Definiciones de cookies para Azure AD B2C
En las secciones siguientes se proporciona información sobre las cookies usadas en Azure Active Directory B2C (Azure AD B2C).
SameSite
El servicio Azure B2C es compatible con las configuraciones del explorador de SameSite, lo que incluye la compatibilidad de SameSite=None con el atributo Secure.
Para proteger el acceso a los sitios, los exploradores web incorporan un nuevo modelo seguro de forma predeterminada que supone que todas las cookies deben protegerse frente al acceso externo a menos que se especifique lo contrario. El explorador Chrome es el primero en implementar este cambio a partir de Chrome 80 en febrero de 2020. Para más información sobre la preparación del cambio en Chrome, consulte Desarrolladores: Listos para la nueva configuración de cookies SameSite=None; Secure en el blog de Chromium.
Los desarrolladores deben usar el nuevo valor de cookies, SameSite=None, para designar las cookies para el acceso entre sitios. Cuando el atributo SameSite=None está presente, se debe usar un atributo Secure adicional para que solo se pueda acceder a las cookies entre sitios a través de conexiones HTTPS. Valide y pruebe todas las aplicaciones, incluidas aquellas que usan Azure AD B2C.
Para más información, consulte:
- Control de los cambios de cookies de SameSite en el explorador Chrome
- Efecto en los sitios web de cliente y los servicios y productos de Microsoft en Chrome versión 80 o posterior
Cookies
En la tabla siguiente se indican las cookies empleadas en Azure AD B2C.
| Nombre | Domain | Expiration | Propósito |
|---|---|---|---|
x-ms-cpim-admin |
main.b2cadmin.ext.azure.com | Fin de sesión del explorador | Contiene datos de pertenencia de usuario entre inquilinos. Los inquilinos de los que es miembro un usuario y el nivel de pertenencia (administrador o usuario). |
x-ms-cpim-slice |
b2clogin.com, login.microsoftonline.com, dominio con marca | Fin de sesión del explorador | Se utiliza para enrutar las solicitudes a la instancia de producción adecuada. |
x-ms-cpim-trans |
b2clogin.com, login.microsoftonline.com, dominio con marca | Fin de sesión del explorador | Se utiliza para realizar un seguimiento de las transacciones (número de solicitudes de autenticación a Azure AD B2C) y la transacción actual. |
x-ms-cpim-sso:{Id} |
b2clogin.com, login.microsoftonline.com, dominio con marca | Fin de sesión del explorador | Se utiliza para mantener la sesión de SSO. Esta cookie se establece en persistent cuando se habilita Mantener la sesión iniciada. |
x-ms-cpim-cache:{id}_n |
b2clogin.com, login.microsoftonline.com, dominio con marca | Fin de sesión del explorador, autenticación correcta | Se utiliza para mantener el estado de la solicitud. |
x-ms-cpim-csrf |
b2clogin.com, login.microsoftonline.com, dominio con marca | Fin de sesión del explorador | Token de falsificación de solicitud entre sitios usado para la protección frente a falsificación de solicitud entre sitios. Para más información, lea la sección Token de falsificación de solicitud entre sitios. |
x-ms-cpim-dc |
b2clogin.com, login.microsoftonline.com, dominio con marca | Fin de sesión del explorador | Se utiliza para el enrutamiento de red de Azure AD B2C. |
x-ms-cpim-ctx |
b2clogin.com, login.microsoftonline.com, dominio con marca | Fin de sesión del explorador | Context |
x-ms-cpim-rp |
b2clogin.com, login.microsoftonline.com, dominio con marca | Fin de sesión del explorador | Se utiliza para almacenar datos de pertenencia en el inquilino del proveedor de recursos. |
x-ms-cpim-rc |
b2clogin.com, login.microsoftonline.com, dominio con marca | Fin de sesión del explorador | Se utiliza para almacenar la cookie de retransmisión. |
x-ms-cpim-geo |
b2clogin.com, login.microsoftonline.com, dominio con marca | 1 hora | Se usa como sugerencia para determinar la ubicación geográfica de inicio de los inquilinos de recursos. |
Token de falsificación de solicitud entre sitios
Para evitar ataques de falsificación de solicitud entre sitios (CSRF), Azure AD B2C aplica el mecanismo de estrategia de token de sincronizador. Para más información sobre este patrón, consulte el artículo Prevención de falsificación de solicitudes entre sitios.
Azure AD B2C genera un token de sincronizador y lo agrega en dos lugares: en una cookie x-ms-cpim-csrfetiquetada como y csrf_token un parámetro de cadena de consulta denominado en la dirección URL de la página enviada a la Azure AD B2C. A Azure AD servicio B2C procesa las solicitudes entrantes desde el explorador, confirma que existen tanto la cadena de consulta como las versiones de cookie del token y que coinciden exactamente. También comprueba los elementos del contenido del token para confirmar con los valores esperados para la autenticación en curso.
Por ejemplo, en la página de registro o inicio de sesión, cuando un usuario selecciona los vínculos «Contraseña olvidada» o «Registrarse ahora», el explorador envía una solicitud GET a Azure AD B2C para cargar el contenido de la página siguiente. La solicitud para cargar contenido Azure AD B2C decide además enviar y validar el token de sincronizador como una capa adicional de protección para asegurarse de que la solicitud para cargar la página sea el resultado de una autenticación en curso.
El token de sincronizador es una credencial que no identifica a un usuario, sino que está vinculado a una sesión de autenticación única activa.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de