Azure Active Directory B2C: Configurazione di token, sessione e accesso Single Sign-OnAzure Active Directory B2C: Token, session and single sign-on configuration

Questa funzionalità offre un controllo dettagliato, in base ai singoli criteri, per gli elementi seguenti:This feature gives you fine-grained control, on a per-policy basis, of:

  1. Durate dei token di sicurezza emessi da Azure Active Directory (Azure AD) B2C.Lifetimes of security tokens emitted by Azure Active Directory (Azure AD) B2C.
  2. Durate delle sessioni delle applicazioni Web gestite da Azure AD B2C.Lifetimes of web application sessions managed by Azure AD B2C.
  3. Formati di attestazioni importanti nei token di sicurezza emessi da Azure AD B2C.Formats of important claims in the security tokens emitted by Azure AD B2C.
  4. Comportamento dell'accesso Single Sign-On (SSO) in più app e criteri nel tenant di B2C.Single sign-on (SSO) behavior across multiple apps and policies in your B2C tenant.

Per i criteri predefiniti, è possibile usare questa funzionalità nella directory Azure AD B2C come segue:For built-in policies, you can use this feature in your Azure AD B2C directory as follows:

  1. Seguire questa procedura per passare al menu delle funzionalità B2C nel portale di Azure.Follow these steps to navigate to the B2C features menu on the Azure portal.
  2. Fare clic su Criteri di iscrizione o di accesso.Click Sign-up or sign-in policies. Nota: è possibile usare questa funzionalità per qualsiasi tipo di criterio, non solo per i **criteri di iscrizione o di accesso.*Note: You can use this feature on any policy type, not just on **Sign-up or sign-in policies*.
  3. Fare clic su un criterio per aprirlo.Open a policy by clicking it. Ad esempio, fare clic su B2C_1_SiUpIn.For example, click on B2C_1_SiUpIn.
  4. Fare clic su Modifica nella parte superiore del menu.Click Edit at the top of the menu.
  5. Fare clic su Token, session & single sign-on config (Configurazione di token, sessione e accesso Single Sign-On).Click Token, session & single sign-on config.
  6. Apportare le modifiche necessarie.Make your desired changes. Per informazioni sulle proprietà disponibili, vedere le sezioni successive.Learn about available properties in subsequent sections.
  7. Fare clic su OK.Click OK.
  8. Fare clic su Salva nella parte superiore del menu.Click Save on the top of the menu.

Configurazione delle durate dei tokenToken lifetimes configuration

Azure AD B2C supporta il protocollo di autorizzazione OAuth 2.0 per abilitare l'accesso sicuro alle risorse protette.Azure AD B2C supports the OAuth 2.0 authorization protocol for enabling secure access to protected resources. Per implementare questo supporto, Azure AD B2C emette diversi token di sicurezza.To implement this support, Azure AD B2C emits various security tokens. Queste sono le proprietà che è possibile usare per gestire le durate dei token di sicurezza emessi da Azure AD B2C:These are the properties you can use to manage lifetimes of security tokens emitted by Azure AD B2C:

  • Durate dei token di accesso e ID (minuti): durata del token di connessione OAuth 2.0 usato per ottenere l'accesso a una risorsa protetta.Access & ID token lifetimes (minutes): The lifetime of the OAuth 2.0 bearer token used to gain access to a protected resource.
    • Impostazione predefinita: 60 minuti.Default = 60 minutes.
    • Valore minimo (inclusivo): 5 minuti.Minimum (inclusive) = 5 minutes.
    • Valore massimo (inclusivo): 1440 minuti.Maximum (inclusive) = 1440 minutes.
  • Durata del token di aggiornamento (giorni): periodo di tempo massimo prima che sia possibile usare un token di aggiornamento per acquisire un nuovo token di accesso o ID e, facoltativamente, un nuovo token di aggiornamento, se all'applicazione è stato concesso l'ambito offline_access.Refresh token lifetime (days): The maximum time period before which a refresh token can be used to acquire a new access or ID token (and optionally, a new refresh token, if your application had been granted the offline_access scope).
    • Impostazione predefinita: 14 giorni.Default = 14 days.
    • Valore minimo (inclusivo): 1 giorno.Minimum (inclusive) = 1 day.
    • Valore massimo (inclusivo): 90 giorni.Maximum (inclusive) = 90 days.
  • Durata della finestra temporale scorrevole del token di aggiornamento (giorni): allo scadere di questo periodo, l'utente dovrà ripetere l'autenticazione, indipendentemente dal periodo di validità del token di accesso più recente acquisito dall'applicazione.Refresh token sliding window lifetime (days): After this time period elapses the user is forced to re-authenticate, irrespective of the validity period of the most recent refresh token acquired by the application. Questo valore può essere specificato solo se l'opzione è impostata su Con vincoli.It can only be provided if the switch is set to Bounded. Deve essere superiore o uguale al valore Durata del token di aggiornamento (giorni) .It needs to be greater than or equal to the Refresh token lifetime (days) value. Se l'opzione è impostata su Senza vincoli, non sarà possibile specificare un valore specifico.If the switch is set to Unbounded, you cannot provide a specific value.
    • Impostazione predefinita: 90 giorni.Default = 90 days.
    • Valore minimo (inclusivo): 1 giorno.Minimum (inclusive) = 1 day.
    • Valore massimo (inclusivo): 365 giorni.Maximum (inclusive) = 365 days.

