Cookies-definitioner för Azure AD B2C
Följande avsnitt innehåller information om de cookies som används i Azure Active Directory B2C (Azure AD B2C).
SameSite
Azure B2C-tjänsten är kompatibel med SameSite-webbläsarkonfigurationer, inklusive stöd för SameSite=None med Secure -attributet.
För att skydda åtkomsten till webbplatser introducerar webbläsare en ny säker standardmodell som förutsätter att alla cookies ska skyddas från extern åtkomst om inget annat anges. Webbläsaren Chrome är den första som implementerar den här ändringen, från och med Chrome 80 i februari 2020. Mer information om hur du förbereder för ändringen i Chrome finns i Developers: Get Ready for New SameSite=None; Skydda cookieinställningar på Chromium-bloggen.
Utvecklare måste använda den nya cookieinställningen, SameSite=None, för att utse cookies för åtkomst mellan webbplatser. När attributet SameSite=None finns måste ytterligare Secure ett attribut användas så att cookies mellan webbplatser endast kan nås via HTTPS-anslutningar. Verifiera och testa alla dina program, inklusive de program som använder Azure AD B2C.
Mer information finns i:
- Hantera SameSite-cookieändringar i webbläsaren Chrome
- Påverkan på kundens webbplatser samt Microsoft-tjänster och produkter i Chrome-version 80 eller senare
Cookies
I följande tabell visas de cookies som används i Azure AD B2C.
| Name | Domain | Förfallodatum | Syfte |
|---|---|---|---|
x-ms-cpim-admin |
main.b2cadmin.ext.azure.com | Avsluta webbläsarsession | Innehåller data om användarmedlemskap mellan klienter. Klientorganisationen som en användare är medlem i och medlemsnivå (Admin eller användare). |
x-ms-cpim-slice |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | Avsluta webbläsarsession | Används för att dirigera begäranden till lämplig produktionsinstans. |
x-ms-cpim-trans |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | Avsluta webbläsarsession | Används för att spåra transaktionerna (antal autentiseringsbegäranden till Azure AD B2C) och den aktuella transaktionen. |
x-ms-cpim-sso:{Id} |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | Avsluta webbläsarsession | Används för att underhålla SSO-sessionen. Den här cookien anges som persistent, när Keep Me Signed In (Behåll mig inloggad ) är aktiverat. |
x-ms-cpim-cache:{id}_n |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | Avsluta webbläsarsession, lyckad autentisering | Används för att underhålla begärandetillståndet. |
x-ms-cpim-csrf |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | Avsluta webbläsarsession | Förfalskningstoken för begäran mellan webbplatser som används för CRSF-skydd. Mer information finns i avsnittet förfalskningstoken för begäran mellan webbplatser . |
x-ms-cpim-dc |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | Avsluta webbläsarsession | Används för Azure AD B2C-nätverksroutning. |
x-ms-cpim-ctx |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | Avsluta webbläsarsession | Kontext |
x-ms-cpim-rp |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | Avsluta webbläsarsession | Används för att lagra medlemskapsdata för resursproviderns klientorganisation. |
x-ms-cpim-rc |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | Avsluta webbläsarsession | Används för att lagra reläkakan. |
x-ms-cpim-geo |
b2clogin.com, login.microsoftonline.com, varumärkesdomän | 1 timme | Används som ett tips för att fastställa resursklientorganisationens geografiska plats. |
Förfalskningstoken för begäran mellan webbplatser
För att förhindra CSRF-attacker (Cross Site Request Forgery) använder Azure AD B2C strategimekanismen synkroniserartoken. Mer information om det här mönstret finns i artikeln Förebyggande av förfalskning mellan webbplatser .
Azure AD B2C genererar en synkroniserartoken och lägger till den på två platser. I en cookie med etiketten x-ms-cpim-csrfoch en frågesträngsparameter med namnet csrf_token i URL:en för sidan som skickas till Azure AD B2C. När Azure AD B2C-tjänsten bearbetar inkommande begäranden från webbläsaren bekräftar den att både frågesträngen och cookieversionerna av token finns och att de matchar exakt. Dessutom verifieras elementen i innehållet i token för att bekräfta mot förväntade värden för pågående autentisering.
På registrerings- eller inloggningssidan skickar webbläsaren till exempel en GET-begäran till Azure AD B2C när användaren väljer länkarna "Glömt lösenord" eller "Registrera dig nu" för att läsa in innehållet på nästa sida. Begäran om att läsa in innehåll Azure AD B2C väljer dessutom att skicka och validera synkroniserartoken som ett extra skyddslager för att säkerställa att begäran om att läsa in sidan var resultatet av en pågående autentisering.
Synkroniserartoken är en autentiseringsuppgift som inte identifierar en användare, utan snarare är kopplad till en aktiv unik autentiseringssession.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för