Vue d’ensemble des clés de stratégie dans Azure Active Directory B2C

  • Article

Avant de commencer, utilisez le sélecteur Choisir un type de stratégie pour choisir le type de stratégie que vous configurez. Azure Active Directory B2C offre deux possibilités pour définir la façon dont les utilisateurs interagissent avec vos applications : via des flux utilisateurs prédéfinis ou via des stratégies personnalisées entièrement configurables. La procédure donnée dans cet article est différente pour chaque méthode.

Cette fonctionnalité est disponible uniquement pour les stratégies personnalisées. Pour accéder aux étapes de configuration, sélectionnez Stratégie personnalisée dans le sélecteur précédent.

Azure Active Directory B2C (Azure AD B2C) stocke les secrets et les certificats sous forme de clés de stratégie pour établir une relation de confiance avec les services auxquels il s’intègre. Ces approbations sont constituées des éléments suivants :

  • Fournisseurs d’identité externes
  • Connexion avec les services d’API REST
  • Signature et chiffrement des jetons

Cet article traite de ce que vous devez savoir sur les clés de stratégie utilisées par Azure AD B2C.

Notes

Actuellement, la configuration des clés de stratégie est limitée aux stratégies personnalisées uniquement.

Vous pouvez configurer des secrets et des certificats pour établir la confiance entre les services dans le portail Azure, sous le menu Clés de stratégie. Les clés peuvent être symétriques ou asymétriques. Le chiffrement symétrique, ou chiffrement à clé privée, consiste à utiliser un secret partagé est utilisé pour chiffrer et déchiffrer les données. Le chiffrement asymétrique, ou chiffrement à clé publique, est un système de chiffrement qui utilise des paires de clés, composées de clés publiques partagées avec l’application par partie de confiance et des clés privées connues uniquement d’Azure AD B2C.

Clés et jeu de clés de stratégie

La ressource de niveau supérieur pour les clés de stratégie dans Azure AD B2C est le conteneur Keyset. Chaque jeu de clés contient au moins une clé. Une clé a les attributs suivants :

Attribut Obligatoire Notes
use Oui Usage : Identifie l’utilisation prévue de la clé publique. Chiffrement des données enc ou vérification de la signature sur des données sig.
nbf Non Date et heure d’activation.
exp Non Date et heure d’expiration.

Nous vous recommandons de définir les valeurs d’activation et d’expiration des clés conformément à vos normes PKI. Vous devrez peut-être alterner régulièrement ces certificats pour des raisons de sécurité ou de stratégie. Par exemple, une stratégie peut demander d’alterner l’ensemble de vos certificats tous les ans.

Pour créer une clé, vous pouvez choisir l’une des méthodes suivantes :

  • Manuelle : crée un secret avec une chaîne que vous définissez. Le secret est une clé symétrique. Vous pouvez définir les dates d’activation et d’expiration.
  • Générée : génère automatiquement une clé. Vous pouvez définir les dates d’activation et d’expiration. Nous avons deux options :
    • Secret : génère une clé symétrique.
    • RSA : génère une paire de clés (clés asymétriques).
  • Charger : charge un certificat ou une clé PKCS12. Le certificat doit contenir les clés privées et publiques (clés asymétriques).

Substitution de clé

Pour des raisons de sécurité, Azure AD B2C peut substituer des clés régulièrement ou immédiatement en cas d’urgence. Toute application, tout fournisseur d’identité ou toute API REST qui sont intégrés à Azure AD B2C doivent être prêt à gérer un événement de substitution de clé, quelle que soit sa fréquence. Dans le cas contraire, si votre application ou Azure AD B2C tente d’utiliser une clé expirée pour effectuer une opération de chiffrement, la demande de connexion échouera.

Si un jeu de clés Azure AD B2C possède plusieurs clés, une seule d’entre elles est active à la fois, en fonction des critères suivants :

  • L’activation de la clé est basée sur la date d’activation.
    • Les clés sont triées par date d’activation dans l’ordre croissant. Les clés dont la date d’activation se situe plus loin dans le futur apparaissent plus bas dans la liste. Les clés sans date d’activation sont situées tout en bas de la liste.
    • Lorsque la date et l’heure actuelles sont supérieures à la date d’activation d’une clé, Azure AD B2C active la clé et cesse d’utiliser la clé active précédente.
  • Lorsque l’heure d’expiration de la clé actuelle est passée et que le conteneur de clés contient une nouvelle clé avec des heures pas avant et expiration valides, la nouvelle clé devient active automatiquement.
  • Lorsque l’heure d’expiration de la clé actuelle est passée et que le conteneur de clés ne contient pas de nouvelle clé avec des heures pas avant et expiration valides, Azure AD B2C ne peut pas utiliser la clé expirée. Azure AD B2C générera un message d’erreur dans un composant dépendant de votre stratégie personnalisée. Pour éviter ce problème, vous pouvez créer une clé par défaut sans dates d’activation et d’expiration par mesure de sécurité.
  • Le point de terminaison de la clé (URI JWKS) du point de terminaison de configuration bien connu d’OpenId Connect reflète les clés configurées dans le conteneur de clés, lorsque la clé est référencée dans le profil technique JwtIssuer. Une application qui utilise une bibliothèque OIDC récupèrera automatiquement ces métadonnées pour s’assurer qu’elle utilise les bonnes clés pour valider les jetons. Pour plus d’informations, découvrez comment utiliser la bibliothèque d’authentification de Microsoft, qui récupère toujours automatiquement les clés de signature de jetons les plus récentes.

Gestion des clés de stratégie

Pour obtenir la clé active actuelle dans un conteneur de clés, utilisez le point de terminaison getActiveKey de l’API Microsoft Graph.

Pour ajouter ou supprimer des clés de signature et de chiffrement :

  1. Connectez-vous au portail Azure.
  2. Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.
  3. Dans la Portail Azure, recherchez et sélectionnez Azure AD B2C.
  4. Dans la page de vue d’ensemble, sous Stratégies, sélectionnez Identity Experience Framework.
  5. Sélectionner Clés de stratégie
    1. Pour ajouter une nouvelle clé, sélectionnez Ajouter.
    2. Pour supprimer une nouvelle clé, sélectionnez la clé, puis sélectionnez Supprimer. Pour supprimer la clé, saisissez le nom du conteneur de clés à supprimer. Azure AD B2C supprimera la clé et créera une copie de la clé avec le suffixe .bak.

Remplacer une clé

Les clés d’un jeu de clés ne sont pas remplaçables ni amovibles. Si vous avez besoin de modifier une clé existante :

  • Nous vous recommandons d’ajouter une nouvelle clé avec la date d’activation définie sur la date et l’heure actuelles. Azure AD B2C activera la nouvelle clé et cessera d’utiliser la clé active précédente.
  • Vous pouvez également créer un nouveau jeu de clés avec les clés appropriées. Mettez à jour votre stratégie pour utiliser le nouveau jeu de clés, puis supprimez l’ancien jeu de clés.

Étapes suivantes