Overzicht van beleidssleutels in Azure Active Directory B2C

  • Artikel

Voordat u begint, gebruikt u de selector Een beleidstype kiezen om het type beleid te kiezen dat u instelt. U kunt in Azure Active Directory B2C op twee manieren definiëren hoe gebruikers met uw toepassingen communiceren: via vooraf gedefinieerde gebruikersstromen of via volledig configureerbaar aangepast beleid. De stappen die in dit artikel zijn vereist, verschillen voor elke methode.

Deze functie is alleen beschikbaar voor aangepast beleid. Voor configuratiestappen selecteert u Aangepast beleid in de voorgaande selector.

Azure Active Directory B2C (Azure AD B2C) slaat geheimen en certificaten op in de vorm van beleidssleutels om een vertrouwensrelatie tot stand te brengen met de services waarmee deze is geïntegreerd. Deze vertrouwensrelaties bestaan uit:

  • Externe id-providers
  • Verbinding maken met REST API-services
  • Tokenondertekening en -versleuteling

In dit artikel wordt besproken wat u moet weten over de beleidssleutels die worden gebruikt door Azure AD B2C.

Notitie

Momenteel is de configuratie van beleidssleutels beperkt tot alleen aangepaste beleidsregels .

U kunt geheimen en certificaten configureren voor het tot stand brengen van vertrouwen tussen services in Azure Portal in het menu Beleidssleutels . Sleutels kunnen symmetrisch of asymmetrisch zijn. Symmetrische cryptografie of cryptografie met persoonlijke sleutels is de plek waar een gedeeld geheim wordt gebruikt om de gegevens te versleutelen en te ontsleutelen. Asymmetrische cryptografie of openbare-sleutelcryptografie is een cryptografisch systeem dat gebruikmaakt van paren sleutels, bestaande uit openbare sleutels die worden gedeeld met de relying party-toepassing en persoonlijke sleutels die alleen bekend zijn bij Azure AD B2C.

Beleidssleutelset en sleutels

De resource op het hoogste niveau voor beleidssleutels in Azure AD B2C is de Keyset-container . Elke sleutelset bevat ten minste één sleutel. Een sleutel heeft de volgende kenmerken:

Kenmerk Vereist Opmerkingen
use Ja Gebruik: Identificeert het beoogde gebruik van de openbare sleutel. Gegevens versleutelen encof de handtekening op gegevens sigverifiëren.
nbf Nee Activeringsdatum en -tijd.
exp Nee Vervaldatum en -tijd.

We raden u aan de activerings- en vervaldatumwaarden van de sleutel in te stellen op basis van uw PKI-standaarden. Mogelijk moet u deze certificaten regelmatig roteren om beveiligings- of beleidsredenen. U kunt bijvoorbeeld een beleid hebben om al uw certificaten elk jaar te roteren.

Als u een sleutel wilt maken, kunt u een van de volgende methoden kiezen:

  • Handmatig : maak een geheim met een tekenreeks die u definieert. Het geheim is een symmetrische sleutel. U kunt de activerings- en vervaldatums instellen.
  • Gegenereerd : automatisch een sleutel genereren. U kunt activerings- en vervaldatums instellen. Er zijn twee opties:
    • Geheim : genereert een symmetrische sleutel.
    • RSA : genereert een sleutelpaar (asymmetrische sleutels).
  • Uploaden : een certificaat of een PKCS12-sleutel uploaden. Het certificaat moet de persoonlijke en openbare sleutels (asymmetrische sleutels) bevatten.

Sleutelrollover

Voor beveiligingsdoeleinden kan Azure AD B2C periodiek sleutels overrollen of onmiddellijk in geval van nood. Elke toepassing, id-provider of REST API die is geïntegreerd met Azure AD B2C, moet worden voorbereid om een gebeurtenis voor sleutelrollover af te handelen, ongeacht hoe vaak het kan gebeuren. Als uw toepassing of Azure AD B2C een verlopen sleutel probeert te gebruiken om een cryptografische bewerking uit te voeren, mislukt de aanmeldingsaanvraag.

