Azure Active Directory B2C'de ilke anahtarlara genel bakış

Başlamadan önce, ayarladığınız ilke türünü seçmek için İlke türü seçin seçicisini kullanın. Azure Active Directory B2C, kullanıcıların uygulamalarınızla nasıl etkileşim kurduğunu tanımlamak için iki yöntem sunar: önceden tanımlanmış kullanıcı akışları veya tam olarak yapılandırılabilir özel ilkeler aracılığıyla. Bu makalede gerekli adımlar her yöntem için farklıdır.

Bu özellik yalnızca özel ilkeler için kullanılabilir. Kurulum adımları için, önceki seçicide Özel ilke'yi seçin.

Azure Active Directory B2C (Azure AD B2C), tümleştirmiş olduğu hizmetlerle güven oluşturmak için gizli dizileri ve sertifikaları ilke anahtarları biçiminde depolar. Bu güvenler şunlardan oluşur:

• Harici kimlik sağlayıcıları
• ile BağlanREST API hizmetleri
• Belirteç imzalama ve şifreleme

Bu makalede, Azure AD B2C tarafından kullanılan ilke anahtarları hakkında bilmeniz gerekenler açıklanır.

Dekont

Şu anda, ilke anahtarlarının yapılandırması yalnızca özel ilkeler ile sınırlıdır.

Azure portalında, İlke anahtarları menüsünün altında hizmetler arasında güven oluşturmak için gizli dizileri ve sertifikaları yapılandırabilirsiniz. Tuşlar simetrik veya asimetrik olabilir. Simetrik şifreleme veya özel anahtar şifrelemesi, verilerin hem şifrelenmesi hem de şifresinin çözülmesi için paylaşılan bir gizli dizinin kullanıldığı yerdir. Asimetrik şifreleme veya ortak anahtar şifrelemesi, bağlı olan taraf uygulamasıyla paylaşılan ortak anahtarlardan ve yalnızca Azure AD B2C tarafından bilinen özel anahtarlardan oluşan anahtar çiftlerini kullanan bir şifreleme sistemidir.

İlke anahtar kümesi ve anahtarları

Azure AD B2C'de ilke anahtarları için en üst düzey kaynak Keyset kapsayıcısıdır. Her anahtar kümesi en az bir Anahtar içerir. Anahtar aşağıdaki özniteliklere sahiptir:

Öznitelik	Zorunlu	Açıklamalar
use	Evet	Kullanım: Ortak anahtarın hedeflenen kullanımını tanımlar. Verileri şifreleme veya verilerde encsigimzayı doğrulama.
nbf	Hayır	Etkinleştirme tarihi ve saati.
exp	Hayır	Son kullanma tarihi ve saati.

Anahtar etkinleştirme ve süre sonu değerlerini PKI standartlarınıza göre ayarlamanızı öneririz. Güvenlik veya ilke nedenleriyle bu sertifikaları düzenli aralıklarla döndürmeniz gerekebilir. Örneğin, her yıl tüm sertifikalarınızı döndürmek için bir ilkeniz olabilir.

Anahtar oluşturmak için aşağıdaki yöntemlerden birini seçebilirsiniz:

• El ile - Tanımladığınız bir dizeyle gizli dizi oluşturun. Gizli dizi simetrik bir anahtardır. Etkinleştirme ve son kullanma tarihlerini ayarlayabilirsiniz.
• Oluşturuldu - Otomatik olarak bir anahtar oluşturun. Etkinleştirme ve son kullanma tarihlerini ayarlayabilirsiniz. İki seçenek vardır:
  • Gizli dizi - Simetrik anahtar oluşturur.
  • RSA - Bir anahtar çifti (asimetrik anahtarlar) oluşturur.
• Karşıya Yükle - Sertifikayı veya PKCS12 anahtarını karşıya yükleyin. Sertifika özel ve ortak anahtarları (asimetrik anahtarlar) içermelidir.

Anahtar geçişi

Azure AD B2C, güvenlik amacıyla anahtarları düzenli aralıklarla veya acil durumlarda hemen devredebilir. Azure AD B2C ile tümleşen tüm uygulamalar, kimlik sağlayıcılar veya REST API'ler, ne sıklıkta gerçekleşebilirse gerçekleşsin anahtar geçişi olayını işlemeye hazır olmalıdır. Aksi takdirde, uygulamanız veya Azure AD B2C şifreleme işlemi gerçekleştirmek için süresi dolmuş bir anahtar kullanmayı denerse oturum açma isteği başarısız olur.

