Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Od 1 maja 2025 r. usługa Azure AD B2C nie będzie już dostępna do zakupu dla nowych klientów. Dowiedz się więcej w naszych często zadawanych pytaniach.
Przed rozpoczęciem użyj selektora Wybierz typ zasad w górnej części tej strony, aby wybrać typ konfigurowanych zasad. Usługa Azure Active Directory B2C oferuje dwie metody definiowania sposobu interakcji użytkowników z aplikacjami: za pomocą wstępnie zdefiniowanych przepływów użytkowników lub w pełni konfigurowalnych zasad niestandardowych. Kroki wymagane w tym artykule są różne dla każdej metody.
Ta funkcja jest dostępna tylko dla zasad niestandardowych. Aby uzyskać instrukcje konfiguracji, wybierz pozycję Zasady niestandardowe w poprzednim selektorze.
Usługa Azure Active Directory B2C (Azure AD B2C) przechowuje wpisy tajne i certyfikaty w postaci kluczy zasad w celu ustanowienia zaufania z usługami, z których się integruje. Te relacje zaufania składają się z następujących elementów:
- Zewnętrzni dostawcy tożsamości
- Nawiązywanie połączenia z usługami interfejsu API REST
- Podpisywanie i szyfrowanie tokenów
W tym artykule omówiono, co należy wiedzieć o kluczach zasad używanych przez usługę Azure AD B2C.
Uwaga
Obecnie możliwość konfigurowania kluczy do zasad jest ograniczona wyłącznie do zasad niestandardowych.
Tajemnice i certyfikaty można skonfigurować do ustanawiania zaufania między usługami w portalu Azure w menu Klucze zasad. Klucze mogą być symetryczne lub asymetryczne. Kryptografia symetryczna lub kryptografia klucza prywatnego to miejsce, w którym wspólny klucz tajny jest używany do szyfrowania i odszyfrowywania danych. Kryptografia asymetryczna lub kryptografia klucza publicznego to system kryptograficzny, który używa par kluczy składających się z kluczy publicznych udostępnianych aplikacji jednostki uzależnionej i kluczy prywatnych, które są znane tylko usłudze Azure AD B2C.
Zestaw kluczy zasad i klucze
Zasób najwyższego poziomu w usłudze Azure AD B2C dla kluczy zasad to kontener Zestawu kluczy. Każdy zestaw kluczy zawiera co najmniej jeden klucz. Klucz ma następujące atrybuty:
| Atrybut | Wymagane | Uwagi |
|---|---|---|
use |
Tak | Użycie: określa zamierzone użycie klucza publicznego. Szyfrowanie danych enclub weryfikowanie podpisu danych sig. |
nbf |
Nie. | Data i godzina aktywacji. Wartość przesłonięcia można ustawić ręcznie przez administratorzy. |
exp |
Nie. | Data i godzina wygaśnięcia. Wartość przesłonięcia można ustawić ręcznie przez administratorzy. |
Zalecamy ustawienie wartości aktywacji i wygaśnięcia klucza zgodnie ze standardami PKI. Może być konieczne okresowe obracanie tych certyfikatów ze względów bezpieczeństwa lub zasad. Na przykład możesz mieć zasady rotacji wszystkich certyfikatów co roku.
Aby utworzyć klucz, możesz wybrać jedną z następujących metod:
- Ręcznie — Utwórz sekret przy użyciu zdefiniowanego ciągu. Tajemnica to klucz symetryczny. Możesz ustawić daty aktywacji i wygaśnięcia.
-
Wygenerowane — automatyczne generowanie klucza. Możesz ustawić daty aktywacji i wygaśnięcia. Dostępne są dwie opcje:
- Wpis tajny — generuje klucz symetryczny.
- RSA — generuje parę kluczy (klucze asymetryczne).
- Przekazywanie — przekazywanie certyfikatu lub klucza PKCS12. Certyfikat musi zawierać klucze prywatne i publiczne (klucze asymetryczne).
Przerzucanie klucza
Ze względów bezpieczeństwa usługa Azure AD B2C może okresowo odnawiać klucze lub natychmiast w razie nagłej sytuacji. Każda aplikacja, dostawca tożsamości lub interfejs API REST, który integruje się z usługą Azure AD B2C, powinna być przygotowana do obsługi zdarzenia przerzucania klucza, niezależnie od tego, jak często może wystąpić. W przeciwnym razie, jeśli aplikacja lub usługa Azure AD B2C próbuje użyć wygasłego klucza do wykonania operacji kryptograficznych, żądanie logowania kończy się niepowodzeniem.
