Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
A partir del 1 de mayo de 2025, Azure AD B2C ya no estará disponible para la compra por parte de nuevos clientes. Obtenga más información en nuestras preguntas más frecuentes.
Antes de empezar, use el selector Elegir un tipo de directiva en la parte superior de esta página para elegir el tipo de directiva que está configurando. Azure Active Directory B2C ofrece dos métodos para definir cómo interactúan los usuarios con las aplicaciones: a través de flujos de usuario predefinidos o mediante directivas personalizadas totalmente configurables. Los pasos necesarios en este artículo son diferentes para cada método.
Esta característica está disponible solo para directivas personalizadas. Para conocer los pasos de configuración, seleccione Directiva personalizada en el selector anterior.
Azure Active Directory B2C (Azure AD B2C) almacena secretos y certificados en forma de claves de directiva para establecer la confianza con los servicios con los que se integra. Estos fideicomisos consisten en:
- Proveedores de identidad externos
- Conexión con servicios de API REST
- Firma y cifrado de tokens
En este artículo se describe lo que necesita saber sobre las claves de directiva que usa Azure AD B2C.
Nota:
Actualmente, la configuración de las claves de directiva solo se limita a las directivas personalizadas .
Puede configurar secretos y certificados para establecer la confianza entre servicios en el portal de Azure, en el menú Claves de directiva. Las teclas pueden ser simétricas o asimétricas. La criptografía simétrica, o criptografía de clave privada, es cuando se utiliza un secreto compartido para cifrar y descifrar los datos. La criptografía asimétrica, o criptografía de clave pública, es un sistema criptográfico que usa pares de claves, que constan de claves públicas que se comparten con la aplicación de usuario de confianza y claves privadas que solo conoce Azure AD B2C.
Claves y conjunto de claves de directiva
El recurso de nivel superior para las claves de directiva en Azure AD B2C es el contenedor Keyset . Cada conjunto de teclas contiene al menos una clave. Una clave tiene los siguientes atributos:
| Atributo | Obligatorio | Observaciones |
|---|---|---|
use |
Sí | Uso: identifica el uso previsto de la clave pública. Encriptación de datos enc, o verificación de la firma en los datos sig. |
nbf |
No | Fecha y hora de activación. Los administradores pueden establecer manualmente un valor de anulación. |
exp |
No | Fecha y hora de caducidad. Los administradores pueden establecer manualmente un valor de anulación. |
Se recomienda establecer los valores de activación y caducidad de la clave de acuerdo con los estándares de PKI. Es posible que tenga que rotar estos certificados periódicamente por motivos de seguridad o de directiva. Por ejemplo, es posible que tenga una política para rotar todos los certificados cada año.
Para crear una clave, puede elegir uno de los siguientes métodos:
- Manual : cree un secreto con una cadena que defina. El secreto es una clave simétrica. Puede establecer las fechas de activación y vencimiento.
-
Generado: genere automáticamente una clave. Puede establecer fechas de activación y vencimiento. Hay dos opciones:
- Secreto : genera una clave simétrica.
- RSA : genera un par de claves (claves asimétricas).
- Cargar : cargue un certificado o una clave PKCS12. El certificado debe contener las claves privada y pública (claves asimétricas).
Sustitución de claves
Por motivos de seguridad, Azure AD B2C puede sustituir las claves periódicamente o inmediatamente si hay una emergencia. Cualquier aplicación, proveedor de identidades o API de REST que se integre con Azure AD B2C debe estar preparada para controlar un evento de sustitución de claves, independientemente de la frecuencia con la que se produzca. De lo contrario, si la aplicación o Azure AD B2C intentan usar una clave expirada para realizar una operación criptográfica, se produce un error en la solicitud de inicio de sesión.
Si un conjunto de claves de Azure AD B2C tiene varias claves, solo una de las claves está activa a la vez, en función de los siguientes criterios:
La activación de la clave se basa en la fecha de activación.
- Las claves se ordenan por fecha de activación en orden ascendente. Las claves con fechas de activación más lejanas en el futuro aparecen más abajo en la lista. Las claves sin fecha de activación se encuentran en la parte inferior de la lista.
- Cuando la fecha y hora actuales son mayores que la fecha de activación de una clave, Azure AD B2C activa la clave y deja de usar la clave activa anterior.
Cuando ha transcurrido el tiempo de caducidad de la clave actual y el contenedor de claves contiene una nueva clave con tiempos nbf (no antes) y exp (caducidad) válidos, la nueva clave se activa automáticamente. Los nuevos tokens se firman con la nueva clave activa. Es posible mantener una clave caducada publicada para la validación de tokens hasta que un administrador la deshabilite, pero esto debe solicitarse mediante la presentación de una solicitud de soporte técnico.
Cuando haya transcurrido el tiempo de expiración de la clave actual y el contenedor de claves no contenga una nueva clave con tiempos válidos de inicio y expiración, Azure AD B2C no podrá usar la clave expirada. Azure AD B2C genera un mensaje de error dentro de un componente dependiente de la directiva personalizada. Para evitar este problema, puede crear una clave predeterminada sin fechas de activación y caducidad como red de seguridad.
El punto de conexión de la clave (URI de JWKS) del punto de conexión de configuración conocido de OpenId Connect refleja las claves configuradas en el contenedor de claves, cuando se hace referencia a la clave en el perfil técnico de JwtIssuer. Una aplicación que use una biblioteca OIDC recuperará automáticamente estos metadatos para asegurarse de que usa las claves correctas para validar los tokens. Para obtener más información, aprenda a usar la biblioteca de autenticación de Microsoft, que siempre captura automáticamente las claves de firma de tokens más recientes.
Almacenamiento en caché de claves
Cuando se carga una clave, el indicador de activación de la clave se establece en false de forma predeterminada. A continuación, puede establecer el estado de esta clave en Habilitado. Si una clave está habilitada y es válida (la hora actual está entre NBF y EXP), se utiliza la clave.
Estado clave
La propiedad de marca de activación se puede modificar dentro de la experiencia de usuario de Azure Portal, lo que permite a los administradores deshabilitar una clave y sacarla de la rotación.
Administración de claves de directiva
Para obtener la clave activa actual dentro de un contenedor de claves, use el punto de conexión getActiveKey de Microsoft Graph API.
Para agregar o eliminar claves de firma y cifrado:
- Inicie sesión en Azure Portal.
- Si tiene acceso a varios inquilinos, seleccione el icono Configuración en el menú superior para cambiar a su inquilino de Azure AD B2C desde el menú Directorios y suscripciones.
- En Azure Portal, busque y seleccione Azure AD B2C.
- En la página de información general, en Directivas, seleccione Identity Experience Framework.
- Seleccione Claves de directiva
- Para agregar una nueva clave, seleccione Agregar.
- Para quitar una nueva clave, seleccione la clave y, a continuación, seleccione Eliminar. Para eliminar la clave, escriba el nombre del contenedor de claves que desea eliminar. Azure AD B2C elimina la clave y crea una copia de la clave con el sufijo .bak.
Reemplazar una llave
Las teclas de un conjunto de claves no se pueden reemplazar ni extraer. Si necesita cambiar una clave existente:
- Recomendamos agregar una nueva clave con la fecha de activación establecida en la fecha y hora actuales. Azure AD B2C activa la nueva clave y deja de usar la clave activa anterior.
- Como alternativa, puede crear un nuevo conjunto de claves con las teclas correctas. Actualice la directiva para usar el nuevo conjunto de claves y, a continuación, quite el conjunto de claves anterior.
Contenido relacionado
- Aprenda a usar Microsoft Graph para automatizar la implementación de un conjunto de claves y claves de directiva .