Cookie-definíciók Azure AD B2C-hez
A következő szakaszok az Azure Active Directory B2C-ben (Azure AD B2C) használt cookie-kra vonatkozó információkat tartalmaznak.
SameSite
Az Azure B2C szolgáltatás kompatibilis a SameSite böngészőkonfigurációkkal, beleértve az Secure attribútum támogatását SameSite=None is.
A webhelyekhez való hozzáférés védelme érdekében a webböngészők egy új, alapértelmezés szerint biztonságos modellt vezetnek be, amely feltételezi, hogy minden cookie-t védeni kell a külső hozzáféréstől, hacsak másként nincs megadva. Ezt a módosítást elsőként a Chrome böngésző implementálja, 2020 februárjától kezdve a Chrome 80-mal. A Chrome-beli változás előkészítéséről további információt a Fejlesztők: Felkészülés új SameSite=None-ra című témakörben talál. Biztonságos cookie-beállítások a Chromium blogon.
A fejlesztőknek az új cookie-beállítást kell használniuk ahhoz, SameSite=Nonehogy a webhelyek közötti hozzáféréshez cookie-kat jelöljenek ki. Ha az SameSite=None attribútum jelen van, egy további Secure attribútumot kell használni, hogy a webhelyek közötti cookie-k csak HTTPS-kapcsolatokon keresztül legyenek elérhetők. Ellenőrizze és tesztelje az összes alkalmazást, beleértve azokat az alkalmazásokat is, amelyek Azure AD B2C-t használnak.
További információkért lásd:
- SameSite-cookie-k változásainak kezelése a Chrome böngészőben
- Az ügyfél webhelyeire, valamin a Microsoft-szolgáltatásokra és -termékekre gyakorolt hatás a Chrome 80-as vagy újabb verzióiban
Cookie-k
Az alábbi táblázat az Azure AD B2C-ben használt cookie-kat sorolja fel.
| Name | Tartomány | Lejárat | Cél |
|---|---|---|---|
x-ms-cpim-admin |
main.b2cadmin.ext.azure.com | A böngésző munkamenetének vége | A bérlők felhasználói tagsági adatait tárolja. A bérlők, a felhasználók a és a tagsági szint (Rendszergazda vagy felhasználó) tagjai. |
x-ms-cpim-slice |
b2clogin.com, login.microsoftonline.com, márkás tartomány | A böngésző munkamenetének vége | A kérések megfelelő éles példányhoz való irányítására szolgál. |
x-ms-cpim-trans |
b2clogin.com, login.microsoftonline.com, márkás tartomány | A böngésző munkamenetének vége | A tranzakciók (a B2C Azure AD felé irányuló hitelesítési kérelmek száma) és az aktuális tranzakció nyomon követésére szolgál. |
x-ms-cpim-sso:{Id} |
b2clogin.com, login.microsoftonline.com, márkás tartomány | A böngésző munkamenetének vége | Az SSO-munkamenet fenntartására szolgál. Ez a cookie a következőre van állítva: persistent, ha engedélyezve van a Bejelentkezve szeretnék maradni . |
x-ms-cpim-cache:{id}_n |
b2clogin.com, login.microsoftonline.com, márkás tartomány | A böngésző munkamenetének vége, sikeres hitelesítés | A kérelem állapotának fenntartására szolgál. |
x-ms-cpim-csrf |
b2clogin.com, login.microsoftonline.com, márkás tartomány | A böngésző munkamenetének vége | A CRSF-védelemhez használt helyek közötti kérelemhamisítási jogkivonat. További információkért olvassa el a Helyek közötti hamisítási jogkivonat szakaszt. |
x-ms-cpim-dc |
b2clogin.com, login.microsoftonline.com, márkás tartomány | A böngésző munkamenetének vége | A B2C-hálózat útválasztásának Azure AD használatos. |
x-ms-cpim-ctx |
b2clogin.com, login.microsoftonline.com, márkás tartomány | A böngésző munkamenetének vége | Környezet |
x-ms-cpim-rp |
b2clogin.com, login.microsoftonline.com, márkás tartomány | A böngésző munkamenetének vége | Az erőforrás-szolgáltató bérlőjének tagsági adatainak tárolására szolgál. |
x-ms-cpim-rc |
b2clogin.com, login.microsoftonline.com, márkás tartomány | A böngésző munkamenetének vége | A továbbító cookie tárolására szolgál. |
x-ms-cpim-geo |
b2clogin.com, login.microsoftonline.com, márkás tartomány | 1 óra | Az erőforrás-bérlők földrajzi helyének meghatározására szolgál. |
Helyek közötti kérelem hamisítási jogkivonata
A helyek közötti hamisítás (CSRF) támadások megelőzése érdekében Azure AD B2C alkalmazza a szinkronizáló jogkivonat stratégiai mechanizmusát. A mintával kapcsolatos további részletekért tekintse meg a helyek közötti hamisítás megelőzéséről szóló cikket.
Azure AD B2C létrehoz egy szinkronizáló jogkivonatot, és két helyen adja hozzá: egy címkével ellátott x-ms-cpim-csrfcookie-ban és egy, a Azure AD B2C-nek küldött lap URL-címében elnevezett csrf_token lekérdezési sztringparaméterben. Mivel Azure AD B2C szolgáltatás feldolgozza a böngészőből érkező kéréseket, megerősíti, hogy a jogkivonat lekérdezési sztring- és cookie-verziói is léteznek, és hogy pontosan egyeznek. Emellett ellenőrzi a jogkivonat tartalmának elemeit is, hogy ellenőrizze a folyamatban lévő hitelesítés várt értékeit.
Ha például a regisztrációs vagy bejelentkezési oldalon egy felhasználó az "Elfelejtette a jelszót" vagy a "Regisztráció most" hivatkozást választja, a böngésző GET kérést küld Azure AD B2C-nek a következő oldal tartalmának betöltéséhez. A B2C-Azure AD tartalom betöltésére vonatkozó kérés emellett úgy dönt, hogy a szinkronizáló jogkivonatot további védelmi rétegként küldi el és ellenőrzi annak biztosítása érdekében, hogy a lap betöltésére irányuló kérés egy folyamatban lévő hitelesítés eredménye legyen.
A Szinkronizáló jogkivonat egy olyan hitelesítő adat, amely nem azonosítja a felhasználót, hanem egy aktív egyedi hitelesítési munkamenethez kapcsolódik.