Requisitos do conjunto de criptografia e TLS do Azure Active Directory B2C

O Azure AD B2C (Azure Active Directory B2C) conecta-se aos seus pontos de extremidade por meio de conectores de API e provedores de identidade em fluxos de usuário. Este artigo aborda os requisitos de TLS e conjunto de criptografias para seus pontos de extremidade.

Os pontos de extremidade configurados com conectores de API e provedores de identidade devem ser publicados em um URI HTTPS acessível publicamente. Antes que uma conexão segura seja estabelecida com o ponto de extremidade, o protocolo e a criptografia são negociados entre o Azure AD B2C e o ponto de extremidade com base nas funcionalidades de ambos os lados da conexão.

O Azure AD B2C deve ser capaz de se conectar aos seus pontos de extremidade usando o TLS (Transport Layer Security) e os conjuntos de criptografia, conforme descrito neste artigo.

Versões do TLS

O TLS versão 1.2 é um protocolo criptográfico que fornece autenticação e criptografia de dados entre servidores e clientes. O ponto de extremidade deve dar suporte à comunicação segura por meio do TLS versão 1.2. As versões 1.0 e 1.1 do TLS mais antigas foram preteridas.

Conjuntos de criptografia

Conjuntos de criptografia são conjuntos de algoritmos criptográficos. Eles fornecem informações essenciais sobre como comunicar dados com segurança ao usar o protocolo HTTPS por meio do TLS.

O ponto de extremidade deve dar suporte a pelo menos uma das seguintes codificações:

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Pontos de extremidade no escopo

Os seguintes pontos de extremidade usados em seu ambiente do Azure AD B2C devem estar em conformidade com os requisitos descritos neste artigo:

• Conectores de API
• OAuth1
  • Ponto de extremidade de token
  • Ponto de extremidade de informações do usuário
• Provedores de identidade do OAuth2 e OpenID Connect
  • Ponto de extremidade de descoberta do OpenID Connect
  • Ponto de extremidade JWKS do OpenID Connect
  • Ponto de extremidade de token
  • Ponto de extremidade de informações do usuário
• Dica de token de ID
  • Ponto de extremidade de descoberta do OpenID Connect
  • Ponto de extremidade JWKS do OpenID Connect
• Ponto de extremidade de metadados do provedor de identidade SAML
• Ponto de extremidade de metadados do provedor de serviços SAML

Verificar a compatibilidade do ponto de extremidade

Para verificar se os pontos de extremidade estão em conformidade com os requisitos descritos neste artigo, execute um teste usando uma ferramenta de criptografia e scanner TLS. Teste seu ponto de extremidade usando SSLLABS.

Próximas etapas

Veja também os artigos a seguir:

• Solucionar aplicativos que não permitem TLS 1.2
• Pacotes de Criptografia em TLS/SSL (SSP Schannel)
• Como habilitar o TLS 1.2
• Solucionar o problema do TLS 1.0