Définitions de cookies pour Azure AD B2C

Les sections suivantes fournissent des informations sur les cookies utilisés dans Azure Active Directory B2C (Azure AD B2C).

SameSite

Le service Microsoft Azure AD B2C est compatible avec les configurations de navigateur SameSite, notamment la prise en charge de SameSite=None avec l’attribut Secure.

Pour protéger l’accès aux sites, les navigateurs web introduisent un nouveau modèle sécurisé par défaut reposant sur le principe que, sauf spécification contraire, tous les cookies doivent être protégés contre un accès externe. Le navigateur Chrome est le premier à implémenter ce changement, à commencer par Chrome 80 en février 2020. Pour plus d’informations sur la préparation de la modification dans Chrome, consultez Développeurs : se préparer pour New SameSite = None ; Sécuriser les paramètres de cookies sur le blog Chromium.

Les développeurs doivent utiliser le nouveau paramètre de cookie, SameSite=None, pour désigner les cookies pour l’accès intersite. Quand l’attribut SameSite=None est présent, un attribut Secure supplémentaire doit être utilisé pour que les cookies intersites ne soient accessibles que via des connexions HTTPs. Validez et testez toutes vos applications, y compris celles qui utilisent Azure AD B2C.

Pour plus d'informations, consultez les pages suivantes :

Cookies

Le tableau suivant répertorie les cookies utilisés dans Azure Active Directory B2C.

Nom Domain Expiration Objectif
x-ms-cpim-admin main.b2cadmin.ext.azure.com Fin de la session de navigateur Contient les données d’appartenance de l’utilisateur sur tous les locataires. Les locataires dont un utilisateur est membre et son niveau d’appartenance (Admin ou Utilisateur).
x-ms-cpim-slice b2clogin.com, login.microsoftonline.com, domaine personnalisé Fin de la session de navigateur Utilisé pour acheminer les requêtes vers l’instance de production appropriée.
x-ms-cpim-trans b2clogin.com, login.microsoftonline.com, domaine personnalisé Fin de la session de navigateur Utilisé pour le suivi des transactions (nombre de requêtes d’authentification Azure AD B2C) et la transaction en cours.
x-ms-cpim-sso:{Id} b2clogin.com, login.microsoftonline.com, domaine personnalisé Fin de la session de navigateur Permet de gérer la session d’authentification unique. Ce cookie est définir sur persistent, lorsque l’option persistent est activée.
x-ms-cpim-cache:{id}_n b2clogin.com, login.microsoftonline.com, domaine personnalisé Fin de la session de navigateur, authentification réussie Permet de gérer l’état de la requête.
x-ms-cpim-csrf b2clogin.com, login.microsoftonline.com, domaine personnalisé Fin de la session de navigateur Jeton de falsification de requête intersites utilisé pour la protection CRSF. Pour plus d’informations, consultez la section Jeton de falsification de requête intersites.
x-ms-cpim-dc b2clogin.com, login.microsoftonline.com, domaine personnalisé Fin de la session de navigateur Utilisé pour le routage du réseau Azure AD B2C.
x-ms-cpim-ctx b2clogin.com, login.microsoftonline.com, domaine personnalisé Fin de la session de navigateur Context
x-ms-cpim-rp b2clogin.com, login.microsoftonline.com, domaine personnalisé Fin de la session de navigateur Utilisé pour le stockage des données d’appartenance pour le locataire du fournisseur de ressources.
x-ms-cpim-rc b2clogin.com, login.microsoftonline.com, domaine personnalisé Fin de la session de navigateur Utilisé pour le stockage du cookie de relais.

Jeton de falsification de requête intersite

Pour empêcher les attaques par falsification de requête intersites (CSRF), Azure AD B2C applique le mécanisme de stratégie de jeton du synchronisateur. Pour plus d’informations sur ce modèle, consultez l’article sur la prévention des falsifications de requête intersites.

Azure AD B2C génère un jeton de synchronisateur et l’ajoute à deux emplacements : dans un cookie étiqueté x-ms-cpim-csrf, et un paramètre de chaîne de requête nommé csrf_token dans l’URL de la page envoyée à Azure AD B2C. Quand le service Azure AD B2C traite les requêtes entrantes à partir du navigateur, il confirme que la chaîne de requête et les versions de cookie du jeton existent, et qu’elles correspondent exactement. En outre, il vérifie les éléments du contenu du jeton pour confirmer les valeurs attendues pour l’authentification en cours.

Par exemple, dans la page d’inscription ou de connexion, lorsqu’un utilisateur sélectionne le lien « Mot de passe oublié » ou « Inscrivez-vous maintenant », le navigateur envoie une demande d’accès à Azure AD B2C afin de charger le contenu de la page suivante. La demande de chargement du contenu Azure AD B2C choisit également d’envoyer et de valider le jeton du synchronisateur en tant que couche de protection supplémentaire pour s’assurer que la demande de chargement de la page était le résultat d’une authentification en cours.

Le jeton de synchronisateur est une information d’identification qui n’identifie pas un utilisateur, mais qui est liée à une session d’authentification unique active.