Requisiti della suite di crittografia e TLS B2C di Azure Active Directory

Azure Active Directory B2C (Azure AD B2C) si connette agli endpoint tramite connettori API e provider di identità all'interno dei flussi utente. Questo articolo illustra i requisiti del gruppo di crittografia e TLS per gli endpoint.

Gli endpoint configurati con connettori API e provider di identità devono essere pubblicati in un URI HTTPS accessibile pubblicamente. Prima di stabilire una connessione sicura con l'endpoint, il protocollo e la crittografia vengono negoziati tra Azure AD B2C e l'endpoint in base alle funzionalità di entrambe le parti della connessione.

Azure AD B2C deve essere in grado di connettersi agli endpoint usando i pacchetti di crittografia Transport Layer Security (TLS) e come descritto in questo articolo.

Versioni di TLS

TLS versione 1.2 è un protocollo di crittografia che fornisce l'autenticazione e la crittografia dei dati tra server e client. L'endpoint deve supportare la comunicazione sicura tramite TLS versione 1.2. Le versioni precedenti di TLS 1.0 e 1.1 sono deprecate.

Pacchetti di crittografia

I pacchetti di crittografia sono set di algoritmi di crittografia. Forniscono informazioni essenziali su come comunicare i dati in modo sicuro quando si usa il protocollo HTTPS tramite TLS.

L'endpoint deve supportare almeno una delle crittografie seguenti:

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Endpoint nell'ambito

Gli endpoint seguenti usati nell'ambiente Azure AD B2C devono essere conformi ai requisiti descritti in questo articolo:

• Connettori API
• OAuth1
  • Token endpoint (Endpoint di token)
  • Endpoint informazioni utente
• Provider di identità OAuth2 e OpenId connect
  • Endpoint di individuazione OpenId Connect
  • Endpoint JWKS OpenId Connect
  • Token endpoint (Endpoint di token)
  • Endpoint informazioni utente
• Suggerimento per il token ID
  • Endpoint di individuazione OpenId Connect
  • Endpoint JWKS OpenId Connect
• Endpoint dei metadati del provider di identità SAML
• Endpoint dei metadati del provider di servizi SAML

Controllare la compatibilità degli endpoint

Per verificare che gli endpoint siano conformi ai requisiti descritti in questo articolo, eseguire un test usando uno strumento di crittografia e scanner TLS. Testare l'endpoint usando SSLLABS.

Passaggi successivi

Vedere anche gli articoli seguenti:

• Risoluzione dei problemi causati da applicazioni che non supportano TLS 1.2
• Pacchetti di crittografia in TLS/SSL (SSP Schannel)
• Come abilitare TLS 1.2
• Risoluzione del problema relativo a TLS 1.0