Definicje plików cookie dla Azure AD B2C
W poniższych sekcjach przedstawiono informacje o plikach cookie używanych w usłudze Azure Active Directory B2C (Azure AD B2C).
SameSite
Usługa Azure B2C jest zgodna z konfiguracjami przeglądarki SameSite, w tym obsługą SameSite=None atrybutu Secure .
Aby chronić dostęp do witryn, przeglądarki internetowe będą wprowadzać nowy bezpieczny domyślnie model, który zakłada, że wszystkie pliki cookie powinny być chronione przed dostępem zewnętrznym, chyba że określono inaczej. Przeglądarka Chrome jest pierwszą w celu zaimplementowania tej zmiany, począwszy od przeglądarki Chrome 80 w lutym 2020 roku. Aby uzyskać więcej informacji na temat przygotowywania do zmiany w przeglądarce Chrome, zobacz Deweloperzy: Przygotowanie do nowej witryny SameSite=None; Bezpieczne ustawienia plików cookie na blogu Chromium.
Deweloperzy muszą używać nowego ustawienia plików cookie, SameSite=None, aby wyznaczyć pliki cookie na potrzeby dostępu między witrynami. Gdy SameSite=None atrybut jest obecny, należy użyć dodatkowego Secure atrybutu, aby pliki cookie między witrynami były dostępne tylko za pośrednictwem połączeń HTTPS. Zweryfikuj i przetestuj wszystkie aplikacje, w tym te aplikacje, które używają Azure AD B2C.
Aby uzyskać więcej informacji, zobacz:
- Obsługa zmian plików cookie SameSite w przeglądarce Chrome
- Wpływ na witryny internetowe klientów oraz usługi i produkty firmy Microsoft w przeglądarce Chrome w wersji 80 lub nowszej
Pliki cookie
W poniższej tabeli wymieniono pliki cookie używane w Azure AD B2C.
| Nazwa | Domena | Wygaśnięcie | Przeznaczenie |
|---|---|---|---|
x-ms-cpim-admin |
main.b2cadmin.ext.azure.com | Koniec sesji przeglądarki | Przechowuje dane członkostwa użytkowników w dzierżawach. Dzierżawcy użytkownik jest członkiem i poziomem członkostwa (Administracja lub Użytkownik). |
x-ms-cpim-slice |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | Koniec sesji przeglądarki | Służy do kierowania żądań do odpowiedniego wystąpienia produkcyjnego. |
x-ms-cpim-trans |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | Koniec sesji przeglądarki | Służy do śledzenia transakcji (liczba żądań uwierzytelniania do Azure AD B2C) i bieżącej transakcji. |
x-ms-cpim-sso:{Id} |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | Koniec sesji przeglądarki | Służy do obsługi sesji logowania jednokrotnego. Ten plik cookie jest ustawiany jako persistent, gdy włączono opcję Zachowaj mnie zalogowano . |
x-ms-cpim-cache:{id}_n |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | Zakończenie sesji przeglądarki, pomyślne uwierzytelnienie | Służy do obsługi stanu żądania. |
x-ms-cpim-csrf |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | Koniec sesji przeglądarki | Token fałszowania żądań między witrynami używany do ochrony crSF. Aby uzyskać więcej informacji, przeczytaj sekcję Token fałszowania żądań między witrynami . |
x-ms-cpim-dc |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | Koniec sesji przeglądarki | Służy do Azure AD routingu sieciowego B2C. |
x-ms-cpim-ctx |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | Koniec sesji przeglądarki | Kontekst |
x-ms-cpim-rp |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | Koniec sesji przeglądarki | Służy do przechowywania danych członkostwa dla dzierżawy dostawcy zasobów. |
x-ms-cpim-rc |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | Koniec sesji przeglądarki | Służy do przechowywania pliku cookie przekaźnika. |
x-ms-cpim-geo |
b2clogin.com, login.microsoftonline.com, domena oznaczona marką | 1 godzina | Służy jako wskazówka do określenia lokalizacji geograficznej dzierżawy zasobów. |
Token fałszowania żądań między witrynami
Aby zapobiec atakom fałszerowania żądań między witrynami (CSRF), Azure AD B2C stosuje mechanizm strategii tokenu synchronizatora. Aby uzyskać więcej informacji na temat tego wzorca, zapoznaj się z artykułem Zapobieganie fałszowaniu żądań między witrynami .
Azure AD B2C generuje token synchronizatora i dodaje go w dwóch miejscach; w pliku cookie oznaczonym x-ms-cpim-csrfetykietą , oraz parametr ciągu zapytania o nazwie csrf_token w adresie URL strony wysłanej do Azure AD B2C. Ponieważ usługa Azure AD B2C przetwarza żądania przychodzące z przeglądarki, potwierdza, że zarówno ciąg zapytania, jak i wersje pliku cookie tokenu istnieją i że dokładnie pasują. Sprawdza również elementy zawartości tokenu, aby potwierdzić oczekiwane wartości uwierzytelniania w toku.
Na przykład na stronie rejestracji lub logowania, gdy użytkownik wybierze link "Nie pamiętam hasła" lub "Zarejestruj się teraz", przeglądarka wysyła żądanie GET do Azure AD B2C w celu załadowania zawartości następnej strony. Żądanie załadowania zawartości Azure AD B2C dodatkowo wybiera wysyłanie i weryfikowanie tokenu synchronizatora jako dodatkową warstwę ochrony, aby upewnić się, że żądanie załadowania strony było wynikiem uwierzytelniania w toku.
Token synchronizatora to poświadczenia, które nie identyfikują użytkownika, ale są powiązane z aktywną unikatową sesją uwierzytelniania.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla