Azure Active Directory B2C TLS と暗号スイートの要件
Azure Active Directory B2C (Azure AD B2C) は、ユーザー フロー内の API コネクタと ID プロバイダーを介してエンドポイントに接続します。 この記事では、エンドポイントの TLS と暗号スイートの要件について説明します。
API コネクタと ID プロバイダーで構成されたエンドポイントは、パブリックにアクセス可能な HTTPS URI に公開する必要があります。 エンドポイントとのセキュリティで保護された接続が確立される前に、Azure AD B2C とエンドポイントの間で、接続の両側の機能に基づいて、プロトコルと暗号がネゴシエートされます。
この記事で説明されているように、Azure AD B2C は、トランスポート層セキュリティ (TLS) と暗号スイートを使用してエンドポイントに接続できる必要があります。
TLS バージョン
TLS バージョン 1.2 は、サーバーとクライアント間の認証とデータ暗号化を提供する暗号化プロトコルです。 エンドポイントは、TLS バージョン 1.2 を介してセキュリティで保護された通信をサポートする必要があります。 以前の TLS バージョン 1.0 および 1.1 は非推奨です。
暗号スイート
暗号スイートは、暗号化アルゴリズムのセットです。 これらは TLS 経由で HTTPS プロトコルを使用する場合のデータの安全な通信方法に関する重要な情報を提供します。
エンドポイントは、次のいずれかの暗号を少なくとも 1 つサポートする必要があります。
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
スコープ内のエンドポイント
Azure AD B2C 環境で使用される次のエンドポイントは、この記事で説明されている要件に準拠している必要があります。
- API コネクタ
- OAuth1
- Token endpoint (トークン エンドポイント)
- ユーザー情報エンドポイント
- OAuth2 と OpenID Connect ID プロバイダー
- OpenID Connect 検出エンドポイント
- OpenId Connect JWKS エンドポイント
- Token endpoint (トークン エンドポイント)
- ユーザー情報エンドポイント
- ID トークン ヒント
- OpenID Connect 検出エンドポイント
- OpenId Connect JWKS エンドポイント
- SAML ID プロバイダーのメタデータ エンドポイント
- SAML サービス プロバイダーのメタデータ エンドポイント
エンドポイントの互換性を確認する
エンドポイントがこの記事で説明されている要件に準拠していることを確認するには、TLS 暗号とスキャナー ツールを使用してテストを実行します。 SSLLABS を使用してエンドポイントをテストします。
次のステップ
次の記事もご覧ください。