Översikt över principnycklar i Azure Active Directory B2C
Innan du börjar använder du väljaren Välj en principtyp för att välja den typ av princip som du konfigurerar. Azure Active Directory B2C erbjuder två metoder för att definiera hur användare interagerar med dina program: via fördefinierade användarflöden eller genom fullständigt konfigurerbara anpassade principer. De steg som krävs i den här artikeln skiljer sig åt för varje metod.
Den här funktionen är endast tillgänglig för anpassade principer. För installationssteg väljer du Anpassad princip i föregående väljare.
Azure Active Directory B2C (Azure AD B2C) lagrar hemligheter och certifikat i form av principnycklar för att upprätta förtroende med de tjänster som det integrerar med. Dessa förtroenden består av:
- Externa identitetsprovidrar
- Anslut med REST API-tjänster
- Tokensignering och kryptering
I den här artikeln beskrivs vad du behöver veta om de principnycklar som används av Azure AD B2C.
Kommentar
För närvarande är konfigurationen av principnycklar begränsad till endast anpassade principer .
Du kan konfigurera hemligheter och certifikat för att upprätta förtroende mellan tjänster i Azure-portalen på menyn Principnycklar . Nycklar kan vara symmetriska eller asymmetriska. Symmetrisk kryptografi, eller kryptografi med privat nyckel, är den plats där en delad hemlighet används för att både kryptera och dekryptera data. Asymmetrisk kryptografi, eller kryptering av offentliga nycklar, är ett kryptografiskt system som använder nyckelpar som består av offentliga nycklar som delas med det förlitande partprogrammet och privata nycklar som endast är kända för Azure AD B2C.
Principnycklar och nycklar
Resursen på den översta nivån för principnycklar i Azure AD B2C är containern Keyset . Varje nyckeluppsättning innehåller minst en nyckel. En nyckel har följande attribut:
Attribut | Obligatoriskt | Anmärkningar |
---|---|---|
use |
Ja | Användning: Identifierar den avsedda användningen av den offentliga nyckeln. Kryptera data enc eller verifiera signaturen för data sig . |
nbf |
Inga | Aktiveringsdatum och -tid. |
exp |
Inga | Förfallodatum och tid. |
Vi rekommenderar att du anger nyckelaktiverings- och förfallovärden enligt dina PKI-standarder. Du kan behöva rotera dessa certifikat regelbundet av säkerhetsskäl eller principskäl. Du kan till exempel ha en princip för att rotera alla dina certifikat varje år.
Om du vill skapa en nyckel kan du välja någon av följande metoder:
- Manuell – Skapa en hemlighet med en sträng som du definierar. Hemligheten är en symmetrisk nyckel. Du kan ange aktiverings- och förfallodatum.
- Genererad – Generera en nyckel automatiskt. Du kan ange aktiverings- och förfallodatum. Det finns två alternativ:
- Hemlighet – Genererar en symmetrisk nyckel.
- RSA – Genererar ett nyckelpar (asymmetriska nycklar).
- Ladda upp – Ladda upp ett certifikat eller en PKCS12-nyckel. Certifikatet måste innehålla privata och offentliga nycklar (asymmetriska nycklar).
Nyckelåterställning
I säkerhetssyfte kan Azure AD B2C rulla över nycklar regelbundet eller omedelbart i händelse av nödsituationer. Alla program, identitetsproviders eller REST API som integreras med Azure AD B2C bör vara beredda att hantera en nyckelåterställningshändelse, oavsett hur ofta det kan inträffa. Annars misslyckas inloggningsbegäran om ditt program eller Azure AD B2C försöker använda en utgången nyckel för att utföra en kryptografisk åtgärd.
Om en Azure AD B2C-nyckeluppsättning har flera nycklar är bara en av nycklarna aktiv samtidigt, baserat på följande kriterier:
- Nyckelaktiveringen baseras på aktiveringsdatumet.
- Nycklarna sorteras efter aktiveringsdatum i stigande ordning. Nycklar med aktiveringsdatum längre in i framtiden visas längre ned i listan. Nycklar utan aktiveringsdatum finns längst ned i listan.
- När det aktuella datumet och tiden är större än aktiveringsdatumet för en nyckel aktiverar Azure AD B2C nyckeln och slutar använda den tidigare aktiva nyckeln.
- När den aktuella nyckelns förfallotid har förflutit och nyckelcontainern innehåller en ny nyckel som inte är giltig före och förfallotid , aktiveras den nya nyckeln automatiskt.
- När den aktuella nyckelns förfallotid har förflutit och nyckelcontainern inte innehåller en ny nyckel med giltig inte före och förfallotid kommer Azure AD B2C inte att kunna använda den utgångna nyckeln. Azure AD B2C genererar ett felmeddelande i en beroende komponent i din anpassade princip. För att undvika det här problemet kan du skapa en standardnyckel utan aktiverings- och förfallodatum som säkerhetsnät.
- Nyckelns slutpunkt (JWKS URI) för OpenId Anslut välkända konfigurationsslutpunkten återspeglar nycklarna som konfigurerats i nyckelcontainern när nyckeln refereras till i den tekniska JwtIssuer-profilen. Ett program som använder ett OIDC-bibliotek hämtar automatiskt dessa metadata för att säkerställa att det använder rätt nycklar för att verifiera token. Mer information finns i använda Microsoft Authentication Library, som alltid hämtar de senaste tokensigneringsnycklarna automatiskt.
Principnyckelhantering
Om du vill hämta den aktuella aktiva nyckeln i en nyckelcontainer använder du Microsoft Graph API getActiveKey-slutpunkten .
Så här lägger du till eller tar bort signerings- och krypteringsnycklar:
- Logga in på Azure-portalen.
- Om du har åtkomst till flera klienter väljer du ikonen Inställningar på den översta menyn för att växla till din Azure AD B2C-klient från menyn Kataloger + prenumerationer.
- I Azure-portalen söker du efter och väljer Azure AD B2C.
- På översiktssidan går du till Principer och väljer Identity Experience Framework.
- Välj principnycklar
- Om du vill lägga till en ny nyckel väljer du Lägg till.
- Om du vill ta bort en ny nyckel väljer du nyckeln och väljer sedan Ta bort. Om du vill ta bort nyckeln skriver du namnet på nyckelcontainern som ska tas bort. Azure AD B2C tar bort nyckeln och skapar en kopia av nyckeln med suffixet .bak.
Ersätt en nyckel
Nycklarna i en nyckeluppsättning är inte utbytbara eller flyttbara. Om du behöver ändra en befintlig nyckel:
- Vi rekommenderar att du lägger till en ny nyckel med aktiveringsdatumet inställt på aktuellt datum och tid. Azure AD B2C aktiverar den nya nyckeln och slutar använda den tidigare aktiva nyckeln.
- Du kan också skapa en ny nyckeluppsättning med rätt nycklar. Uppdatera principen för att använda den nya nyckeluppsättningen och ta sedan bort den gamla nyckeluppsättningen.
Nästa steg
- Lär dig hur du använder Microsoft Graph för att automatisera en nyckeluppsättning och principnyckeldistribution .