-Anforderung an Azure AD B2C, um den Inhalt der nächsten Seite zu laden. Die Anforderung zum Laden von Inhalten Azure AD B2C wählt darüber hinaus aus, das Synchronizer-Token als zusätzliche Schutzebene zu senden und zu überprüfen, um sicherzustellen, dass die Anforderung zum Laden der Seite das Ergebnis einer laufenden Authentifizierung war.
Das Synchronizer-Token ist ein Anmeldeinformationstoken, das keinen Benutzer identifiziert, sondern an eine aktive eindeutige Authentifizierungssitzung gebunden ist.