Definice souborů cookie pro Azure AD B2C
Následující části obsahují informace o souborech cookie používaných v Azure Active Directory B2C (Azure AD B2C).
SameSite
Služba Azure B2C je kompatibilní s konfiguracemi prohlížeče SameSite, včetně podpory pro SameSite=None
s atributem Secure
.
Pro zajištění přístupu k webům webové prohlížeče zavedou nový model zabezpečení ve výchozím nastavení, který předpokládá, že všechny soubory cookie by měly být chráněny před externím přístupem, pokud není uvedeno jinak. Prohlížeč Chrome je první, který tuto změnu implementuje, počínaje verzí Chrome 80 v únoru 2020. Další informace o přípravě na změnu v Chromu najdete v tématu Vývojáři: Připravte se na nový SameSite=None; Nastavení zabezpečených souborů cookie na blogu Chromium.
Vývojáři musí k určení souborů cookie pro přístup mezi weby použít nové nastavení SameSite=None
souborů cookie. SameSite=None
Pokud je atribut k dispozici, je nutné použít další Secure
atribut, aby soubory cookie mezi weby byly přístupné pouze přes připojení HTTPS. Ověřte a otestujte všechny aplikace, včetně těch, které používají Azure AD B2C.
Další informace naleznete v tématu:
- Zpracování změn souborů cookie SameSite v prohlížeči Chrome
- Dopad na weby zákazníků a služby a produkty Microsoftu v prohlížeči Chrome verze 80 nebo novější
Soubory cookie
Následující tabulka uvádí soubory cookie používané v Azure AD B2C.
Name | Doména | Konec platnosti | Účel |
---|---|---|---|
x-ms-cpim-admin |
main.b2cadmin.ext.azure.com | Konec relace prohlížeče | Uchovává data členství uživatelů mezi tenanty. Tenanti, ve které je uživatel členem, a úroveň členství (Správa nebo Uživatel). |
x-ms-cpim-slice |
b2clogin.com, login.microsoftonline.com, branded domain | Konec relace prohlížeče | Slouží ke směrování požadavků do příslušné produkční instance. |
x-ms-cpim-trans |
b2clogin.com, login.microsoftonline.com, branded domain | Konec relace prohlížeče | Používá se ke sledování transakcí (počet žádostí o ověření na Azure AD B2C) a aktuální transakce. |
x-ms-cpim-sso:{Id} |
b2clogin.com, login.microsoftonline.com, branded domain | Konec relace prohlížeče | Používá se k údržbě relace jednotného přihlašování. Tento soubor cookie se nastaví jako persistent , pokud je povolená možnost Zůstat přihlášeni . |
x-ms-cpim-cache:{id}_n |
b2clogin.com, login.microsoftonline.com, branded domain | Konec relace prohlížeče, úspěšné ověřování | Používá se k údržbě stavu požadavku. |
x-ms-cpim-csrf |
b2clogin.com, login.microsoftonline.com, branded domain | Konec relace prohlížeče | Token pro padělání požadavků mezi weby používaný pro ochranu CRSF. Další informace najdete v části Token padělání požadavků mezi weby . |
x-ms-cpim-dc |
b2clogin.com, login.microsoftonline.com, branded domain | Konec relace prohlížeče | Používá se pro Azure AD směrování sítě B2C. |
x-ms-cpim-ctx |
b2clogin.com, login.microsoftonline.com, branded domain | Konec relace prohlížeče | Kontext |
x-ms-cpim-rp |
b2clogin.com, login.microsoftonline.com, branded domain | Konec relace prohlížeče | Slouží k ukládání dat členství pro tenanta poskytovatele prostředků. |
x-ms-cpim-rc |
b2clogin.com, login.microsoftonline.com, branded domain | Konec relace prohlížeče | Používá se k ukládání souboru cookie relay. |
x-ms-cpim-geo |
b2clogin.com, login.microsoftonline.com, branded domain | 1 hodina | Používá se jako nápověda k určení geografického umístění domovského umístění tenantů prostředků. |
Token padělání požadavků mezi weby
Aby se zabránilo útokům CSRF (Cross Site Request Forgery), použije Azure AD B2C mechanismus strategie tokenů synchronizátoru. Další podrobnosti o tomto vzoru najdete v článku Prevence padělání požadavků mezi weby .
Azure AD B2C vygeneruje token synchronizátoru a přidá ho na dvou místech: do souboru cookie označeného x-ms-cpim-csrf
a parametr řetězce dotazu s názvem csrf_token
v adrese URL stránky odeslané do Azure AD B2C. Protože služba Azure AD B2C zpracovává příchozí požadavky z prohlížeče, potvrzuje, že řetězec dotazu i verze souboru cookie tokenu existují a že se přesně shodují. Také ověří prvky obsahu tokenu, aby se potvrdily očekávané hodnoty probíhajícího ověřování.
Když například na registrační stránce nebo přihlašovací stránce uživatel vybere odkazy "Zapomněli jste heslo" nebo "Zaregistrujte se hned", prohlížeč odešle požadavek GET Azure AD B2C, aby načetl obsah další stránky. Požadavek na načtení obsahu Azure AD B2C dále zvolí odeslání a ověření tokenu synchronizátoru jako další vrstvu ochrany, aby se zajistilo, že požadavek na načtení stránky byl výsledkem probíhajícího ověřování.
Token synchronizátoru je přihlašovací údaje, které neidentifikují uživatele, ale jsou svázané s aktivní jedinečnou ověřovací relací.