Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.
Bevor Sie beginnen, verwenden Sie die Auswahl eines Richtlinientyps oben auf dieser Seite, um den Typ der Richtlinie auszuwählen, die Sie einrichten. Azure Active Directory B2C bietet zwei Methoden zum Definieren der Benutzerinteraktion mit Ihren Anwendungen: vordefinierte Benutzerflows oder vollständig konfigurierbare benutzerdefinierte Richtlinien. Die Schritte, die in diesem Artikel erforderlich sind, unterscheiden sich für jede Methode.
Dieses Feature ist nur für benutzerdefinierte Richtlinien verfügbar. Wählen Sie für Setupschritte im vorherigen Selektor die Option "Benutzerdefinierte Richtlinie " aus.
Azure Active Directory B2C (Azure AD B2C) speichert Geheime und Zertifikate in Form von Richtlinienschlüsseln, um eine Vertrauensstellung mit den diensten herzustellen, in die sie integriert werden. Diese Treuhandfonds bestehen aus:
- Externe Identitätsanbieter
- Herstellen einer Verbindung mit REST-API-Diensten
- Tokensignatur und -verschlüsselung
In diesem Artikel wird erläutert, was Sie über die Richtlinienschlüssel wissen müssen, die von Azure AD B2C verwendet werden.
Hinweis
Derzeit ist die Konfiguration von Richtlinienschlüsseln nur auf benutzerdefinierte Richtlinien beschränkt.
Sie können geheime Schlüssel und Zertifikate für die Einrichtung einer Vertrauensstellung zwischen Diensten im Azure-Portal im Menü "Richtlinienschlüssel " konfigurieren. Schlüssel können symmetrisch oder asymmetrisch sein. Symmetrische Kryptografie oder Kryptografie mit privatem Schlüssel ist der Ort, an dem ein gemeinsam genutzter Geheimschlüssel verwendet wird, um die Daten zu verschlüsseln und zu entschlüsseln. Asymmetrische Kryptografie oder Kryptografie mit öffentlichem Schlüssel ist ein kryptografisches System, das Schlüsselpaare verwendet, die aus öffentlichen Schlüsseln bestehen, die mit der Anwendung der vertrauenden Seite und privaten Schlüsseln geteilt werden, die nur Azure AD B2C kennen.
Richtlinienkeyset und Schlüssel
Die Ressource auf oberster Ebene für Richtlinienschlüssel in Azure AD B2C ist der Keyset-Container . Jedes Keyset enthält mindestens einen Schlüssel. Ein Schlüssel hat die folgenden Attribute:
| Merkmal | Erforderlich | Bemerkungen |
|---|---|---|
use |
Ja | Verwendung: Identifiziert die beabsichtigte Verwendung des öffentlichen Schlüssels. Verschlüsseln von Daten encoder Überprüfen der Signatur auf Daten sig. |
nbf |
Nein | Aktivierungsdatum und -uhrzeit. Ein Außerkraftsetzungswert kann manuell von Administratoren festgelegt werden. |
exp |
Nein | Ablaufdatum und -uhrzeit. Ein Außerkraftsetzungswert kann manuell von Administratoren festgelegt werden. |
Wir empfehlen, die Schlüsselaktivierungs- und Ablaufwerte gemäß Ihren PKI-Standards festzulegen. Möglicherweise müssen Sie diese Zertifikate aus Sicherheits- oder Richtliniengründen regelmäßig drehen. Sie könnten beispielsweise eine Richtlinie haben, um alle Ihre Zertifikate jedes Jahr zu erneuern.
Zum Erstellen eines Schlüssels können Sie eine der folgenden Methoden auswählen:
- Manuell – Erstellen Sie einen geheimen Schlüssel mit einer von Ihnen definierten Zeichenfolge. Der Geheimschlüssel ist ein symmetrischer Schlüssel. Sie können die Aktivierungs- und Ablaufdaten festlegen.
-
Generiert – Automatisch einen Schlüssel generieren. Sie können Aktivierungs- und Ablaufdaten festlegen. Es gibt zwei Möglichkeiten:
- Geheimer Schlüssel – Generiert einen symmetrischen Schlüssel.
- RSA – Generiert ein Schlüsselpaar (asymmetrische Schlüssel).
- Hochladen – Hochladen eines Zertifikats oder eines PKCS12-Schlüssels. Das Zertifikat muss die privaten und öffentlichen Schlüssel (asymmetrische Schlüssel) enthalten.
Schlüsselrollover
Zu Sicherheitszwecken kann Azure AD B2C regelmäßig oder bei einem Notfall sofort einen Schlüsselwechsel ausführen. Jede Anwendung, identitätsanbieter oder REST-API, die in Azure AD B2C integriert ist, sollte für die Behandlung eines Schlüsselrolloverereignisses vorbereitet sein, unabhängig davon, wie häufig es auftreten kann. Andernfalls schlägt die Anmeldeanforderung fehl, wenn Ihre Anwendung oder Azure AD B2C versucht, einen abgelaufenen Schlüssel zum Ausführen eines kryptografischen Vorgangs zu verwenden.
