Определения файлов cookie для Azure AD B2C
В следующих разделах содержатся сведения о файлах cookie, используемых в Azure Active Directory B2C (Azure AD B2C).
SameSite
Служба Azure B2C совместима с конфигурациями браузера SameSite, включая поддержку SameSite=None с атрибутом Secure .
Чтобы защитить доступ к сайтам, в веб-браузерах будет введена новая модель безопасности по умолчанию, она предполагает, что все файлы cookie должны быть защищены от внешнего доступа, если не указано иное. Браузер Chrome впервые реализует это изменение, начиная с Chrome 80 в феврале 2020 г. Дополнительные сведения о подготовке к изменению в Chrome см. в статье Разработчики: подготовка к созданию New SameSite = None; защита параметров файлов cookie в блоге Chromium.
SameSite=NoneЧтобы назначить файлы cookie для межсайтовой доступности, разработчикам следует воспользоваться параметром "новый файл cookie". При наличии атрибута SameSite=None необходимо использовать дополнительный атрибут Secure, чтобы межсайтовые файлы cookie могли быть доступны только через HTTPS-соединения. Проверка и тестирование всех приложений, в том числе приложений, использующих Azure AD B2C.
Дополнительные сведения см. в разделе:
- Обработка изменений свойства SameSite в файлах cookie в браузере Chrome
- Воздействие на веб-сайты клиентов и службы Майкрософт, а также на продукты в Chrome версии 80 или более поздней
Файлы cookie
В следующей таблице перечислены файлы cookie, используемые в Azure AD B2C.
| Имя | Домен | Окончание срока действия | Цель |
|---|---|---|---|
x-ms-cpim-admin |
main.b2cadmin.ext.azure.com | Конец сеанса браузера | Хранит данные о членстве пользователей в клиентах. Клиенты, членом которых является пользователь, и уровень членства (администратор или пользователь). |
x-ms-cpim-slice |
b2clogin.com, login.microsoftonline.com, домен с фирменной символикой | Конец сеанса браузера | Используется для маршрутизации запросов к соответствующему рабочему экземпляру. |
x-ms-cpim-trans |
b2clogin.com, login.microsoftonline.com, домен с фирменной символикой | Конец сеанса браузера | Используется для отслеживания транзакций (число запросов проверки подлинности Azure AD B2C) и текущей транзакции. |
x-ms-cpim-sso:{Id} |
b2clogin.com, login.microsoftonline.com, домен с фирменной символикой | Конец сеанса браузера | Используется для обслуживания сеанса единого входа. Этот файл cookie задается как persistent, когда функция persistent включена. |
x-ms-cpim-cache:{id}_n |
b2clogin.com, login.microsoftonline.com, домен с фирменной символикой | Окончание сеанса браузера, успешная проверка подлинности | Используется для обслуживания состояния запроса. |
x-ms-cpim-csrf |
b2clogin.com, login.microsoftonline.com, домен с фирменной символикой | Конец сеанса браузера | Токен подделки межсайтовых запросов, используемый для защиты от подделки межсайтовых запросов. Дополнительные сведения см. в разделе Токен подделки межсайтовых запросов. |
x-ms-cpim-dc |
b2clogin.com, login.microsoftonline.com, домен с фирменной символикой | Конец сеанса браузера | Используется для сетевой маршрутизации Azure AD B2C. |
x-ms-cpim-ctx |
b2clogin.com, login.microsoftonline.com, домен с фирменной символикой | Конец сеанса браузера | Контекст |
x-ms-cpim-rp |
b2clogin.com, login.microsoftonline.com, домен с фирменной символикой | Конец сеанса браузера | Используется для хранения данных о членстве в клиенте поставщика ресурсов. |
x-ms-cpim-rc |
b2clogin.com, login.microsoftonline.com, домен с фирменной символикой | Конец сеанса браузера | Используется для хранения надежных файлов cookie. |
x-ms-cpim-geo |
b2clogin.com, login.microsoftonline.com, домен с фирменной символикой | 1 час | Используется в качестве указания для определения географического расположения клиента ресурса. |
Токен подделки межсайтовых запросов
Чтобы предотвратить атаки с использованием подделки межсайтовых запросов (CSRF), Azure AD B2C применяет механизм стратегии на основе токена синхронизатора. Дополнительные сведения об этом шаблоне см. в статье Предотвращение подделки межсайтовых запросов.
Azure AD B2C создает маркер синхронизатора и добавляет его в два места: в файл cookie с меткой x-ms-cpim-csrf и в параметр строки запроса с именем csrf_token в URL-адресе страницы, который передается в Azure AD B2C. Когда служба Azure AD B2C обрабатывает входящий запрос от браузера, она проверяет наличие и идентичность токенов в строке запроса и в файле cookie. Также она проверяет элементы содержимого токена, чтобы подтвердить ожидаемые значения для выполняющейся проверки подлинности.
Например, когда пользователь выбирает ссылки "Забыл пароль" или "Подписать сейчас" на странице регистрации или входа, браузер отправляет в Azure AD B2C запрос GET для загрузки содержимого следующей страницы. Запрос на загрузку содержимого из Azure AD B2C также приводит к отправке и проверке токена синхронизатора. Этот дополнительный уровень защиты должен гарантировать, что запрос на загрузку страницы создан в рамках выполняющейся проверки подлинности.
Токен синхронизатора — это учетные данные, которые связаны не с пользователем, а с активным уникальным сеансом проверки подлинности.