Ecco un paio di casi di utilizzo in cui è possibile abilitare l'uso di queste proprietà:These are a couple of use cases that you can enable using these properties:

  • Consentire a un utente di mantenere la connessione a un dispositivo mobile per un periodo illimitato, purché l'utente sia continuamente attivo sull'applicazione.Allow a user to stay signed into a mobile application indefinitely, as long as he or she is continually active on the application. È possibile ottenere questo risultato impostando l'opzione Refresh token sliding window lifetime (days) (Durata della finestra temporale scorrevole del token di aggiornamento (giorni)) su Unbounded (Non vincolato) nei criteri di accesso.You can do this by setting the Refresh token sliding window lifetime (days) switch to Unbounded in your sign-in policy.
  • Soddisfare i requisiti di sicurezza e conformità del settore, impostando durate appropriate per i token di accesso.Meet your industry's security and compliance requirements by setting the appropriate access token lifetimes.

    Nota

    Queste impostazioni non sono disponibili per i criteri di reimpostazione della password.These settings are not available for password reset policies.

Impostazioni di compatibilità dei tokenToken compatibility settings

Sono state apportate modifiche alla formattazione di attestazioni importanti nei token di sicurezza emessi da Azure AD B2C,We made formatting changes to important claims in security tokens emitted by Azure AD B2C. allo scopo di migliorare il supporto del protocollo Standard e l'interoperabilità con librerie di identità di terze parti.This was done to improve our standard protocol support and for better interoperability with third-party identity libraries. Tuttavia, per evitare di interferire con le app esistenti, sono state create le proprietà seguenti per consentire ai clienti di dare il consenso esplicito in base alle esigenze:However, to avoid breaking existing apps, we created the following properties to allow customers to opt-in as needed:

  • Attestazione dell'autorità di certificazione (iss): identifica il tenant Azure AD B2C che ha emesso il token.Issuer (iss) claim: This identifies the Azure AD B2C tenant that issued the token.
    • https://login.microsoftonline.com/{B2C tenant GUID}/v2.0/: valore predefinito.https://login.microsoftonline.com/{B2C tenant GUID}/v2.0/: This is the default value.
    • https://login.microsoftonline.com/tfp/{B2C tenant GUID}/{Policy ID}/v2.0/: valore che include gli ID per il tenant B2C e i criteri usati nella richiesta di token.https://login.microsoftonline.com/tfp/{B2C tenant GUID}/{Policy ID}/v2.0/: This value includes IDs for both the B2C tenant and the policy used in the token request. Usare questo valore se l'app o la libreria richiede Azure AD B2C per essere conforme alla specifica OpenID Connect Discovery 1.0.If your app or library needs Azure AD B2C to be compliant with the OpenID Connect Discovery 1.0 spec, use this value.
  • Attestazione dell'oggetto (sub): identifica l'entità, ossia l'utente, per cui il token rilascia informazioni.Subject (sub) claim: This identifies the entity, i.e., the user, for which the token asserts information.
    • ObjectID: valore predefinito.ObjectID: This is the default value. che popola l'ID oggetto dell'utente nella directory dell'attestazione sub nel token.It populates the object ID of the user in the directory into the sub claim in the token.
    • Non supportato: viene fornito solo per compatibilità con le versioni precedenti ed è consigliabile passare a ObjectID non appena possibile.Not supported: This is only provided for backward-compatibility, and we recommend that you switch to ObjectID as soon as you are able to.
  • Attestazione che rappresenta l'ID criteri: identifica il tipo di attestazione in cui viene popolato l'ID criteri usato nella richiesta di token.Claim representing policy ID: This identifies the claim type into which the policy ID used in the token request is populated.
    • tfp: valore predefinito.tfp: This is the default value.
    • acr: viene fornito solo per compatibilità con le versioni precedenti ed è consigliabile passare a tfp non appena possibile.acr: This is only provided for backward-compatibility, and we recommend that you switch to tfp as soon as you are able to.

Comportamento della sessioneSession behavior

Azure AD B2C supporta il protocollo di autenticazione OpenID Connect per abilitare l'accesso sicuro alle applicazioni Web.Azure AD B2C supports the OpenID Connect authentication protocol for enabling secure sign-in to web applications. Ecco le proprietà che è possibile usare per gestire le sessioni delle applicazioni Web:These are the properties you can use to manage web application sessions:

  • Durata della sessione dell'app Web (minuti): durata del cookie della sessione di Azure AD B2C archiviato nel browser dell'utente dopo un'autenticazione corretta.Web app session lifetime (minutes): The lifetime of Azure AD B2C's session cookie stored on the user's browser upon successful authentication.
    • Impostazione predefinita: 1440 minuti.Default = 1440 minutes.
    • Valore minimo (inclusivo): 15 minuti.Minimum (inclusive) = 15 minutes.
    • Valore massimo (inclusivo): 1440 minuti.Maximum (inclusive) = 1440 minutes.
  • Web app session timeout (Timeout della sessione dell'app Web): se questa opzione è impostata su Absolute (Assoluto), l'utente dovrà ripetere l'autenticazione dopo la scadenza del periodo di tempo specificato da Web app session lifetime (minutes) (Durata della sessione dell'app Web (minuti)).Web app session timeout: If this switch is set to Absolute, the user is forced to re-authenticate after the time period specified by Web app session lifetime (minutes) elapses. Se l'opzione è impostata su Continuo (impostazione predefinita), l'utente rimane connesso, purché sia continuamente attivo nell'applicazione Web.If this switch is set to Rolling (the default setting), the user remains signed in as long as the user is continually active in your web application.

Ecco un paio di casi di utilizzo in cui è possibile abilitare l'uso di queste proprietà:These are a couple of use cases that you can enable using these properties:

  • Soddisfare i requisiti di sicurezza e conformità del settore, impostando durate appropriate per la sessione dell'applicazione Web.Meet your industry's security and compliance requirements by setting the appropriate web application session lifetimes.
  • Imporre la ripetizione dell'autenticazione dopo un periodo di tempo specifico durante l'interazione di un utente con una parte a sicurezza elevata dell'applicazione Web.Force re-authentication after a set time period during a user's interaction with a high-security part of your web application.

    Nota

    Queste impostazioni non sono disponibili per i criteri di reimpostazione della password.These settings are not available for password reset policies.

Configurazione dell'accesso Single Sign-OnSingle sign-on (SSO) configuration

Se il tenant di B2C include più applicazioni e criteri, è possibile gestire le interazioni degli utenti tra di essi usando la proprietà Configurazione Single Sign-on .If you have multiple applications and policies in your B2C tenant, you can manage user interactions across them using the Single sign-on configuration property. È possibile impostare la proprietà su uno dei valori seguenti:You can set the property to one of the following settings:

  • Tenant: impostazione predefinita.Tenant: This is the default setting. L'uso di questa impostazione consente a più applicazioni e criteri del tenant di B2C di condividere la stessa sessione utente.Using this setting allows multiple applications and policies in your B2C tenant to share the same user session. Ad esempio, quando un utente accede a un'applicazione, Contoso Shopping, può accedere contemporaneamente anche a un'altra applicazione, Contoso Pharmacy, senza alcun problema.For example, once a user signs into an application, Contoso Shopping, he or she can also seamlessly sign into another one, Contoso Pharmacy, upon accessing it.
  • Applicazione: consente di mantenere una sessione utente esclusivamente per un'applicazione, indipendentemente dalle altre applicazioni.Application: This allows you to maintain a user session exclusively for an application, independent of other applications. Ad esempio, un utente può accedere a Contoso Pharmacy, usando le stesse credenziali, anche se ha già eseguito l'accesso a Contoso Shopping, un'altra applicazione nello stesso tenant di B2C.For example, if you want the user to sign in to Contoso Pharmacy (with the same credentials), even if he or she is already signed into Contoso Shopping, another application on the same B2C tenant.
  • Criterio: consente di mantenere una sessione utente esclusivamente per un criterio, indipendentemente dalle applicazioni che lo usano.Policy: This allows you to maintain a user session exclusively for a policy, independent of the applications using it. Ad esempio, se un utente ha già effettuato l'accesso e completato un passaggio di Multi Factor Authentication, otterrà l'accesso a parti a sicurezza più elevata di più applicazioni, purché la sessione associata al criterio non scada.For example, if the user has already signed in and completed a multi factor authentication (MFA) step, he or she can be given access to higher-security parts of multiple applications as long as the session tied to the policy doesn't expire.
  • Disabilitato: impone all'utente di eseguire il percorso utente completo a ogni esecuzione del criterio.Disabled: This forces the user to run through the entire user journey on every execution of the policy. Ad esempio, ciò consente a più utenti di accedere all'applicazione, in uno scenario di desktop condiviso, anche se un singolo utente rimane connesso per l'intero periodo di tempo.For example, this allows multiple users to sign up to your application (in a shared desktop scenario), even while a single user remains signed in during the whole time.

    Nota

    Queste impostazioni non sono disponibili per i criteri di reimpostazione della password.These settings are not available for password reset policies.