Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.
Avant de commencer, utilisez le sélecteur Choisir un type de stratégie en haut de cette page pour choisir le type de stratégie que vous configurez. Azure Active Directory B2C offre deux possibilités pour définir la façon dont les utilisateurs interagissent avec vos applications : via des flux utilisateurs prédéfinis ou via des stratégies personnalisées entièrement configurables. La procédure donnée dans cet article est différente pour chaque méthode.
Cette fonctionnalité est disponible uniquement pour les stratégies personnalisées. Pour les étapes de configuration, sélectionnez Stratégie personnalisée dans le sélecteur précédent.
Azure Active Directory B2C (Azure AD B2C) stocke les secrets et les certificats sous la forme de clés de stratégie pour établir l’approbation avec les services auxquels il s’intègre. Ces approbations sont constituées des éléments suivants :
- Fournisseurs d’identité externes
- Connexion avec les services d’API REST
- Signature et chiffrement de jetons
Cet article décrit ce que vous devez savoir sur les clés de stratégie utilisées par Azure AD B2C.
Remarque
Actuellement, la configuration des clés de stratégie est limitée aux stratégies personnalisées uniquement.
Vous pouvez configurer des secrets et des certificats pour établir la confiance entre les services dans le portail Azure sous le menu Clés de stratégie. Les clés peuvent être symétriques ou asymétriques. Le chiffrement symétrique , ou chiffrement de clé privée, est l’endroit où un secret partagé est utilisé pour chiffrer et déchiffrer les données. Le chiffrement asymétrique ou le chiffrement à clé publique est un système de chiffrement qui utilise des paires de clés, composées de clés publiques partagées avec l’application de partie de confiance et les clés privées connues uniquement pour Azure AD B2C.
Clés et jeu de clés de stratégie
La ressource de niveau supérieur pour les clés de stratégie dans Azure AD B2C est le conteneur Keyset . Chaque jeu de clés contient au moins une clé. Une clé a les attributs suivants :
| Caractéristique | Obligatoire | Remarques |
|---|---|---|
use |
Oui | Utilisation : identifie l’utilisation prévue de la clé publique. Chiffrement des données encou vérification de la signature sur les données sig. |
nbf |
Non | Date et heure d’activation. Une valeur de remplacement peut être définie manuellement par les administrateurs. |
exp |
Non | Date et heure d’expiration. Une valeur de remplacement peut être définie manuellement par les administrateurs. |
Nous vous recommandons de définir les valeurs d’activation et d’expiration de clé en fonction de vos normes PKI. Vous devrez peut-être faire pivoter ces certificats régulièrement pour des raisons de sécurité ou de stratégie. Par exemple, il se peut que vous ayez une politique pour renouveler tous vos certificats chaque année.
Pour créer une clé, vous pouvez choisir l’une des méthodes suivantes :
- Manuel : créez un secret avec une chaîne que vous définissez. Le secret est une clé symétrique. Vous pouvez définir les dates d’activation et d’expiration.
-
Généré : Générer une clé automatiquement. Vous pouvez définir des dates d’activation et d’expiration. Il existe deux options :
- Secret : génère une clé symétrique.
- RSA : génère une paire de clés (clés asymétriques).
- Charger : charger un certificat ou une clé PKCS12. Le certificat doit contenir les clés privées et publiques (clés asymétriques).
Substitution de clé
Pour des raisons de sécurité, Azure AD B2C peut substituer des clés régulièrement ou immédiatement en cas d’urgence. Toute application, fournisseur d’identité ou API REST qui s’intègre à Azure AD B2C doit être prête à gérer un événement de substitution de clé, quelle que soit la fréquence à laquelle elle peut se produire. Sinon, si votre application ou Azure AD B2C tente d’utiliser une clé expirée pour effectuer une opération de chiffrement, la demande de connexion échoue.
Si un ensemble de clés Azure AD B2C a plusieurs clés, une seule des clés est active à tout moment, en fonction des critères suivants :
L’activation de clé est basée sur la date d’activation.