Wenn ein Azure AD B2C-Keyset mehrere Schlüssel aufweist, ist nur einer der Schlüssel auf der Grundlage der folgenden Kriterien gleichzeitig aktiv:
Die Schlüsselaktivierung basiert auf dem Aktivierungsdatum.
- Die Schlüssel werden nach Aktivierungsdatum in aufsteigender Reihenfolge sortiert. Schlüssel mit zukünftigen Aktivierungsdaten erscheinen weiter unten in der Liste. Schlüssel ohne Aktivierungsdatum befinden sich am Ende der Liste.
- Wenn das aktuelle Datum und die aktuelle Uhrzeit größer als das Aktivierungsdatum eines Schlüssels sind, aktiviert Azure AD B2C den Schlüssel und beendet die Verwendung des vorherigen aktiven Schlüssels.
Wenn die Ablaufzeit des aktuellen Schlüssels verstrichen ist und im Schlüsselcontainer ein neuer Schlüssel mit gültigen nbf (nicht vor)- und exp (Ablauf)-Zeiten enthalten ist, wird der neue Schlüssel automatisch aktiv. Neue Token werden mit dem neu aktiven Schlüssel signiert. Es ist möglich, einen abgelaufenen Schlüssel für die Tokenüberprüfung zu veröffentlichen, bis er von einem Administrator deaktiviert wurde. Dies muss jedoch durch Einreichen einer Supportanfrage angefordert werden.
Wenn die Ablaufzeit des aktuellen Schlüssels erreicht ist und der Schlüsselcontainer keinen neuen Schlüssel mit gültigen nicht vor- und Ablaufzeiten enthält, kann Azure AD B2C den abgelaufenen Schlüssel nicht verwenden. Azure AD B2C löst eine Fehlermeldung innerhalb einer abhängigen Komponente Ihrer benutzerdefinierten Richtlinie aus. Um dieses Problem zu vermeiden, können Sie einen Standardschlüssel ohne Aktivierungs- und Ablaufdaten als Sicherheitsnetz erstellen.
Der Endpunkt des Schlüssels (JWKS URI) des bekannten OpenId Connect-Konfigurationsendpunkts gibt die im Schlüsselcontainer konfigurierten Schlüssel wieder, wenn auf den Schlüssel im JwtIssuer Technical Profile verwiesen wird. Eine Anwendung, die eine OIDC-Bibliothek verwendet, ruft diese Metadaten automatisch ab, um sicherzustellen, dass die richtigen Schlüssel zum Überprüfen von Token verwendet werden. Erfahren Sie, wie Sie die Microsoft-Authentifizierungsbibliothek verwenden, die immer automatisch die neuesten Token-Signaturschlüssel abruft.
Zwischenspeichern von Schlüsseln
Wenn ein Schlüssel hochgeladen wird, wird die Aktivierungskennzeichnung für den Schlüssel standardmäßig auf "false" festgelegt. Anschließend können Sie den Status dieses Schlüssels auf "Aktiviert" festlegen. Wenn ein Schlüssel aktiviert und gültig ist (aktuelle Zeit liegt zwischen NBF und EXP), wird der Schlüssel verwendet.
Schlüsselstatus
Die Aktivierungskennzeichnung kann im Azure-Portal geändert werden, sodass Administratoren einen Schlüssel deaktivieren und aus dem Umlauf entfernen können.
Verwaltung von Richtlinienschlüsseln
Verwenden Sie den GetActiveKey-Endpunkt der Microsoft Graph-API, um den aktuellen aktiven Schlüssel in einem Schlüsselcontainer abzurufen.
So fügen Sie Signatur- und Verschlüsselungsschlüssel hinzu, oder löschen Sie sie:
- Melden Sie sich beim Azure-Portal an.
- Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
- Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.
- Wählen Sie auf der Übersichtsseite unter Richtliniendas Identity Experience Frameworkaus.
-
Auswählen von Richtlinienschlüsseln
- Um einen neuen Schlüssel hinzuzufügen, wählen Sie "Hinzufügen" aus.
- Um einen neuen Schlüssel zu entfernen, wählen Sie den Schlüssel aus, und wählen Sie dann "Löschen" aus. Geben Sie zum Löschen des Schlüssels den Namen des zu löschenden Schlüsselcontainers ein. Azure AD B2C löscht den Schlüssel und erstellt eine Kopie des Schlüssels mit dem Suffix .bak.
Eine Taste ersetzen
Die Tasten in einer Keyset sind nicht austauschbar oder wechselbar. Wenn Sie einen vorhandenen Schlüssel ändern müssen:
- Es wird empfohlen, einen neuen Schlüssel hinzuzufügen, wobei das Aktivierungsdatum auf das aktuelle Datum und die aktuelle Uhrzeit festgelegt ist. Azure AD B2C aktiviert den neuen Schlüssel und beendet die Verwendung des vorherigen aktiven Schlüssels.
- Alternativ können Sie eine neue Keyset mit den richtigen Tasten erstellen. Aktualisieren Sie Ihre Richtlinie, um die neue Keyset zu verwenden, und entfernen Sie dann das alte Keyset.
Verwandte Inhalte
- Erfahren Sie, wie Sie Microsoft Graph verwenden, um die Bereitstellung eines Schlüsselsatzes und von Richtlinienschlüsseln zu automatisieren.