Als een Azure AD B2C-sleutelset meerdere sleutels heeft, is slechts één van de sleutels tegelijk actief, op basis van de volgende criteria:

  • De activering van de sleutel is gebaseerd op de activeringsdatum.
    • De sleutels worden gesorteerd op activeringsdatum in oplopende volgorde. Sleutels met activeringsdatums verder in de toekomst worden lager weergegeven in de lijst. Sleutels zonder activeringsdatum bevinden zich onderaan de lijst.
    • Wanneer de huidige datum en tijd groter is dan de activeringsdatum van een sleutel, activeert Azure AD B2C de sleutel en stopt u met het gebruik van de vorige actieve sleutel.
  • Wanneer de verlooptijd van de huidige sleutel is verstreken en de sleutelcontainer een nieuwe sleutel bevat met geldige niet voor - en verlooptijden , wordt de nieuwe sleutel automatisch actief.
  • Wanneer de verlooptijd van de huidige sleutel is verstreken en de sleutelcontainer geen nieuwe sleutel bevat met geldige niet voor - en verlooptijden , kan Azure AD B2C de verlopen sleutel niet gebruiken. Azure AD B2C genereert een foutbericht binnen een afhankelijk onderdeel van uw aangepaste beleid. Om dit probleem te voorkomen, kunt u een standaardsleutel maken zonder activerings- en vervaldatums als een veiligheidsnet.
  • Het eindpunt van de sleutel (JWKS-URI) van het OpenId-Verbinding maken bekende configuratie-eindpunt weerspiegelt de sleutels die zijn geconfigureerd in de sleutelcontainer, wanneer naar de sleutel wordt verwezen in het technische profiel JwtIssuer. Een toepassing die gebruikmaakt van een OIDC-bibliotheek haalt deze metagegevens automatisch op om ervoor te zorgen dat deze de juiste sleutels gebruikt om tokens te valideren. Meer informatie over het gebruik van Microsoft Authentication Library, waarmee altijd automatisch de meest recente ondertekeningssleutels voor tokens worden opgehaald.

Beheer van beleidssleutels

Als u de huidige actieve sleutel in een sleutelcontainer wilt ophalen, gebruikt u het microsoft Graph API getActiveKey-eindpunt .

Ondertekenings- en versleutelingssleutels toevoegen of verwijderen:

  1. Meld u aan bij de Azure-portal.
  2. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het bovenste menu om over te schakelen naar uw Azure AD B2C-tenant in het menu Mappen en abonnementen.
  3. Zoek en selecteer Azure AD B2C in de Azure-portal.
  4. Selecteer op de overzichtspagina onder Beleid de optie Identity Experience Framework.
  5. Beleidssleutels selecteren
    1. Als u een nieuwe sleutel wilt toevoegen, selecteert u Toevoegen.
    2. Als u een nieuwe sleutel wilt verwijderen, selecteert u de sleutel en selecteert u Vervolgens Verwijderen. Als u de sleutel wilt verwijderen, typt u de naam van de sleutelcontainer die u wilt verwijderen. Azure AD B2C verwijdert de sleutel en maakt een kopie van de sleutel met het achtervoegsel .bak.

Een sleutel vervangen

De sleutels in een sleutelset zijn niet vervangbaar of verwijderbaar. Als u een bestaande sleutel wilt wijzigen:

  • U wordt aangeraden een nieuwe sleutel toe te voegen met de activeringsdatum die is ingesteld op de huidige datum en tijd. Azure AD B2C activeert de nieuwe sleutel en stopt met het gebruik van de vorige actieve sleutel.
  • U kunt ook een nieuwe sleutelset maken met de juiste sleutels. Werk uw beleid bij om de nieuwe sleutelset te gebruiken en verwijder vervolgens de oude sleutelset.

Volgende stappen

  • Meer informatie over het gebruik van Microsoft Graph om de implementatie van een sleutelset en beleidssleutels te automatiseren.