Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais em nossas perguntas frequentes.
Antes de começar, use o seletor Escolha um tipo de política na parte superior dessa página para escolher o tipo de política que você está configurando. O Azure Active Directory B2C oferece dois métodos para definir como os usuários interagem com seus aplicativos: por meio de fluxos de usuários predefinidos ou por meio de políticas personalizadas totalmente configuráveis. As etapas necessárias neste artigo são diferentes para cada método.
Esse recurso está disponível apenas para políticas personalizadas. Para as etapas de instalação, selecione Política personalizada no seletor anterior.
O Azure AD B2C (Azure Active Directory B2C) armazena segredos e certificados na forma de chaves de política para estabelecer confiança com os serviços com os quais ele se integra. Essas relações de confiança consistem em:
- Provedores de identidade externos
- Conectando-se com serviços de API REST
- Assinatura e criptografia de token
Este artigo discute o que você precisa saber sobre as chaves de política usadas pelo Azure AD B2C.
Observação
Atualmente, a configuração de chaves de política é limitada apenas a políticas personalizadas .
Você pode configurar segredos e certificados para estabelecer a confiança entre os serviços no portal do Azure no menu Chaves de política . As chaves podem ser simétricas ou assimétricas. Criptografia simétrica ou criptografia de chave privada é onde um segredo compartilhado é usado para criptografar e descriptografar os dados. A criptografia assimétrica , ou criptografia de chave pública, é um sistema criptográfico que usa pares de chaves, que consistem em chaves públicas compartilhadas com o aplicativo de terceira parte confiável e chaves privadas que são conhecidas apenas pelo Azure AD B2C.
Chave e conjunto de chaves de política
O recurso de nível superior para chaves de política no Azure AD B2C é o contêiner Keyset. Cada conjunto de chaves contém pelo menos uma chave. Uma chave tem os seguintes atributos:
| Atributo | Obrigatório | Observações |
|---|---|---|
use |
Sim | Uso: identifica o uso pretendido da chave pública. Criptografar dados encou verificar a assinatura nos dados sig. |
nbf |
Não | Data e hora da ativação. Um valor de substituição pode ser definido manualmente pelos administradores. |
exp |
Não | Data e hora de expiração. Um valor de substituição pode ser definido manualmente pelos administradores. |
É recomendável definir os valores de ativação e expiração da chave de acordo com seus padrões de PKI. Talvez seja necessário girar esses certificados periodicamente por motivos de segurança ou política. Por exemplo, você pode ter uma política de renovar todos os seus certificados anualmente.
Para criar uma chave, você pode escolher um dos seguintes métodos:
- Manual – Criar um segredo com uma cadeia de caracteres que você definir. O segredo é uma chave simétrica. Você pode definir as datas de ativação e expiração.
-
Gerado – gerar automaticamente uma chave. Você pode definir datas de ativação e expiração. Há duas opções:
- Segredo – Gera uma chave simétrica.
- RSA – Gera um par de chaves (chaves assimétricas).
- Carregar – Carregar um certificado ou uma chave PKCS12. O certificado deve conter as chaves privadas e públicas (chaves assimétricas).
Sobreposição de chave
Para fins de segurança, o Azure AD B2C pode distribuir chaves periodicamente ou imediatamente se houver emergência. Qualquer aplicativo, provedor de identidade ou API REST que se integre ao Azure AD B2C deve estar preparado para lidar com um evento de substituição de chave, independentemente da frequência com que ele possa ocorrer. Caso contrário, se o aplicativo ou o Azure AD B2C tentar usar uma chave expirada para executar uma operação criptográfica, a solicitação de entrada falhará.
Se um conjunto de chaves do Azure AD B2C tiver várias chaves, apenas uma das chaves estará ativa ao mesmo tempo, com base nos seguintes critérios:
A ativação da chave é baseada na data de ativação.
- As chaves são classificadas por data de ativação em ordem crescente. As chaves com datas de ativação mais distantes no futuro aparecem mais abaixo na lista. As chaves sem uma data de ativação estão localizadas na parte inferior da lista.
- Quando a data e a hora atuais são maiores que a data de ativação de uma chave, o Azure AD B2C ativa a chave e para de usar a chave ativa anterior.
Quando o tempo de expiração da chave atual tiver decorrido e o contêiner de chave contiver uma nova chave com tempos válidos de nbf (não antes) e exp (expiração), a nova chave se tornará ativa automaticamente. Novos tokens são assinados com a chave recém-ativa. É possível manter uma chave expirada publicada para validação de token até ser desabilitada por um administrador, mas isso deve ser solicitado arquivando uma solicitação de suporte.
Quando o tempo de expiração da chave atual tiver decorrido e o contêiner de chave não contiver uma nova chave com tempos não antes e de expiração, o Azure AD B2C não poderá usar a chave expirada. O Azure AD B2C gera uma mensagem de erro dentro de um componente dependente de sua política personalizada. Para evitar esse problema, você pode criar uma chave padrão sem datas de ativação e expiração como uma rede de segurança.
O ponto de extremidade da chave (URI JWKS) do ponto de extremidade de configuração conhecido do OpenId Connect reflete as chaves configuradas no contêiner de chave, quando a chave é referenciada no Perfil técnico do JwtIssuer. Um aplicativo que usa uma biblioteca OIDC buscará automaticamente esses metadados para garantir que ele use as chaves corretas para validar tokens. Para obter mais informações, saiba como usar a Biblioteca de Autenticação da Microsoft, que sempre busca automaticamente as chaves de assinatura de token mais recentes.
Cache de chaves
Quando uma chave é carregada, o sinalizador de ativação na chave é definido como false por padrão. Em seguida, você pode definir o estado dessa chave como Habilitado. Se uma chave estiver habilitada e válida (a hora atual estiver dentro do período entre NBF e EXP), a chave será usada.
Estado chave
A propriedade de sinalizador de ativação é modificável dentro da UX do portal do Azure, permitindo que os administradores desabilitem uma chave e a tirem da rotação.
Gerenciamento de chaves de política
Para obter a chave ativa atual em um contêiner de chave, use o endpoint getActiveKey da API do Microsoft Graph.
Para adicionar ou excluir chaves de assinatura e criptografia:
- Entre no portal do Azure.
- Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas.
- No portal do Azure, pesquise e selecione Azure AD B2C.
- Na página de visão geral, em Políticas, selecione Identity Experience Framework.
- Selecionar Chaves de Política
- Para adicionar uma nova chave, selecione Adicionar.
- Para remover uma nova chave, selecione a chave e selecione Excluir. Para excluir a chave, digite o nome do contêiner de chave a ser excluído. O Azure AD B2C exclui a chave e cria uma cópia da chave com o sufixo .bak.
Substituir uma chave
As chaves em um conjunto de chaves não são substituíveis ou removíveis. Se você precisar alterar uma chave existente:
- Recomendamos adicionar uma nova chave com a data de ativação definida para a data e a hora atuais. O Azure AD B2C ativa a nova chave e para de usar a chave ativa anterior.
- Como alternativa, você pode criar um novo conjunto de chaves com as chaves corretas. Atualize sua política para usar o novo conjunto de chaves e remova o conjunto de chaves antigo.
Conteúdo relacionado
- Saiba como usar o Microsoft Graph para automatizar um conjunto de chaves e uma implantação de chaves de política .