Szabályzatkulcsok áttekintése az Azure Active Directory B2C-ben
Mielőtt hozzákezdene, a Szabályzattípus kiválasztása választóval válassza ki a beállított szabályzat típusát. Az Azure Active Directory B2C két módszert kínál annak meghatározására, hogy a felhasználók hogyan használják az alkalmazásokat: előre definiált felhasználói folyamatokon vagy teljesen konfigurálható egyéni szabályzatokon keresztül. A cikkben szereplő lépések különbözőek az egyes metódusok esetében.
Ez a funkció csak egyéni szabályzatokhoz érhető el. A beállítási lépésekhez válassza az egyéni szabályzatot az előző választóban.
Az Azure Active Directory B2C (Azure AD B2C) szabályzatkulcsok formájában tárolja a titkos kulcsokat és a tanúsítványokat, hogy megbízhatóságot alakítson ki az általa integrált szolgáltatásokkal. Ezek a megbízhatósági kapcsolatok a következőkből állnak:
- Külső identitásszolgáltatók
- CsatlakozásREST API-szolgáltatások
- Jogkivonat aláírása és titkosítása
Ez a cikk ismerteti, mit kell tudnia az Azure AD B2C által használt szabályzatkulcsokról.
Megjegyzés:
A szabályzatkulcsok konfigurálása jelenleg csak egyéni szabályzatok esetén engedélyezett.
Titkos kulcsokat és tanúsítványokat konfigurálhat a szolgáltatások közötti megbízhatóság létrehozásához az Azure PortalOn, a Szabályzatkulcsok menüben. A kulcsok lehetnek szimmetrikusak vagy aszimmetrikusak. A szimmetrikus titkosítás, vagyis a titkos kulcsok titkosítása az adatok titkosítására és visszafejtésére is használható. Az aszimmetrikus titkosítás vagy nyilvános kulcsok titkosítása olyan titkosítási rendszer, amely kulcspárokat használ, amelyek a függő entitásalkalmazással megosztott nyilvános kulcsokból és a kizárólag az Azure AD B2C-ben ismert titkos kulcsokból állnak.
Szabályzatkulcsok és kulcsok
Az Azure AD B2C szabályzatkulcsainak legfelső szintű erőforrása a Kulcskészlet-tároló . Minden kulcskészlet legalább egy kulcsot tartalmaz. A kulcsok a következő attribútumokkal rendelkeznek:
| Attribútum | Szükséges | Remarks |
|---|---|---|
use |
Igen | Használat: Azonosítja a nyilvános kulcs kívánt használatát. Adatok enctitkosítása vagy az aláírás ellenőrzése az adatokon sig. |
nbf |
Nem | Aktiválás dátuma és időpontja. |
exp |
Nem | Lejárati dátum és idő. |
Javasoljuk, hogy a PKI-szabványoknak megfelelően állítsa be a kulcsaktiválási és lejárati értékeket. Biztonsági vagy szabályzati okokból előfordulhat, hogy ezeket a tanúsítványokat rendszeresen el kell forgatnia. Előfordulhat például, hogy rendelkezik egy szabályzattal, amely minden évben elforgatja az összes tanúsítványt.
Kulcs létrehozásához válasszon az alábbi módszerek közül:
- Manuális – Hozzon létre egy titkos kulcsot egy ön által definiált sztringgel. A titok szimmetrikus kulcs. Beállíthatja az aktiválási és lejárati dátumokat.
- Generálva – Kulcs automatikus létrehozása. Beállíthatja az aktiválási és lejárati dátumokat. Két lehetőség közül választhat:
- Titkos kulcs – Szimmetrikus kulcsot hoz létre.
- RSA – Kulcspárt (aszimmetrikus kulcsokat) hoz létre.
- Feltöltés – Tanúsítvány vagy PKCS12-kulcs feltöltése . A tanúsítványnak tartalmaznia kell a privát és a nyilvános kulcsokat (aszimmetrikus kulcsokat).