Azure AD B2C anahtar kümesinin birden çok anahtarı varsa, aşağıdaki ölçütlere göre anahtarlardan yalnızca biri aynı anda etkindir:

• Anahtar etkinleştirme, etkinleştirme tarihine bağlıdır.
  • Anahtarlar etkinleştirme tarihine göre artan düzende sıralanır. Etkinleştirme tarihleri daha ileride olan anahtarlar listenin daha altında görünür. Etkinleştirme tarihi olmayan anahtarlar listenin en altında bulunur.
  • Geçerli tarih ve saat bir anahtarın etkinleştirme tarihinden büyük olduğunda, Azure AD B2C anahtarı etkinleştirir ve önceki etkin anahtarı kullanmayı durdurur.
• Geçerli anahtarın süre sonu sona erdiğinde ve anahtar kapsayıcısı geçerli olmayanve son kullanma sürelerine sahip yeni bir anahtar içerdiğinde, yeni anahtar otomatik olarak etkin hale gelir.
• Geçerli anahtarın süre sonu sona erdiğinde ve anahtar kapsayıcısı geçerli olmayan veson kullanma sürelerine sahip yeni bir anahtar içermiyorsa, Azure AD B2C süresi dolan anahtarı kullanamaz. Azure AD B2C, özel ilkenizin bağımlı bir bileşeni içinde bir hata iletisi oluşturur. Bu sorunu önlemek için, güvenlik ağı olarak etkinleştirme ve son kullanma tarihleri olmadan varsayılan bir anahtar oluşturabilirsiniz.
• OpenId Bağlan iyi bilinen yapılandırma uç noktasının anahtarın uç noktası (JWKS URI), Anahtara JwtIssuer Teknik Profilinde başvurulduğunda Anahtar Kapsayıcısı'nda yapılandırılan anahtarları yansıtır. OIDC kitaplığı kullanan bir uygulama, belirteçleri doğrulamak için doğru anahtarları kullandığından emin olmak için bu meta verileri otomatik olarak getirir. Daha fazla bilgi için, her zaman en son belirteç imzalama anahtarlarını otomatik olarak getiren Microsoft Kimlik Doğrulama Kitaplığı'nı kullanmayı öğrenin.

İlke anahtarı yönetimi

Geçerli etkin anahtarı bir anahtar kapsayıcısı içinde almak için Microsoft Graph API getActiveKey uç noktasını kullanın.

İmzalama ve şifreleme anahtarlarını eklemek veya silmek için:

1. Azure Portal oturum açın.
2. Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden Azure AD B2C kiracınıza geçmek için üstteki menüden Ayarlar simgesini seçin.
3. Azure portalında Azure AD B2C'yi arayın ve seçin.
4. Genel bakış sayfasındaki İlkeler'in altında Kimlik Deneyimi Çerçevesi'ni seçin.
5. İlke Anahtarları'nı seçin
   1. Yeni bir anahtar eklemek için Ekle'yi seçin.
   2. Yeni bir anahtarı kaldırmak için anahtarı seçin ve ardından Sil'i seçin. Anahtarı silmek için silinecek anahtar kapsayıcısının adını yazın. Azure AD B2C anahtarı siler ve .bak soneki ile anahtarın bir kopyasını oluşturur.

Anahtarı değiştirme

Anahtar kümesindeki tuşlar değiştirilemez veya çıkarılabilir değildir. Mevcut bir anahtarı değiştirmeniz gerekiyorsa:

• Etkinleştirme tarihi geçerli tarih ve saate ayarlanmış yeni bir anahtar eklemenizi öneririz. Azure AD B2C yeni anahtarı etkinleştirir ve önceki etkin anahtarı kullanmayı durdurur.
• Alternatif olarak, doğru anahtarlarla yeni bir anahtar kümesi oluşturabilirsiniz. İlkenizi yeni anahtar kümesi kullanacak şekilde güncelleştirin ve ardından eski anahtar kümesinden kaldırın.

Sonraki adımlar

• Anahtar kümesi ve ilke anahtarları dağıtımlarını otomatikleştirmek için Microsoft Graph'ı kullanmayı öğrenin.