Az Azure Active Directory B2C TLS és a titkosítócsomag követelményei

Az Azure Active Directory B2C (Azure AD B2C) API-összekötők és identitásszolgáltatók segítségével csatlakozik a végpontokhoz a felhasználói folyamatokon belül. Ez a cikk a végpontok TLS- és titkosítócsomag-követelményeit ismerteti.

Az API-összekötőkkel és identitásszolgáltatókkal konfigurált végpontokat közzé kell tenni egy nyilvánosan elérhető HTTPS URI-ben. Mielőtt biztonságos kapcsolatot létesítenének a végponttal, a protokoll és a titkosítás egyeztetése Azure AD B2C és a végpont között a kapcsolat mindkét oldalának képességei alapján történik.

Azure AD B2C-nek képesnek kell lennie csatlakozni a végpontokhoz a Transport Layer Security (TLS) és a titkosítócsomagok használatával a cikkben leírtak szerint.

TLS-verziók

A TLS 1.2-es verziója egy titkosítási protokoll, amely hitelesítést és adattitkosítást biztosít a kiszolgálók és az ügyfelek között. A végpontnak támogatnia kell a biztonságos kommunikációt a TLS 1.2-es verzióján keresztül. A régebbi TLS 1.0-s és 1.1-s verziók elavultak.

Titkosítócsomagok

A titkosítócsomagok titkosítási algoritmusok készletei. Alapvető információkat nyújtanak arról, hogyan kommunikálhat biztonságosan az adatokkal a HTTPS protokoll TLS-en keresztüli használatakor.

A végpontnak támogatnia kell legalább az alábbi titkosítások egyikét:

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Végpontok a hatókörben

A Azure AD B2C-környezetben használt alábbi végpontoknak meg kell felelniük az ebben a cikkben ismertetett követelményeknek:

• API-összekötők
• OAuth1
  • Jogkivonat-végpont
  • Felhasználói adatok végpontja
• OAuth2 és OpenId connect identitásszolgáltatók
  • OpenId Connect felderítési végpont
  • OpenId Connect JWKS-végpont
  • Jogkivonat-végpont
  • Felhasználói adatok végpontja
• Azonosító jogkivonatokra vonatkozó tippek
  • OpenId Connect felderítési végpont
  • OpenId Connect JWKS-végpont
• SAML-identitásszolgáltató metaadat-végpontja
• SAML-szolgáltató metaadat-végpontja

A végpont kompatibilitásának ellenőrzése

Annak ellenőrzéséhez, hogy a végpontok megfelelnek-e az ebben a cikkben ismertetett követelményeknek, végezzen tesztet egy TLS-titkosítási és szkennereszközzel. Tesztelje a végpontot az SSLLABS használatával.

Következő lépések

Lásd még a következő cikkeket:

• A TLS 1.2-t nem támogató alkalmazások hibaelhárítása
• Titkosítócsomagok a TLS-ben/SSL-ben (Schannel SSP)
• A TLS 1.2 engedélyezése
• A TLS 1.0 problémájának megoldása