Jogkivonatok konfigurálása az Azure Active Directory B2C-ben

Mielőtt hozzákezdene, a Szabályzattípus kiválasztása választóval válassza ki a beállított szabályzat típusát. Az Azure Active Directory B2C két módszert kínál annak meghatározására, hogy a felhasználók hogyan használják az alkalmazásokat: előre definiált felhasználói folyamatokon vagy teljesen konfigurálható egyéni szabályzatokon keresztül. A cikkben szereplő lépések különbözőek az egyes metódusok esetében.

Ebből a cikkből megtudhatja, hogyan konfigurálhatja egy jogkivonat élettartamát és kompatibilitását az Azure Active Directory B2C-ben (Azure AD B2C).

Előfeltételek

• Hozzon létre egy felhasználói folyamatot , hogy a felhasználók regisztrálhassák és bejelentkezhessenek az alkalmazásba.
• Webalkalmazás regisztrálása.

• Az Egyéni szabályzatok használatának első lépései az Active Directory B2C-ben
• Webalkalmazás regisztrálása.

Jogkivonat élettartamának viselkedése

Konfigurálhatja a jogkivonat élettartamát, beleértve a következőket:

• Hozzáférési és azonosító jogkivonatok élettartama (perc) – Az OAuth 2.0 tulajdonosi jogkivonat és az azonosító jogkivonatok élettartama. Az alapértelmezett érték 60 perc (1 óra). A minimális (beleértve) 5 perc. A maximális (befogadó) 1440 perc (24 óra).
• Frissítési jogkivonat élettartama (nap) – Az a maximális időtartam, amely előtt a frissítési jogkivonat használható egy új hozzáférési jogkivonat beszerzéséhez, ha az alkalmazás megkapta a hatókört offline_access . Az alapértelmezett érték 14 nap. A minimális (beleértve) egy nap. A maximális (beleértve) 90 napot.
• A frissítési jogkivonat tolóablakának élettartama – A frissítési jogkivonat tolóablaktípusa. Boundedazt jelzi, hogy a frissítési jogkivonat az élettartamban (napokban) megadott módon bővíthető. No expiry azt jelzi, hogy a frissítési jogkivonat tolóablakának élettartama soha nem jár le.
• Élettartam (napok) – Az időtartam leteltét követően a felhasználónak újrahitelesítenie kell az alkalmazást, függetlenül az alkalmazás által beszerzett legújabb frissítési jogkivonat érvényességi időtartamától. Az értéknek nagyobbnak vagy egyenlőnek kell lennie a frissítési jogkivonat élettartamának értékénél.

Az alábbi ábra a frissítési jogkivonat csúsztatási ablakának élettartamát mutatja be.

Megjegyzés:

A PKCE engedélyezési kódfolyamatát használó egyoldalas alkalmazások mindig 24 órás frissítési jogkivonat-élettartammal rendelkeznek, míg a mobilalkalmazások, az asztali alkalmazások és a webalkalmazások nem tapasztalják ezt a korlátozást. További információ a frissítési jogkivonatok biztonsági következményeiről a böngészőben.

A jogkivonat élettartamának konfigurálása

A felhasználói folyamat jogkivonatának élettartamának konfigurálása:

1. Jelentkezzen be az Azure Portalra.
2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
3. Válassza az Összes szolgáltatást az Azure Portal bal felső sarkában, majd keresse meg és válassza az Azure AD B2C-t.
4. Felhasználói folyamatok (szabályzatok) kiválasztása.
5. Nyissa meg a korábban létrehozott felhasználói folyamatot.
6. Select Properties.
7. A token élettartama alatt módosítsa a tulajdonságokat az alkalmazás igényeinek megfelelően.
8. Válassza a Mentés parancsot.

A tokenkompatibilitás beállításainak módosításához állítsa be a tokenkibocsátó technikai profil metaadatait a bővítményben, vagy a szabályzat függő entitásfájlját, amelyet érinteni szeretne. A tokenkibocsátó technikai profilja a következő példához hasonlóan néz ki:

<ClaimsProviders>
  <ClaimsProvider>
    <DisplayName>Token Issuer</DisplayName>
    <TechnicalProfiles>
      <TechnicalProfile Id="JwtIssuer">
        <Metadata>
          <Item Key="token_lifetime_secs">3600</Item>
          <Item Key="id_token_lifetime_secs">3600</Item>
          <Item Key="refresh_token_lifetime_secs">1209600</Item>
          <Item Key="rolling_refresh_token_lifetime_secs">7776000</Item>
          <!--<Item Key="allow_infinite_rolling_refresh_token">true</Item>-->
          <Item Key="IssuanceClaimPattern">AuthorityAndTenantGuid</Item>
          <Item Key="AuthenticationContextReferenceClaimPattern">None</Item>
        </Metadata>
      </TechnicalProfile>
    </TechnicalProfiles>
  </ClaimsProvider>
</ClaimsProviders>