Kulcsátállítás
Biztonsági okokból az Azure AD B2C rendszeresen vagy vészhelyzet esetén azonnal át tudja dobni a kulcsokat. Az Azure AD B2C-vel integrálható bármely alkalmazásnak, identitásszolgáltatónak vagy REST API-nak készen kell állnia a kulcsátállítási események kezelésére, függetlenül attól, hogy milyen gyakran fordul elő. Ellenkező esetben, ha az alkalmazás vagy az Azure AD B2C egy lejárt kulccsal próbál meg titkosítási műveletet végrehajtani, a bejelentkezési kérelem sikertelen lesz.
Ha egy Azure AD B2C-kulcskészlet több kulcsból áll, az alábbi feltételek alapján egyszerre csak az egyik kulcs aktív:
- A kulcsaktiválás az aktiválási dátumon alapul.
- A kulcsok növekvő sorrendben vannak rendezve az aktiválási dátum szerint. A későbbi aktiválási dátumokkal rendelkező kulcsok a listában lejjebb jelennek meg. Az aktiválási dátum nélküli kulcsok a lista alján találhatók.
- Ha az aktuális dátum és idő nagyobb, mint egy kulcs aktiválási dátuma, az Azure AD B2C aktiválja a kulcsot, és leállítja a korábbi aktív kulcs használatát.
- Ha az aktuális kulcs lejárati ideje lejárt, és a kulcstároló tartalmaz egy új kulcsot, amely nem korábbi érvényességgel és lejárati idővel rendelkezik, az új kulcs automatikusan aktívvá válik.
- Ha az aktuális kulcs lejárati ideje lejárt, és a kulcstároló nem tartalmaz érvényes nem korábbi és lejárati idejű új kulcsot, az Azure AD B2C nem fogja tudni használni a lejárt kulcsot. Az Azure AD B2C hibaüzenetet küld az egyéni szabályzat egy függő összetevőjébe. A probléma elkerülése érdekében biztonsági hálóként létrehozhat egy alapértelmezett kulcsot aktiválás és lejárati dátumok nélkül.
- Az OpenId Csatlakozás jól ismert konfigurációs végpontjának kulcsvégpontja (JWKS URI) a kulcstárolóban konfigurált kulcsokat tükrözi, amikor a kulcsra a JwtIssuer technikai profil hivatkozik. Az OIDC-kódtárat használó alkalmazások automatikusan lekérik ezeket a metaadatokat, hogy biztosan a megfelelő kulcsokat használják a jogkivonatok érvényesítéséhez. További információkért olvassa el a Microsoft Authentication Library használatát, amely mindig automatikusan lekéri a legújabb jogkivonat-aláíró kulcsokat.
Szabályzatkulcs-kezelés
Az aktuális aktív kulcs kulcstárolón belüli lekéréséhez használja a Microsoft Graph API getActiveKey végpontot.
Aláírási és titkosítási kulcsok hozzáadása vagy törlése:
- Jelentkezzen be az Azure Portalra.
- Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
- Az Azure Portalon keresse meg és válassza ki az Azure AD B2C-t.
- Az áttekintési lapon, a Szabályzatok területen válassza az Identity Experience Framework lehetőséget.
- Szabályzatkulcsok kiválasztása
- Új kulcs hozzáadásához válassza a Hozzáadás lehetőséget.
- Új kulcs eltávolításához jelölje ki a kulcsot, majd válassza a Törlés lehetőséget. A kulcs törléséhez írja be a törölni kívánt kulcstároló nevét. Az Azure AD B2C törli a kulcsot, és létrehoz egy másolatot a kulcsról a .bak utótaggal.
Kulcs cseréje
A kulcskészletben lévő kulcsok nem cserélhetők vagy cserélhetők. Ha módosítania kell egy meglévő kulcsot:
- Javasoljuk, hogy adjon hozzá egy új kulcsot, amely az aktiválási dátumot az aktuális dátumra és időpontra állítja be. Az Azure AD B2C aktiválja az új kulcsot, és leállítja a korábbi aktív kulcs használatát.
- Másik lehetőségként létrehozhat egy új kulcskészletet a megfelelő kulcsokkal. Frissítse a szabályzatot az új kulcskészlet használatára, majd távolítsa el a régi kulcskészletet.
Következő lépések
- Megtudhatja, hogyan automatizálhatja a kulcskészletek és szabályzatkulcsok üzembe helyezését a Microsoft Graph használatával.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: