Cookiedefinities voor Azure AD B2C
De volgende secties bevatten informatie over de cookies die worden gebruikt in Azure Active Directory B2C (Azure AD B2C).
SameSite
De Microsoft Azure AD B2C-service is compatibel met SameSite-browserconfiguraties, inclusief ondersteuning voor SameSite=None met het Secure kenmerk.
Om de toegang tot sites te beveiligen, introduceren webbrowsers een nieuw standaardbeveiligingsmodel dat ervan uitgaat dat alle cookies moeten worden beschermd tegen externe toegang, tenzij anders aangegeven. De Chrome-browser is de eerste die deze wijziging implementeert, te beginnen met Chrome 80 in februari 2020. Zie Ontwikkelaars: Voorbereiden op nieuwe SameSite=None voor meer informatie over het voorbereiden van de wijziging in Chrome. Instellingen voor beveiligde cookies op de Chromium Blog.
Ontwikkelaars moeten de nieuwe cookie-instelling, SameSite=None, gebruiken om cookies aan te wijzen voor toegang op meerdere sites. Wanneer het SameSite=None kenmerk aanwezig is, moet een extra Secure kenmerk worden gebruikt, zodat cookies op meerdere sites alleen toegankelijk zijn via HTTPS-verbindingen. Valideer en test al uw toepassingen, inclusief de toepassingen die gebruikmaken van Azure AD B2C.
Zie voor meer informatie:
- SameSite-cookiewijzigingen in Chrome-browser verwerken
- Effect op websites van klanten en Microsoft-services en producten in Chrome versie 80 of hoger
Cookies
De volgende tabel bevat de cookies die worden gebruikt in Azure AD B2C.
| Naam | Domain | Verloopdatum | Doel |
|---|---|---|---|
x-ms-cpim-admin |
main.b2cadmin.ext.azure.com | Einde van browsersessie | Bevat gebruikerslidmaatschapsgegevens voor tenants. De tenants waarvan een gebruiker lid is en het lidmaatschapsniveau (Beheer of Gebruiker). |
x-ms-cpim-slice |
b2clogin.com, login.microsoftonline.com, branded domein | Einde van browsersessie | Wordt gebruikt om aanvragen naar het juiste productie-exemplaar te routeren. |
x-ms-cpim-trans |
b2clogin.com, login.microsoftonline.com, branded domein | Einde van browsersessie | Wordt gebruikt voor het bijhouden van de transacties (het aantal verificatieaanvragen voor Azure AD B2C) en de huidige transactie. |
x-ms-cpim-sso:{Id} |
b2clogin.com, login.microsoftonline.com, branded domein | Einde van browsersessie | Wordt gebruikt voor het onderhouden van de SSO-sessie. Deze cookie is ingesteld als persistent, wanneer Aangemeld blijven is ingeschakeld. |
x-ms-cpim-cache:{id}_n |
b2clogin.com, login.microsoftonline.com, branded domein | Einde van browsersessie, geslaagde verificatie | Wordt gebruikt voor het onderhouden van de aanvraagstatus. |
x-ms-cpim-csrf |
b2clogin.com, login.microsoftonline.com, branded domein | Einde van browsersessie | Cross-Site Request Forgery-token dat wordt gebruikt voor CRSF-beveiliging. Lees de sectie Cross-Site request forgery token voor meer informatie. |
x-ms-cpim-dc |
b2clogin.com, login.microsoftonline.com, branded domein | Einde van browsersessie | Wordt gebruikt voor Azure AD B2C-netwerkroutering. |
x-ms-cpim-ctx |
b2clogin.com, login.microsoftonline.com, branded domein | Einde van browsersessie | Context |
x-ms-cpim-rp |
b2clogin.com, login.microsoftonline.com, branded domein | Einde van browsersessie | Wordt gebruikt voor het opslaan van lidmaatschapsgegevens voor de tenant van de resourceprovider. |
x-ms-cpim-rc |
b2clogin.com, login.microsoftonline.com, branded domein | Einde van browsersessie | Wordt gebruikt voor het opslaan van de relaycookie. |
Aanvraagvervalsingstoken voor meerdere sites
Om CSRF-aanvallen (Cross Site Request Forgery) te voorkomen, past Azure AD B2C het strategiemechanisme synchronisatietoken toe. Raadpleeg het artikel Cross-Site Request Forgery Prevention voor meer informatie over dit patroon.
Azure AD B2C genereert een synchronisatietoken en voegt dit op twee plaatsen toe: in een cookie met x-ms-cpim-csrfhet label en een querytekenreeksparameter met de naam csrf_token in de URL van de pagina die naar de Azure AD B2C wordt verzonden. Terwijl Azure AD B2C-service de binnenkomende aanvragen van de browser verwerkt, wordt bevestigd dat zowel de querytekenreeks als de cookieversies van het token bestaan en dat deze exact overeenkomen. Ook worden de elementen van de inhoud van het token geverifieerd op basis van de verwachte waarden voor de verificatie die wordt uitgevoerd.
Wanneer een gebruiker bijvoorbeeld op de registratie- of aanmeldingspagina de koppelingen Wachtwoord vergeten of Nu registreren selecteert, stuurt de browser een GET-aanvraag naar Azure AD B2C om de inhoud van de volgende pagina te laden. De aanvraag voor het laden van inhoud Azure AD B2C kiest er bovendien voor om het synchronisatietoken te verzenden en te valideren als extra beveiligingslaag om ervoor te zorgen dat de aanvraag voor het laden van de pagina het resultaat is van een verificatie die wordt uitgevoerd.
Het synchronisatietoken is een referentie waarmee een gebruiker niet wordt geïdentificeerd, maar die is gekoppeld aan een actieve unieke verificatiesessie.