- Les clés sont triées par date d’activation dans l’ordre croissant. Les clés avec des dates d’activation ultérieures apparaissent plus bas dans la liste. Les clés sans date d’activation se trouvent en bas de la liste.
- Lorsque la date et l’heure actuelles sont supérieures à la date d’activation d’une clé, Azure AD B2C active la clé et cesse d’utiliser la clé active précédente.
Lorsque le temps d’expiration de la clé actuelle a expiré et que le conteneur de clés contient une nouvelle clé avec des valeurs nbf valides (non avant) et exp (expiration), la nouvelle clé devient active automatiquement. De nouveaux jetons sont signés avec la clé nouvellement active. Il est possible de conserver une clé expirée publiée pour la validation des jetons jusqu’à ce qu’elle soit désactivée par un administrateur, mais elle doit être demandée en plaçant une demande de support.
Lorsque l’heure d’expiration de la clé actuelle s’est écoulée et que le conteneur de clés ne contient pas de nouvelle clé avec des temps non antérieurs à et d'expiration valides, Azure AD B2C ne pourra pas utiliser la clé expirée. Azure AD B2C déclenche un message d’erreur dans un composant dépendant de votre stratégie personnalisée. Pour éviter ce problème, vous pouvez créer une clé par défaut sans activation et dates d’expiration en tant que filet de sécurité.
Le point d'accès de la clé (URI JWKS) du point de configuration bien connu d'OpenId Connect reflète les clés configurées dans le conteneur de clés lorsque la clé est référencée dans le profil technique JwtIssuer. Une application utilisant une bibliothèque OIDC récupère automatiquement ces métadonnées pour s’assurer qu’elle utilise les clés appropriées pour valider les jetons. Pour plus d’informations, découvrez comment utiliser la bibliothèque d’authentification Microsoft, qui récupère toujours automatiquement les dernières clés de signature de jeton.
Mise en cache des clés
Lorsqu’une clé est chargée, l’indicateur d’activation sur la clé est défini sur false par défaut. Vous pouvez ensuite définir l’état de cette clé sur Activé. Si une clé est activée et valide (l’heure actuelle est comprise entre NBF et EXP), la clé est utilisée.
État clé
La propriété d’indicateur d’activation est modifiable dans l’expérience utilisateur du portail Azure, ce qui permet aux administrateurs de désactiver une clé et de la retirer de la rotation.
Gestion des clés de stratégie
Pour obtenir la clé active actuelle dans un conteneur de clés, utilisez le point de terminaison getActiveKey de l’API Microsoft Graph.
Pour ajouter ou supprimer des clés de signature et de chiffrement :
- Connectez-vous au portail Azure.
- Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.
- Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.
- Dans la page vue d’ensemble, sous Stratégies, sélectionnez Identity Experience Framework.
- Sélectionner des clés de stratégie
- Pour ajouter une nouvelle clé, sélectionnez Ajouter.
- Pour supprimer une nouvelle clé, sélectionnez la clé, puis sélectionnez Supprimer. Pour supprimer la clé, tapez le nom du conteneur de clés à supprimer. Azure AD B2C supprime la clé et crée une copie de la clé avec le suffixe .bak.
Remplacer une clé
Les clés d’un jeu de clés ne sont pas remplaçables ou amovibles. Si vous devez modifier une clé existante :
- Nous vous recommandons d’ajouter une nouvelle clé avec la date et l’heure d’activation définies à la date et à l’heure actuelles. Azure AD B2C active la nouvelle clé et arrête l’utilisation de la clé active précédente.
- Vous pouvez également créer un nouvel ensemble de clés avec les clés appropriées. Mettez à jour votre stratégie pour utiliser le nouveau jeu de clés, puis supprimez l’ancien jeu de clés.
Contenu connexe
- Découvrez comment utiliser Microsoft Graph pour automatiser le déploiement d’un jeu de clés et de clés de stratégie.