Visão geral das chaves de política no Azure Ative Directory B2C
Antes de começar, use o seletor Escolha um tipo de política para escolher o tipo de política que você está configurando. O Azure Ative Directory B2C oferece dois métodos para definir como os usuários interagem com seus aplicativos: por meio de fluxos de usuário predefinidos ou por meio de políticas personalizadas totalmente configuráveis. As etapas exigidas neste artigo são diferentes para cada método.
Este recurso está disponível apenas para políticas personalizadas. Para as etapas de configuração, selecione Política personalizada no seletor anterior.
O Azure Ative Directory B2C (Azure AD B2C) armazena segredos e certificados na forma de chaves de política para estabelecer confiança com os serviços com os quais se integra. Estes fundos fiduciários consistem em:
- Fornecedores de identidade externos
- Conectando-se com serviços de API REST
- Assinatura e criptografia de token
Este artigo discute o que você precisa saber sobre as chaves de política usadas pelo Azure AD B2C.
Nota
Atualmente, a configuração de chaves de política está limitada apenas a políticas personalizadas.
Você pode configurar segredos e certificados para estabelecer confiança entre serviços no portal do Azure no menu Chaves de política. As chaves podem ser simétricas ou assimétricas. Criptografia simétrica , ou criptografia de chave privada, é onde um segredo compartilhado é usado para criptografar e descriptografar os dados. A criptografia assimétrica , ou criptografia de chave pública, é um sistema criptográfico que usa pares de chaves, consistindo em chaves públicas que são compartilhadas com o aplicativo de terceira parte confiável e chaves privadas que são conhecidas apenas pelo Azure AD B2C.
Conjunto de chaves e chaves de política
O recurso de nível superior para chaves de política no Azure AD B2C é o contêiner Keyset . Cada conjunto de chaves contém pelo menos uma chave. Uma chave tem os seguintes atributos:
Atributo | Necessário | Observações |
---|---|---|
use |
Sim | Uso: Identifica o uso pretendido da chave pública. Encriptação de dados ou verificação da assinatura nos dados enc sig . |
nbf |
Não | Data e hora de ativação. |
exp |
Não | Data e hora de validade. |
Recomendamos definir os valores de ativação e expiração da chave de acordo com seus padrões PKI. Talvez seja necessário alternar esses certificados periodicamente por motivos de segurança ou de política. Por exemplo, você pode ter uma política para alternar todos os seus certificados todos os anos.
Para criar uma chave, você pode escolher um dos seguintes métodos:
- Manual - Crie um segredo com uma string que você definir. O segredo é uma chave simétrica. Você pode definir as datas de ativação e validade.
- Gerado - Gerar automaticamente uma chave. Você pode definir datas de ativação e validade. Existem duas opções:
- Segredo - Gera uma chave simétrica.
- RSA - Gera um par de chaves (chaves assimétricas).
- Carregar - Carregue um certificado ou uma chave PKCS12. O certificado deve conter as chaves privada e pública (chaves assimétricas).
Substituição de chaves
Por motivos de segurança, o Azure AD B2C pode rolar chaves periodicamente ou imediatamente em caso de emergência. Qualquer aplicativo, provedor de identidade ou API REST que se integre ao Azure AD B2C deve estar preparado para lidar com um evento de substituição de chave, independentemente da frequência com que ele possa ocorrer. Caso contrário, se seu aplicativo ou Azure AD B2C tentar usar uma chave expirada para executar uma operação criptográfica, a solicitação de entrada falhará.
Se um conjunto de chaves do Azure AD B2C tiver várias chaves, apenas uma delas estará ativa ao mesmo tempo, com base nos seguintes critérios:
- A ativação da chave é baseada na data de ativação.
- As chaves são ordenadas por data de ativação em ordem crescente. As chaves com datas de ativação mais para o futuro aparecem mais abaixo na lista. As chaves sem uma data de ativação estão localizadas na parte inferior da lista.
- Quando a data e a hora atuais forem maiores do que a data de ativação de uma chave, o Azure AD B2C ativará a chave e interromperá o uso da chave ativa anterior.
- Quando o tempo de expiração da chave atual tiver decorrido e o contêiner de chave contiver uma nova chave com tempos de validade não antes e expiração , a nova chave ficará ativa automaticamente.
- Quando o tempo de expiração da chave atual tiver decorrido e o contêiner de chave não contiver uma nova chave com tempos válidos não antes e expiração, o Azure AD B2C não poderá usar a chave expirada. O Azure AD B2C gerará uma mensagem de erro dentro de um componente dependente da sua política personalizada. Para evitar esse problema, você pode criar uma chave padrão sem datas de ativação e expiração como uma rede de segurança.
- O ponto de extremidade da chave (JWKS URI) do ponto de extremidade de configuração conhecido do OpenId Connect reflete as chaves configuradas no Contêiner de Chaves, quando a Chave é referenciada no Perfil Técnico do JwtEissuer. Um aplicativo usando uma biblioteca OIDC buscará automaticamente esses metadados para garantir que ele use as chaves corretas para validar tokens. Para obter mais informações, saiba como usar a Biblioteca de Autenticação da Microsoft, que sempre busca as chaves de assinatura de token mais recentes automaticamente.
Gestão de chaves de política
Para obter a chave ativa atual dentro de um contêiner de chave, use o ponto de extremidade getActiveKey da API do Microsoft Graph.
Para adicionar ou excluir chaves de assinatura e criptografia:
- Inicie sessão no portal do Azure.
- Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas .
- No portal do Azure, procure e selecione Azure AD B2C.
- Na página de visão geral, em Políticas, selecione Identity Experience Framework.
- Selecionar chaves de política
- Para adicionar uma nova chave, selecione Adicionar.
- Para remover uma nova chave, selecione-a e, em seguida, selecione Excluir. Para excluir a chave, digite o nome do contêiner de chave a ser excluído. O Azure AD B2C excluirá a chave e criará uma cópia da chave com o sufixo .bak.
Substituir uma chave
As chaves em um conjunto de chaves não são substituíveis ou removíveis. Se você precisar alterar uma chave existente:
- Recomendamos adicionar uma nova chave com a data de ativação definida para a data e hora atuais. O Azure AD B2C ativará a nova chave e interromperá o uso da chave ativa anterior.
- Como alternativa, você pode criar um novo conjunto de chaves com as chaves corretas. Atualize sua política para usar o novo conjunto de chaves e, em seguida, remova o conjunto de chaves antigo.