Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Importante
A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais nas nossas Perguntas Frequentes.
Antes de começar, use o seletor Escolha um tipo de política na parte superior desta página para escolher o tipo de política que você está configurando. O Azure Ative Directory B2C oferece dois métodos para definir como os usuários interagem com seus aplicativos: por meio de fluxos de usuário predefinidos ou por meio de políticas personalizadas totalmente configuráveis. As etapas exigidas neste artigo são diferentes para cada método.
Este recurso está disponível apenas para políticas personalizadas. Para as etapas de configuração, selecione Política personalizada no seletor anterior.
O Azure Ative Directory B2C (Azure AD B2C) armazena segredos e certificados na forma de chaves de política para estabelecer confiança com os serviços com os quais se integra. Estes fundos fiduciários consistem em:
- Fornecedores de identidade externos
- Conectando-se com serviços de API REST
- Assinatura e criptografia de token
Este artigo discute o que você precisa saber sobre as chaves de política usadas pelo Azure AD B2C.
Observação
Atualmente, a configuração de chaves de política está limitada apenas a políticas personalizadas .
Você pode configurar segredos e certificados para estabelecer confiança entre serviços no portal do Azure no menu Chaves de política . As chaves podem ser simétricas ou assimétricas. Criptografia simétrica , ou criptografia de chave privada, é onde um segredo compartilhado é usado para criptografar e descriptografar os dados. A criptografia assimétrica , ou criptografia de chave pública, é um sistema criptográfico que usa pares de chaves, consistindo em chaves públicas que são compartilhadas com o aplicativo de terceira parte confiável e chaves privadas que são conhecidas apenas pelo Azure AD B2C.
Conjunto de chaves de política e chaves associadas
O recurso de nível superior para chaves de política no Azure AD B2C é o contêiner Keyset . Cada conjunto de chaves contém pelo menos uma chave. Uma chave tem os seguintes atributos:
| Atributo | Obrigatório | Observações |
|---|---|---|
use |
Sim | Uso: Identifica o uso pretendido da chave pública. Encriptação de dados encou verificação da assinatura nos dados sig. |
nbf |
Não | Data e hora de ativação. Um valor de substituição pode ser definido manualmente pelos administradores. |
exp |
Não | Data e hora de expiração. Um valor de substituição pode ser definido manualmente pelos administradores. |
Recomendamos definir os valores de ativação e expiração da chave de acordo com seus padrões PKI. Talvez seja necessário alternar esses certificados periodicamente por motivos de segurança ou de política. Por exemplo, você pode ter uma política para alternar todos os seus certificados todos os anos.
Para criar uma chave, você pode escolher um dos seguintes métodos:
- Manual - Crie um segredo com uma cadeia de caracteres que definir. O segredo é uma chave simétrica. Você pode definir as datas de ativação e validade.
-
Gerado - Gerar automaticamente uma chave. Você pode definir datas de ativação e validade. Existem duas opções:
- Segredo - Gera uma chave simétrica.
- RSA - Gera um par de chaves (chaves assimétricas).
- Carregar - Carregue um certificado ou uma chave PKCS12. O certificado deve conter as chaves privada e pública (chaves assimétricas).
Rollover de teclas
Para fins de segurança, o Azure AD B2C pode alternar chaves periodicamente ou imediatamente se houver uma emergência. Qualquer aplicativo, provedor de identidade ou API REST que se integre ao Azure AD B2C deve estar preparado para lidar com um evento de substituição de chave, independentemente da frequência com que ele possa ocorrer. Caso contrário, se seu aplicativo ou Azure AD B2C tentar usar uma chave expirada para executar uma operação criptográfica, a solicitação de entrada falhará.
Se um conjunto de chaves do Azure AD B2C tiver várias chaves, apenas uma delas estará ativa ao mesmo tempo, com base nos seguintes critérios:
A ativação da chave é baseada na data de ativação.
- As chaves são ordenadas por data de ativação em ordem crescente. As chaves com datas de ativação mais para o futuro aparecem mais abaixo na lista. As chaves sem uma data de ativação estão localizadas na parte inferior da lista.
- Quando a data e a hora atuais são maiores do que a data de ativação de uma chave, o Azure AD B2C ativa a chave e interrompe o uso da chave ativa anterior.
Quando o tempo de expiração da chave atual tiver decorrido e o contêiner de chave contiver uma nova chave com tempos nbf (não antes) e exp (expiração) válidos, a nova chave se tornará ativa automaticamente. Novos tokens são assinados com a chave recém-ativa. É possível manter uma chave expirada publicada para validação de token até ser desativada por um administrador, mas isso deve ser solicitado preenchendo uma solicitação de suporte.
Quando o tempo de expiração da chave atual tiver decorrido e o contentor de chave não contiver uma nova chave com tempos válidos de 'não antes de' e de 'expiração', o Azure AD B2C não poderá usar a chave expirada. O Azure AD B2C gera uma mensagem de erro dentro de um componente dependente da sua política personalizada. Para evitar esse problema, você pode criar uma chave padrão sem datas de ativação e expiração como uma rede de segurança.
O ponto de extremidade da chave (JWKS URI) do ponto de extremidade da configuração conhecida do OpenId Connect reflete as chaves configuradas no Contentor de Chaves, quando a Chave é referenciada no Perfil Técnico do JwtIssuer. Um aplicativo usando uma biblioteca OIDC buscará automaticamente esses metadados para garantir que ele use as chaves corretas para validar tokens. Para obter mais informações, saiba como usar a Biblioteca de Autenticação da Microsoft, que sempre busca as chaves de assinatura de token mais recentes automaticamente.
Cache de chaves
Quando uma chave é carregada, o sinalizador de ativação na chave é definido como false por padrão. Em seguida, você pode definir o estado dessa chave como Habilitado. Se uma chave estiver ativada e válida (a hora atual estiver entre NBF e EXP), então a chave será utilizada.
Estado-chave
A propriedade do sinalizador de ativação é modificável dentro da UX do portal do Azure, permitindo que os administradores desabilitem uma chave e a retirem da rotação.
Gestão de Chaves de Políticas
Para obter a chave ativa atual dentro de um contentor de chaves, use o endpoint getActiveKey da API do Microsoft Graph.
Para adicionar ou excluir chaves de assinatura e criptografia:
- Inicie sessão no portal Azure.
- Se tiver acesso a vários inquilinos, selecione o ícone Definições no menu superior para mudar para o inquilino do Azure AD B2C no menu Diretórios + subscrições.
- No portal do Azure, procure e selecione Azure AD B2C.
- Na página de visão geral, em Políticas, selecione Identity Experience Framework.
- Selecione Chaves de Política
- Para adicionar uma nova chave, selecione Adicionar.
- Para remover uma nova chave, selecione-a e, em seguida, selecione Excluir. Para excluir a chave, digite o nome do contêiner de chave a ser excluído. O Azure AD B2C exclui a chave e cria uma cópia da chave com o sufixo .bak.
Substituir uma chave
As chaves de um conjunto de chaves não são substituíveis ou removíveis. Se você precisar alterar uma chave existente:
- Recomendamos adicionar uma nova chave com a data de ativação definida para a data e hora atuais. O Azure AD B2C ativa a nova chave e interrompe o uso da chave ativa anterior.
- Como alternativa, você pode criar um novo conjunto de chaves com as chaves corretas. Atualize sua política para usar o novo conjunto de chaves e, em seguida, remova o conjunto de chaves antigo.
Conteúdo relacionado
- Saiba como usar o Microsoft Graph para automatizar a implantação de um conjunto de chaves e chaves de política .