Definisi cookie untuk Azure AD B2C
Bagian berikut ini menyediakan informasi tentang cookie yang digunakan di Azure Active Directory B2C (Azure AD B2C).
SameSite
Layanan Azure B2C kompatibel dengan konfigurasi browser SameSite, termasuk dukungan untuk SameSite=None dengan Secure atribut .
Untuk melindungi akses ke situs, browser web akan memperkenalkan model secure-by-default baru yang mengasumsikan semua cookie harus dilindungi dari akses eksternal kecuali ditentukan lain. Browser Chrome adalah yang pertama menerapkan perubahan ini, dimulai dengan Chrome 80 pada bulan Februari 2020. Untuk informasi selengkapnya tentang mempersiapkan perubahan di Chrome, lihat Developers: Bersiaplah untuk SameSite Baru=Tidak Ada; Amankan Pengaturan Cookie di Blog Chromium.
Pengembang harus menggunakan pengaturan cookie baru, SameSite=None untuk menunjuk cookie untuk akses lintas situs. Ketika terdapat atribut SameSite=None, atribut tambahan Secure harus digunakan sehingga cookie lintas situs hanya dapat diakses melalui koneksi HTTPS. Validasi dan uji semua aplikasi Anda, termasuk aplikasi yang menggunakan Azure AD B2C.
Untuk informasi selengkapnya, lihat:
- Tangani perubahan cookie SameSite di browser Chrome
- Efek pada situs web pelanggan dan layanan serta produk Microsoft di Chrome versi 80 atau yang lebih baru
Cookie
Tabel berikut ini mencantumkan cookie yang digunakan di Azure AD B2C.
| Nama | Domain | kedaluwarsa | Tujuan |
|---|---|---|---|
x-ms-cpim-admin |
main.b2cadmin.ext.azure.com | Akhir sesi browser | Menyimpan data keanggotaan pengguna di seluruh penyewa. Penyewa pengguna adalah anggota dan tingkat keanggotaan (Admin atau Pengguna). |
x-ms-cpim-slice |
b2clogin.com, login.microsoftonline.com, domain bermerek | Akhir sesi browser | Digunakan untuk merutekan permintaan ke instans produksi yang sesuai. |
x-ms-cpim-trans |
b2clogin.com, login.microsoftonline.com, domain bermerek | Akhir sesi browser | Digunakan untuk melacak transaksi (jumlah permintaan autentikasi ke Azure Active Directory B2C) dan transaksi saat ini. |
x-ms-cpim-sso:{Id} |
b2clogin.com, login.microsoftonline.com, domain bermerek | Akhir sesi browser | Digunakan untuk mempertahankan sesi SSO. Cookie ditetapkan sebagai persistent, saat persistent diaktifkan. |
x-ms-cpim-cache:{id}_n |
b2clogin.com, login.microsoftonline.com, domain bermerek | Akhir sesi browser,autentikasi berhasil | Digunakan untuk mempertahankan sesi SSO. |
x-ms-cpim-csrf |
b2clogin.com, login.microsoftonline.com, domain bermerek | Akhir sesi browser | Token Cross-Site Request Forgery yang digunakan untuk perlindungan CRSF. Untuk informasi selengkapnya, baca bagian Token pemalsuan permintaan Antar Situs. |
x-ms-cpim-dc |
b2clogin.com, login.microsoftonline.com, domain bermerek | Akhir sesi browser | Digunakan untuk perutean jaringan Azure AD B2C. |
x-ms-cpim-ctx |
b2clogin.com, login.microsoftonline.com, domain bermerek | Akhir sesi browser | Konteks |
x-ms-cpim-rp |
b2clogin.com, login.microsoftonline.com, domain bermerek | Akhir sesi browser | Digunakan untuk menyimpan data keanggotaan untuk penyewa penyedia sumber daya. |
x-ms-cpim-rc |
b2clogin.com, login.microsoftonline.com, domain bermerek | Akhir sesi browser | Digunakan untuk menyimpan relay cookie. |
x-ms-cpim-geo |
b2clogin.com, login.microsoftonline.com, domain bermerek | 1 jam | Digunakan sebagai petunjuk untuk menentukan lokasi geografis rumah penyewa sumber daya. |
Token Pemalsuan permintaan antar situs
Untuk mencegah serangan Pemalsuan Permintaan Antar Situs (CSRF), Azure AD B2C menerapkan mekanisme strategi Token Penyinkron. Untuk detail selengkapnya mengenai pola ini, lihat artikel Pencegahan Pemalsuan Permintaan Antar Situs.
Azure AD B2C menghasilkan token penyinkron, dan menambahkannya di dua tempat; dalam cookie berlabel x-ms-cpim-csrf, dan parameter string kueri bernama csrf_token dalam URL halaman yang dikirim ke Azure AD B2C. Saat layanan Azure AD B2C memproses permintaan yang masuk dari browser, layanan ini mengonfirmasikan bahwa baik string kueri maupun versi cookie token ada, dan bahwa mereka benar-benar cocok. Ia juga memverifikasi elemen konten token untuk mengonfirmasi nilai yang diharapkan untuk autentikasi yang sedang berlangsung.
Misalnya, di halaman pendaftaran atau masuk, ketika pengguna memilih tautan "Lupa kata sandi", atau "Daftar sekarang", browser mengirimkan permintaan GET ke Azure AD B2C untuk memuat konten halaman berikutnya. Permintaan untuk memuat konten Azure AD B2C juga memilih untuk mengirim dan memvalidasi Token Penyinkron sebagai lapisan perlindungan tambahan untuk memastikan bahwa permintaan untuk memuat halaman adalah hasil dari autentikasi yang sedang berlangsung.
Token Penyinkron adalah info masuk yang tidak mengidentifikasi pengguna, melainkan terikat dengan sesi autentikasi unik yang aktif.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk