Wymagania dotyczące protokołu TLS i zestawu szyfrowania B2C w usłudze Azure Active Directory

Usługa Azure Active Directory B2C (Azure AD B2C) łączy się z punktami końcowymi za pośrednictwem łączników interfejsu API i dostawców tożsamości w ramach przepływów użytkowników. W tym artykule omówiono wymagania dotyczące protokołu TLS i zestawu szyfrowania dla punktów końcowych.

Punkty końcowe skonfigurowane za pomocą łączników interfejsu API i dostawców tożsamości muszą być publikowane w publicznie dostępnym identyfikatorze URI HTTPS. Przed nawiązaniem bezpiecznego połączenia z punktem końcowym protokół i szyfr są negocjowane między usługą Azure AD B2C a punktem końcowym na podstawie możliwości obu stron połączenia.

Usługa Azure AD B2C musi być w stanie nawiązać połączenie z punktami końcowymi przy użyciu protokołów Transport Layer Security (TLS) i szyfrowania zgodnie z opisem w tym artykule.

Wersje protokołu TLS

TLS w wersji 1.2 to protokół kryptograficzny, który zapewnia uwierzytelnianie i szyfrowanie danych między serwerami i klientami. Punkt końcowy musi obsługiwać bezpieczną komunikację za pośrednictwem protokołu TLS w wersji 1.2. Starsze wersje tls 1.0 i 1.1 są przestarzałe.

Zestawy szyfrowania

Zestawy szyfrowania to zestawy algorytmów kryptograficznych. Zawierają one podstawowe informacje na temat bezpiecznego komunikowania danych w przypadku korzystania z protokołu HTTPS za pośrednictwem protokołu TLS.

Punkt końcowy musi obsługiwać co najmniej jeden z następujących szyfrów:

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Punkty końcowe w zakresie

Następujące punkty końcowe używane w środowisku usługi Azure AD B2C muszą być zgodne z wymaganiami opisanymi w tym artykule:

• Łączniki interfejsu API
• Protokół OAuth1
  • Punkt końcowy tokenu
  • Punkt końcowy informacji o użytkowniku
• Dostawcy tożsamości OAuth2 i OpenId connect
  • Punkt końcowy odnajdywania OpenId Connect
  • Punkt końcowy openId Connect JWKS
  • Punkt końcowy tokenu
  • Punkt końcowy informacji o użytkowniku
• Wskazówka dotycząca tokenu identyfikatora
  • Punkt końcowy odnajdywania OpenId Connect
  • Punkt końcowy openId Connect JWKS
• Punkt końcowy metadanych dostawcy tożsamości SAML
• Punkt końcowy metadanych dostawcy usług SAML

Sprawdzanie zgodności punktu końcowego

Aby sprawdzić, czy punkty końcowe są zgodne z wymaganiami opisanymi w tym artykule, wykonaj test przy użyciu narzędzia szyfrowania TLS i skanera. Przetestuj punkt końcowy przy użyciu usługi SSL LABS.

Dalsze kroki

Zobacz również następujące artykuły:

• Rozwiązywanie problemów z aplikacjami, które nie obsługują protokołu TLS 1.2
• Zestawy szyfrowe w TLS/SSL (SSP Schannel)
• Jak uruchomić protokół TLS 1.2
• Rozwiązywanie problemu z protokołem TLS 1.0