Cookiesdefinities voor Azure AD B2C
De volgende secties bevatten informatie over de cookies die worden gebruikt in Azure Active Directory B2C (Azure AD B2C).
SameSite
De Azure B2C-service is compatibel met SameSite-browserconfiguraties, inclusief ondersteuning voor SameSite=None met het Secure kenmerk .
Om de toegang tot sites te beveiligen, introduceren webbrowsers een nieuw standaard beveiligd model dat ervan uitgaat dat alle cookies moeten worden beschermd tegen externe toegang, tenzij anders aangegeven. De Chrome-browser is de eerste die deze wijziging implementeert, te beginnen met Chrome 80 in februari 2020. Zie Ontwikkelaars: Voorbereiden op nieuwe SameSite=None voor meer informatie over het voorbereiden op de wijziging in Chrome. Instellingen voor beveiligde cookies op de Chromium Blog.
Ontwikkelaars moeten de nieuwe cookie-instelling, SameSite=None, gebruiken om cookies aan te wijzen voor toegang op meerdere sites. Wanneer het SameSite=None kenmerk aanwezig is, moet er een extra Secure kenmerk worden gebruikt, zodat cross-site cookies alleen toegankelijk zijn via HTTPS-verbindingen. Valideer en test al uw toepassingen, inclusief de toepassingen die gebruikmaken van Azure AD B2C.
Zie voor meer informatie:
- SameSite-cookiewijzigingen in Chrome-browser verwerken
- Effect op websites van klanten en Microsoft-services en producten in Chrome versie 80 of hoger
Cookies
De volgende tabel bevat de cookies die worden gebruikt in Azure AD B2C.
| Name | Domain | Verloopdatum | Doel |
|---|---|---|---|
x-ms-cpim-admin |
main.b2cadmin.ext.azure.com | Einde van browsersessie | Bevat gebruikerslidmaatschapsgegevens voor tenants. De tenants waarvan een gebruiker lid is en het lidmaatschapsniveau (Beheer of Gebruiker). |
x-ms-cpim-slice |
b2clogin.com, login.microsoftonline.com, merkdomein | Einde van browsersessie | Wordt gebruikt om aanvragen naar het juiste productie-exemplaar te routeren. |
x-ms-cpim-trans |
b2clogin.com, login.microsoftonline.com, merkdomein | Einde van browsersessie | Wordt gebruikt voor het bijhouden van de transacties (het aantal verificatieaanvragen voor Azure AD B2C) en de huidige transactie. |
x-ms-cpim-sso:{Id} |
b2clogin.com, login.microsoftonline.com, merkdomein | Einde van browsersessie | Wordt gebruikt voor het onderhouden van de SSO-sessie. Deze cookie wordt ingesteld als persistent, wanneer Aangemeld blijven is ingeschakeld. |
x-ms-cpim-cache:{id}_n |
b2clogin.com, login.microsoftonline.com, merkdomein | Einde van browsersessie, geslaagde verificatie | Wordt gebruikt voor het onderhouden van de aanvraagstatus. |
x-ms-cpim-csrf |
b2clogin.com, login.microsoftonline.com, merkdomein | Einde van browsersessie | Cross-Site Request Forgery-token dat wordt gebruikt voor CRSF-beveiliging. Lees de sectie Cross-Site request forgery token voor meer informatie. |
x-ms-cpim-dc |
b2clogin.com, login.microsoftonline.com, merkdomein | Einde van browsersessie | Wordt gebruikt voor Azure AD B2C-netwerkroutering. |
x-ms-cpim-ctx |
b2clogin.com, login.microsoftonline.com, merkdomein | Einde van browsersessie | Context |
x-ms-cpim-rp |
b2clogin.com, login.microsoftonline.com, merkdomein | Einde van browsersessie | Wordt gebruikt voor het opslaan van lidmaatschapsgegevens voor de tenant van de resourceprovider. |
x-ms-cpim-rc |
b2clogin.com, login.microsoftonline.com, merkdomein | Einde van browsersessie | Wordt gebruikt voor het opslaan van de relay-cookie. |
x-ms-cpim-geo |
b2clogin.com, login.microsoftonline.com, merkdomein | 1 uur | Wordt gebruikt als hint om de geografische locatie van de resourcetenants te bepalen. |
Aanvraagvervalsingstoken voor meerdere sites
Ter voorkoming van CSRF-aanvallen (Cross Site Request Forgery) past Azure AD B2C het mechanisme voor de strategie synchronisatietoken toe. Raadpleeg het artikel Cross-Site Request Forgery Prevention (Cross-Site Request Forgery Prevention) voor meer informatie over dit patroon.
Azure AD B2C genereert een synchronisatietoken en voegt dit op twee plaatsen toe: in een cookie met het label x-ms-cpim-csrfen een queryreeksparameter met de naam csrf_token in de URL van de pagina die naar de Azure AD B2C wordt verzonden. Terwijl Azure AD B2C-service de binnenkomende aanvragen van de browser verwerkt, wordt bevestigd dat zowel de querytekenreeks als de cookieversies van het token bestaan en dat deze exact overeenkomen. Ook worden de elementen van de inhoud van het token gecontroleerd op basis van de verwachte waarden voor de actieve verificatie.
Wanneer een gebruiker bijvoorbeeld op de registratie- of aanmeldingspagina de koppelingen Wachtwoord vergeten of Nu registreren selecteert, stuurt de browser een GET-aanvraag naar Azure AD B2C om de inhoud van de volgende pagina te laden. De aanvraag voor het laden van inhoud Azure AD B2C kiest er bovendien voor om het synchronisatietoken te verzenden en te valideren als een extra beveiligingslaag om ervoor te zorgen dat de aanvraag voor het laden van de pagina het resultaat is van een verificatie die wordt uitgevoerd.
Het synchronisatietoken is een referentie waarmee geen gebruiker wordt geïdentificeerd, maar die is gekoppeld aan een actieve unieke verificatiesessie.