Azure Active Directory B2C TLS 和加密套件需求

Azure Active Directory B2C (Azure AD B2C) 會透過使用者流程中的 API 連接器和識別提供者，連線到您的端點。 本文討論端點的 TLS 和加密套件需求。

使用 API 連接器和識別提供者設定的端點，必須發佈至可公開存取的 HTTPS URI。 在使用端點建立安全連線之前，系統會根據連線兩端的功能，在 Azure AD B2C 和端點之間協調通訊協定和密碼。

Azure AD B2C 必須能夠使用傳輸層安全性 (TLS) 和加密套件來連線到您的端點，如本文所述。

TLS 版本

TLS 1.2 版是一種密碼編譯通訊協定，可提供伺服器與用戶端之間的驗證和資料加密。 您的端點必須支援透過 TLS 1.2 版的安全通訊。 舊版的 TLS 1.0 和 1.1 版已經淘汰。

加密套件

加密套件是一組密碼編譯演算法。 這些演算法會提供在透過 TLS 使用 HTTPS 通訊協定時，如何安全傳達資料的基本資訊。

您的端點至少必須支援下列其中一種加密：

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

範圍中的端點

在 Azure AD B2C 環境中使用的下列端點必須符合本文所述的需求：

• API 連接器
• OAuth1
  • 權杖端點
  • 使用者資訊端點
• OAuth2 和 OpenId Connect 識別提供者
  • OpenID Connect 探索端點
  • OpenId Connect JWKS 端點
  • 權杖端點
  • 使用者資訊端點
• 識別碼權杖提示
  • OpenID Connect 探索端點
  • OpenId Connect JWKS 端點
• SAML 識別提供者中繼資料端點
• SAML 服務提供者中繼資料端點

檢查您的端點相容性

若要確認您的端點是否符合本文所述的需求，請使用 TLS 加密和掃描器工具執行測試。 使用 SSLLABS 測試您的端點。

後續步驟

另請參閱下列文章：

• 針對不支援 TLS 1.2 的應用程式進行疑難排解
• TLS/SSL 的加密套件 (Schannel SSP)
• 如何啟用 TLS 1.2
• 解決 TLS 1.0 問題