Cookie-definíciók az Azure AD B2C-hez
A következő szakaszok az Azure Active Directory B2C-ben (Azure AD B2C) használt cookie-kkal kapcsolatos információkat tartalmaznak.
SameSite
Az Azure B2C szolgáltatás kompatibilis a SameSite böngészőkonfigurációival, beleértve az Secure attribútum támogatását SameSite=None is.
A webhelyekhez való hozzáférés védelme érdekében a webböngészők új, alapértelmezés szerint biztonságos modellt vezetnek be, amely feltételezi, hogy minden cookie-t védeni kell a külső hozzáféréstől, kivéve, ha másként van megadva. A Chrome böngésző az első, amely implementálja ezt a módosítást, kezdve a Chrome 80-mal 2020 februárjában. A Chrome-beli módosítás előkészítésével kapcsolatos további információkért lásd : Fejlesztők: Felkészülés a New SameSite=None; Biztonságos cookie-beállítások a Chromium blogon.
A fejlesztőknek az új cookie-beállítást kell használniuk a SameSite=Nonewebhelyek közötti hozzáféréshez szükséges cookie-k kijelöléséhez. Ha az SameSite=None attribútum jelen van, egy további Secure attribútumot kell használni, így a helyek közötti cookie-k csak HTTPS-kapcsolatokon keresztül érhetők el. Ellenőrizze és tesztelje az összes alkalmazást, beleértve az Azure AD B2C-t használó alkalmazásokat is.
További információk:
- SameSite cookie-módosítások kezelése a Chrome böngészőben
- Az ügyfél webhelyeire, valamin a Microsoft-szolgáltatásokra és -termékekre gyakorolt hatás a Chrome 80-as vagy újabb verzióiban
Cookie-k
Az alábbi táblázat az Azure AD B2C-ben használt cookie-kat sorolja fel.
| Név | Tartomány | Lejárat | Cél |
|---|---|---|---|
x-ms-cpim-admin |
main.b2cadmin.ext.azure.com | A böngésző munkamenetének vége | A bérlők felhasználói tagsági adatait tárolja. A felhasználó bérlői tagsággal és tagsággal (rendszergazda vagy felhasználó) rendelkező bérlők. |
x-ms-cpim-slice |
b2clogin.com, login.microsoftonline.com, márkás tartomány | A böngésző munkamenetének vége | A kérések megfelelő éles példányra való átirányítására szolgál. |
x-ms-cpim-trans |
b2clogin.com, login.microsoftonline.com, márkás tartomány | A böngésző munkamenetének vége | A tranzakciók (az Azure AD B2C felé irányuló hitelesítési kérelmek száma) és az aktuális tranzakció nyomon követésére szolgál. |
x-ms-cpim-sso:{Id} |
b2clogin.com, login.microsoftonline.com, márkás tartomány | A böngésző munkamenetének vége | Az SSO-munkamenet fenntartására szolgál. Ez a cookie akkor van beállítva persistent, amikor a Keep Me Signed In engedélyezve van. |
x-ms-cpim-cache:{id}_n |
b2clogin.com, login.microsoftonline.com, márkás tartomány | A böngésző munkamenetének vége, sikeres hitelesítés | A kérelem állapotának fenntartására szolgál. |
x-ms-cpim-csrf |
b2clogin.com, login.microsoftonline.com, márkás tartomány | A böngésző munkamenetének vége | A CRSF-védelemhez használt helyek közötti kérelemhamisítási jogkivonat. További információkért olvassa el a helyek közötti hamisítási jogkivonat szakaszt. |
x-ms-cpim-dc |
b2clogin.com, login.microsoftonline.com, márkás tartomány | A böngésző munkamenetének vége | Az Azure AD B2C hálózati útválasztásához használatos. |
x-ms-cpim-ctx |
b2clogin.com, login.microsoftonline.com, márkás tartomány | A böngésző munkamenetének vége | Környezet |
x-ms-cpim-rp |
b2clogin.com, login.microsoftonline.com, márkás tartomány | A böngésző munkamenetének vége | Az erőforrás-szolgáltató bérlőjének tagsági adatainak tárolására szolgál. |
x-ms-cpim-rc |
b2clogin.com, login.microsoftonline.com, márkás tartomány | A böngésző munkamenetének vége | A továbbító cookie tárolására szolgál. |
x-ms-cpim-geo |
b2clogin.com, login.microsoftonline.com, márkás tartomány | 1 óra | Az erőforrás-bérlők földrajzi helyének meghatározására szolgál. |
Helyek közötti kérelemhamisítási jogkivonat
A helyek közötti hamisítás (CSRF) támadások megakadályozása érdekében az Azure AD B2C alkalmazza a szinkronizáló jogkivonat stratégiai mechanizmusát. A mintával kapcsolatos további részletekért tekintse meg a helyek közötti kérelemhamisítás megelőzéséről szóló cikket.
Az Azure AD B2C létrehoz egy szinkronizáló jogkivonatot, és két helyen adja hozzá; egy címkével ellátott x-ms-cpim-csrfcookie-ban, valamint az Azure AD B2C-nek küldött oldal URL-címében elnevezett csrf_token lekérdezési sztringparaméterben. Ahogy az Azure AD B2C szolgáltatás feldolgozza a böngésző bejövő kéréseit, megerősíti, hogy a jogkivonat lekérdezési sztringje és cookie-verziói is léteznek, és pontosan egyeznek. Emellett ellenőrzi a jogkivonat tartalmának elemeit is, hogy megerősítse a folyamatban lévő hitelesítés várt értékeit.
Például a regisztrációs vagy bejelentkezési oldalon, amikor egy felhasználó az "Elfelejtett jelszó" vagy a "Regisztráció most" hivatkozásra mutat, a böngésző GET kérést küld az Azure AD B2C-nek, hogy betöltse a következő oldal tartalmát. Az Azure AD B2C tartalombetöltési kérése emellett úgy dönt, hogy a szinkronizáló jogkivonatot további védelmi rétegként küldi el és érvényesíti annak biztosítása érdekében, hogy a lap betöltésére irányuló kérés egy folyamatban lévő hitelesítés eredménye legyen.
A szinkronizáló jogkivonat egy olyan hitelesítő adat, amely nem azonosítja a felhasználót, hanem egy aktív egyedi hitelesítési munkamenethez van kötve.