Jeśli zestaw kluczy usługi Azure AD B2C ma wiele kluczy, tylko jeden z kluczy jest aktywny w dowolnym momencie, na podstawie następujących kryteriów:
Aktywacja klucza jest oparta na dacie aktywacji.
- Klucze są sortowane według daty aktywacji w kolejności rosnącej. Klucze z datami aktywacji w przyszłości pojawią się poniżej na liście. Klucze bez daty aktywacji znajdują się w dolnej części listy.
- Gdy bieżąca data i godzina jest większa niż data aktywacji klucza, usługa Azure AD B2C aktywuje klucz i przestanie używać poprzedniego aktywnego klucza.
Gdy upłynął czas wygaśnięcia bieżącego klucza, a kontener klucza zawiera nowy klucz z prawidłowym czasem nbf (nie wcześniej) i exp (wygaśnięcie) nowy klucz staje się aktywny automatycznie. Nowe tokeny są podpisane przy użyciu nowo aktywnego klucza. Istnieje możliwość zachowania wygasłego klucza opublikowanego na potrzeby weryfikacji tokenu do czasu wyłączenia przez administratora, ale musi to być wymagane przez złożenie wniosku o pomoc techniczną.
Gdy upłynął czas wygaśnięcia bieżącego klucza, a kontener kluczy nie zawiera nowego klucza z prawidłowymi czasami rozpoczęcia ważności i wygaśnięcia, Azure AD B2C nie będzie mogło użyć wygasłego klucza. Usługa Azure AD B2C zgłasza komunikat o błędzie w składniku zależnym polityki niestandardowej. Aby uniknąć tego problemu, możesz utworzyć klucz domyślny bez dat aktywacji i wygaśnięcia jako sieci bezpieczeństwa.
Punkt końcowy klucza (JWKS URI) dobrze znanego punktu końcowego konfiguracji openId Connect odzwierciedla klucze skonfigurowane w kontenerze kluczy, gdy klucz jest przywoływany w profilu technicznym JwtIssuer. Aplikacja korzystająca z biblioteki OIDC automatycznie pobierze te metadane, aby upewnić się, że używa poprawnych kluczy do sprawdzania poprawności tokenów. Aby uzyskać więcej informacji, dowiedz się, jak używać biblioteki uwierzytelniania firmy Microsoft, która zawsze automatycznie pobiera najnowsze klucze podpisywania tokenu.
Buforowanie kluczy
Po przekazaniu klucza flaga aktywacji klucza jest domyślnie ustawiona na wartość false. Następnie można ustawić stan tego klucza na wartość Włączone. Jeśli klucz jest włączony i prawidłowy (bieżący czas jest między NBF i EXP), używany jest klucz.
Stan kluczowy
Właściwość flagi aktywacji jest modyfikowalna w środowisku użytkownika witryny Azure Portal, co umożliwia administratorom wyłączenie klucza i wyjęcie go z rotacji.
Zarządzanie kluczami polityki
Aby uzyskać bieżący aktywny klucz w kontenerze kluczy, użyj punktu końcowego getActiveKey interfejsu API programu Microsoft Graph.
Aby dodać lub usunąć klucze podpisywania i szyfrowania:
- Zaloguj się do portalu Azure.
- Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się na dzierżawę Azure AD B2C z menu Katalogi + subskrypcje.
- W witrynie Azure Portal wyszukaj i wybierz pozycję Azure AD B2C.
- Na stronie przeglądu, w sekcji "Zasady" , wybierz pozycję „Identity Experience Framework”.
- Wybierz Klucze Zasad
- Aby dodać nowy klucz, wybierz pozycję Dodaj.
- Aby usunąć nowy klucz, wybierz klucz, a następnie wybierz pozycję Usuń. Aby usunąć klucz, wpisz nazwę kontenera kluczy do usunięcia. Usługa Azure AD B2C usuwa klucz i tworzy kopię klucza z sufiksem .bak.
Zastąp klucz
Klucze w zestawie kluczy nie są zamienialne ani wymienne. Jeśli musisz zmienić istniejący klucz:
- Zalecamy dodanie nowego klucza z datą aktywacji ustawioną na bieżącą datę i godzinę. Usługa Azure AD B2C aktywuje nowy klucz i przestanie używać poprzedniego aktywnego klucza.
- Alternatywnie możesz utworzyć nowy zestaw kluczy z odpowiednimi kluczami. Zaktualizuj swoją politykę, aby używała nowego zestawu kluczy, a następnie usuń stary zestaw kluczy.
Powiązana zawartość
- Dowiedz się, jak używać programu Microsoft Graph do zautomatyzowania wdrażania zestawu kluczy i kluczy zasad.