Az előző példában a következő értékek vannak beállítva:

• token_lifetime_secs – Hozzáférési jogkivonat élettartama (másodperc). Az alapértelmezett érték 3600 (1 óra). A minimum 300 (5 perc). A maximális érték 86 400 (24 óra).
• id_token_lifetime_secs – Azonosító jogkivonat élettartama (másodperc). Az alapértelmezett érték 3600 (1 óra). A minimum 300 (5 perc). A maximális érték 86 400 (24 óra).
• refresh_token_lifetime_secs Jogkivonat élettartamának (másodperc) frissítése. Az alapértelmezett érték 1 209 600 (14 nap). A minimum 86 400 (24 óra). A maximális érték 7 776 000 (90 nap).
• rolling_refresh_token_lifetime_secs – A token csúsztatási ablakának élettartama (másodperc). Az alapértelmezett érték 7 776 000 (90 nap). A minimum 86 400 (24 óra). A maximális érték 31 536 000 (365 nap). Ha nem szeretné kikényszeríteni a tolóablak élettartamát, állítsa a következő értékre allow_infinite_rolling_refresh_tokentrue: .
• allow_infinite_rolling_refresh_token – A tokenek tolóablakának frissítése soha nem jár le.

Tokenkompatibilitási beállítások

Konfigurálhatja a tokenkompatibilitást, beleértve a következőket:

• Kiállítói (iss) jogcím – A hozzáférési és azonosító jogkivonat kiállítói formátuma.
• Tulajdonosi (al)jogcím – Az a főnév, amelyről a jogkivonat adatokat állít be, például egy alkalmazás felhasználója. Ez az érték nem módosítható, és nem rendelhető újra és nem használható újra. Az engedélyezési ellenőrzések biztonságos végrehajtására használható, például amikor a jogkivonatot egy erőforrás eléréséhez használják. Alapértelmezés szerint a tulajdonosi jogcím a címtárban lévő felhasználó objektumazonosítójával van feltöltve.
• Felhasználói folyamatot képviselő jogcím – Ez a jogcím azonosítja a végrehajtott felhasználói folyamatot. Lehetséges értékek: tfp (alapértelmezett) vagy acr.

A felhasználói folyamatok kompatibilitási beállításainak konfigurálása:

1. Felhasználói folyamatok (szabályzatok) kiválasztása.
2. Nyissa meg a korábban létrehozott felhasználói folyamatot.
3. Select Properties.
4. A tokenkompatibilitási beállítások között módosítsa a tulajdonságokat az alkalmazás igényeinek megfelelően.
5. Válassza a Mentés parancsot.

A tokenkompatibilitás beállításainak módosításához állítsa be a tokenkibocsátó technikai profil metaadatait a bővítményben, vagy a frissíteni kívánt szabályzat függő entitásfájlját. A tokenkibocsátó technikai profilja a következő példához hasonlóan néz ki:

<ClaimsProviders>
  <ClaimsProvider>
    <DisplayName>Token Issuer</DisplayName>
    <TechnicalProfiles>
      <TechnicalProfile Id="JwtIssuer">
        <Metadata>
          ...
          <Item Key="IssuanceClaimPattern">AuthorityAndTenantGuid</Item>
          <Item Key="AuthenticationContextReferenceClaimPattern">None</Item>
        </Metadata>
      </TechnicalProfile>
    </TechnicalProfiles>
  </ClaimsProvider>
</ClaimsProviders>

• Kiállítói (iss) jogcím – A Kiállító (iss) jogcím az IssuanceClaimPattern metaadatelemhez van beállítva. A vonatkozó értékek a következők: AuthorityAndTenantGuid és AuthorityWithTfp.

• Házirend-azonosítót jelölő jogcím beállítása – Az érték TFP beállításának lehetőségei a következők: (megbízhatósági keretrendszer szabályzata) és ACR (hitelesítési környezet hivatkozása). TFP a javasolt érték. Állítsa be az AuthenticationContextReferenceClaimPattern értéket a következő Noneértékre: .

