Översikt över principnycklar i Azure Active Directory B2C

Innan du börjaranvänder du väljaren Välj en principtyp för att välja den typ av princip som du ska konfigurera. Azure Active Directory B2C erbjuder två metoder för att definiera hur användare interagerar med dina program: via fördefinierade användarflöden eller genom fullständigt konfigurerbara anpassade principer. Stegen som krävs i den här artikeln är olika för varje metod.

Den här funktionen är endast tillgänglig för anpassade principer. För installationssteg väljer du Anpassad princip i föregående väljare.

Azure Active Directory B2C (Azure AD B2C) lagrar hemligheter och certifikat i form av principnycklar för att upprätta förtroende med de tjänster som den integrerar med. Dessa förtroenden består av:

  • Externa identitetsprovidrar
  • Ansluta med REST API tjänster
  • Tokensignering och kryptering

Den här artikeln beskriver vad du behöver veta om de principnycklar som används av Azure AD B2C.

Anteckning

För närvarande är konfigurationen av principnycklar endast begränsad till anpassade principer.

Du kan konfigurera hemligheter och certifikat för att upprätta förtroende mellan tjänster i Azure Portal under menyn Principnycklar. Nycklar kan vara symmetriska eller asymmetriska. Symmetrisk kryptografi, eller kryptografi med privat nyckel, är där en delad hemlighet används för att både kryptera och dekryptera data. Asymmetrisk kryptografi, eller kryptografi med offentlig nyckel, är ett kryptografiskt system som använder nyckelpar som består av offentliga nycklar som delas med det förlitande partprogrammet och privata nycklar som endast är kända för Azure AD B2C.

Principnycklar och nycklar

Resursen på den översta nivån för principnycklar i Azure AD B2C är Keyset-containern. Varje nyckeluppsättning innehåller minst en nyckel. En nyckel har följande attribut:

Attribut Obligatorisk Kommentarer
use Yes Användning: Identifierar den avsedda användningen av den offentliga nyckeln. Kryptera data enc eller verifiera signaturen för data sig .
nbf No Aktiveringsdatum och -tid.
exp No Förfallodatum och -tid.

Vi rekommenderar att du anger nyckelaktiverings- och förfallovärden enligt dina PKI-standarder. Du kan behöva rotera dessa certifikat regelbundet av säkerhets- eller principskäl. Du kan till exempel ha en princip för att rotera alla certifikat varje år.

Om du vill skapa en nyckel kan du välja någon av följande metoder:

  • Manuell – Skapa en hemlighet med en sträng som du definierar. Hemligheten är en symmetrisk nyckel. Du kan ange aktiverings- och förfallodatum.
  • Genererad – Generera en nyckel automatiskt. Du kan ange aktiverings- och förfallodatum. Det finns två alternativ:
    • Hemlighet – genererar en symmetrisk nyckel.
    • RSA – Genererar ett nyckelpar (asymmetriska nycklar).
  • Upload – Upload ett certifikat eller en PKCS12-nyckel. Certifikatet måste innehålla privata och offentliga nycklar (asymmetriska nycklar).

Nyckel-rollover

Av säkerhetsskäl kan Azure AD B2C återställa nycklar med jämna mellanrum eller omedelbart i nödfall. Alla program, identitetsproviders eller REST API som integreras med Azure AD B2C bör vara förberedda på att hantera en nyckel-rollover-händelse, oavsett hur ofta den kan ske. Om ditt program eller Azure AD B2C försöker använda en utgången nyckel för att utföra en kryptografisk åtgärd misslyckas inloggningsbegäran.

Om Azure AD B2C en nyckeluppsättning har flera nycklar är endast en av nycklarna aktiv åt gången, baserat på följande kriterier:

  • Nyckelaktiveringen baseras på aktiveringsdatumet.
    • Nycklarna sorteras efter aktiveringsdatum i stigande ordning. Nycklar med aktiveringsdatum längre in i framtiden visas längre ned i listan. Nycklar utan aktiveringsdatum finns längst ned i listan.
    • När aktuellt datum och tid är större än aktiveringsdatumet för en nyckel Azure AD B2C nyckeln och slutar använda den tidigare aktiva nyckeln.
  • När den aktuella nyckelns förfallotid har gått ut och nyckelcontainern innehåller en ny nyckel med giltig inte före och förfallotider, aktiveras den nya nyckeln automatiskt.
  • När den aktuella nyckelns förfallotid har gått ut och nyckelcontainern inte innehåller en ny nyckel med giltig inte före och förfallotider kan Azure AD B2C inte använda den utgångna nyckeln. Azure AD B2C ett felmeddelande i en beroende komponent i din anpassade princip. För att undvika det här problemet kan du skapa en standardnyckel utan aktiverings- och förfallodatum som ett säkerhetsnät.
  • Nyckelns slutpunkt (JWKS URI) för OpenId Anslut välkända konfigurationsslutpunkt återspeglar de nycklar som konfigurerats i nyckelcontainern när nyckeln refereras till i den tekniska profilen JwtIssuer. Ett program som använder ett OIDC-bibliotek hämtar automatiskt dessa metadata för att se till att det använder rätt nycklar för att verifiera token. Mer information finns i Använda Microsoft Authentication Library, som alltid hämtar de senaste tokensigneringsnycklarna automatiskt.

Hantering av principnyckel

Om du vill hämta den aktuella aktiva nyckeln i en nyckelcontainer använder du Microsoft Graph API getActiveKey-slutpunkten.

Så här lägger du till eller tar bort signerings- och krypteringsnycklar:

  1. Logga in på Azure-portalen.
  2. Kontrollera att du använder den katalog som innehåller din Azure AD B2C klientorganisation. Välj ikonen Kataloger + prenumerationer i portalens verktygsfält.
  3. portalens inställningar | Sidan Kataloger + prenumerationer, leta upp Azure AD B2C katalog i listan Katalognamn och välj sedan Växla.
  4. I Azure Portal du efter och väljer Azure AD B2C.
  5. På översiktssidan går du till Principeroch väljer Identity Experience Framework.
  6. Välj principnycklar
    1. Om du vill lägga till en ny nyckel väljer du Lägg till.
    2. Om du vill ta bort en ny nyckel markerar du nyckeln och väljer sedan Ta bort. Om du vill ta bort nyckeln skriver du namnet på nyckelcontainern som ska tas bort. Azure AD B2C tar bort nyckeln och skapar en kopia av nyckeln med suffixet .bak.

Ersätta en nyckel

Nycklarna i en nyckeluppsättning kan inte bytas ut eller kan inte tas bort. Om du behöver ändra en befintlig nyckel:

  • Vi rekommenderar att du lägger till en ny nyckel med aktiveringsdatumet inställt på aktuellt datum och tid. Azure AD B2C den nya nyckeln och slutar använda den tidigare aktiva nyckeln.
  • Du kan också skapa en ny nyckeluppsättning med rätt nycklar. Uppdatera principen så att den använder den nya nyckeluppsättningen och ta sedan bort den gamla nyckeluppsättningen.

Nästa steg