Требования Azure Active Directory B2C к TLS и комплектам шифров

Azure Active Directory B2C (Azure AD B2C) подключается к вашим конечным точкам через соединители API и поставщики удостоверений в потоках пользователей. В этой статье рассматриваются требования к TLS и комплектам шифров для конечных точек.

Конечные точки, настроенные с соединителями API и поставщиками удостоверений, должны быть опубликованы в общедоступном URI HTTPS. Перед установкой безопасного подключения к конечной точке протокол и шифр согласовываются между Azure AD B2C и конечной точкой в зависимости от возможностей обеих сторон подключения.

Azure AD B2C должен иметь возможность подключения к вашим конечным точкам с помощью протокола TLS и комплектов шифров, как описано в этой статье.

Версии TLS

TLS версии 1.2 — это протокол шифрования, обеспечивающий проверку подлинности и шифрование данных между серверами и клиентами. Ваша конечная точка должна поддерживать безопасную связь по протоколу TLS версии 1.2. Более старые версии TLS, 1.0 и 1.1, являются устаревшими.

Комплекты шифров

Комплекты шифров — это наборы алгоритмов шифрования. Они предоставляют необходимую информацию о безопасном обмене данными при использовании протокола HTTPS с помощью TLS.

Ваша конечная точка должна поддерживать хотя бы один из следующих шифров.

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Конечные точки в области

Следующие конечные точки, используемые в среде Azure AD B2C, должны соответствовать требованиям, описанным в этой статье.

• Соединители API
• OAuth1
  • Конечная точка маркера
  • Конечная точка сведений о пользователе
• Поставщики удостоверений OAuth2 и OpenID Connect
  • Конечная точка обнаружения OpenID Connect
  • Конечная точка OpenID Connect JWKS
  • Конечная точка маркера
  • Конечная точка сведений о пользователе
• Указание для маркера идентификации
  • Конечная точка обнаружения OpenID Connect
  • Конечная точка OpenID Connect JWKS
• Конечная точка метаданных поставщика удостоверений SAML
• Конечная точка метаданных поставщика службы SAML

Проверка совместимости вашей конечной точки

Чтобы убедиться в том, что конечные точки соответствуют требованиям, описанным в этой статье, выполните тест с помощью средства шифрования и проверки подлинности TLS. Протестируйте свою конечную точку, используя SSLLABS.

Дальнейшие действия

См. также следующие статьи.

• Устранение неполадок в приложениях, которые не поддерживают протокол TLS 1.2
• Комплекты шифров в TLS/SSL (Schannel SSP)
• Как включить TLS 1.2
• Решение проблемы с TLS 1.0