  A ClaimsSchema elemben adja hozzá a következő elemet:

  <ClaimType Id="trustFrameworkPolicy">
    <DisplayName>Trust framework policy name</DisplayName>
    <DataType>string</DataType>
  </ClaimType>
  

  A függő entitás házirendjében, az OutputClaims elem alatt adja hozzá a következő kimeneti jogcímet:

  <OutputClaim ClaimTypeReferenceId="trustFrameworkPolicy" Required="true" DefaultValue="{policy}" PartnerClaimType="tfp" />
  

  Az ACR esetében távolítsa el az AuthenticationContextReferenceClaimPattern elemet.

• Tárgy (al) jogcím – Ez a beállítás alapértelmezés szerint ObjectID értékre vált, ha erre a beállításra Not Supportedszeretné váltani, cserélje le ezt a sort:

  <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub" />
  

  ezzel a sortal:

  <OutputClaim ClaimTypeReferenceId="sub" />
  

Opcionális jogcímek megadása az alkalmazáshoz

Az alkalmazásjogcímek az alkalmazásnak visszaadott értékek. Frissítse a felhasználói folyamatot, hogy tartalmazza a kívánt jogcímeket.

1. Felhasználói folyamatok (szabályzatok) kiválasztása.
2. Nyissa meg a korábban létrehozott felhasználói folyamatot.
3. Válassza az Alkalmazásjogcímek lehetőséget.
4. Válassza ki azokat a jogcímeket és attribútumokat, amelyeket vissza szeretne küldeni az alkalmazásnak.
5. Válassza a Mentés parancsot.

A függő entitás szabályzatának műszaki profil kimeneti jogcímei olyan értékek, amelyeket a rendszer visszaad egy alkalmazásnak. A kimeneti jogcímek hozzáadása egy sikeres felhasználói folyamat után a jogkivonatba állítja ki a jogcímeket, és elküldi az alkalmazásnak. Módosítsa a műszaki profil elemet a függő entitás szakaszában, hogy a kívánt jogcímeket kimeneti jogcímként adja hozzá.

1. Nyissa meg az egyéni házirendfájlt. Például: SignUpOrSignin.xml.
2. Keresse meg a OutputClaims elemet. Adja hozzá a jogkivonatba felvenni kívánt OutputClaim értéket.
3. Adja meg a kimeneti jogcím attribútumait.

Az alábbi példa hozzáadja a jogcímet accountBalance . A accountBalance jogcímet a rendszer egyenlegként küldi el az alkalmazásnak.

<RelyingParty>
  <DefaultUserJourney ReferenceId="SignUpOrSignIn" />
  <TechnicalProfile Id="PolicyProfile">
    <DisplayName>PolicyProfile</DisplayName>
    <Protocol Name="OpenIdConnect" />
    <OutputClaims>
      <OutputClaim ClaimTypeReferenceId="displayName" />
      <OutputClaim ClaimTypeReferenceId="givenName" />
      <OutputClaim ClaimTypeReferenceId="surname" />
      <OutputClaim ClaimTypeReferenceId="email" />
      <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
      <OutputClaim ClaimTypeReferenceId="identityProvider" />
      <OutputClaim ClaimTypeReferenceId="tenantId" AlwaysUseDefaultValue="true" DefaultValue="{Policy:TenantObjectId}" />
      <!--Add the optional claims here-->
      <OutputClaim ClaimTypeReferenceId="accountBalance" DefaultValue="" PartnerClaimType="balance" />
    </OutputClaims>
    <SubjectNamingInfo ClaimType="sub" />
  </TechnicalProfile>
</RelyingParty>

Az OutputClaim elem a következő attribútumokat tartalmazza:

• ClaimTypeReferenceId – Egy jogcímtípus azonosítója, amely már definiálva van a házirendfájl Vagy a szülőházirendfájl ClaimsSchema szakaszában.
• PartnerClaimType – Lehetővé teszi a jogcím nevének módosítását a jogkivonatban.
• DefaultValue – Alapértelmezett érték. Beállíthatja az alapértelmezett értéket egy jogcímfeloldóra is, például bérlőazonosítóra.
• AlwaysUseDefaultValue – Kényszerítse az alapértelmezett érték használatát.

Az engedélyezési kód élettartama

Az OAuth 2.0 engedélyezési kódfolyamat használatakor az alkalmazás az engedélyezési kód használatával kérheti le a hozzáférési jogkivonatot egy célerőforráshoz. Az engedélyezési kódok rövid élettartamúak, amelyek körülbelül 10 perc elteltével lejárnak. Az engedélyezési kód élettartama nem konfigurálható. Győződjön meg arról, hogy az alkalmazás 10 percen belül beváltja az engedélyezési kódokat.

Következő lépések

• További információ a hozzáférési jogkivonatok kéréséről.
• Ismerje meg, hogyan építheti ki a rugalmasságot a fejlesztői ajánlott eljárások segítségével.