Szabályzatkulcsok áttekintése az Azure Active Directory B2C-ben

Ez a funkció csak egyéni szabályzatokhoz érhető el. A beállítási lépésekhez válassza az egyéni szabályzatot az előző választóban.

Az Azure Active Directory B2C (Azure AD B2C) szabályzatkulcsok formájában tárolja a titkos kulcsokat és a tanúsítványokat, hogy megbízhatóságot alakítson ki az általa integrált szolgáltatásokkal. Ezek a megbízhatósági kapcsolatok a következőkből állnak:

• Külső identitásszolgáltatók
• CsatlakozásREST API-szolgáltatások
• Jogkivonat aláírása és titkosítása

Ez a cikk ismerteti, mit kell tudnia az Azure AD B2C által használt szabályzatkulcsokról.

Titkos kulcsokat és tanúsítványokat konfigurálhat a szolgáltatások közötti megbízhatóság létrehozásához az Azure PortalOn, a Szabályzatkulcsok menüben. A kulcsok lehetnek szimmetrikusak vagy aszimmetrikusak. A szimmetrikus titkosítás, vagyis a titkos kulcsok titkosítása az adatok titkosítására és visszafejtésére is használható. Az aszimmetrikus titkosítás vagy nyilvános kulcsok titkosítása olyan titkosítási rendszer, amely kulcspárokat használ, amelyek a függő entitásalkalmazással megosztott nyilvános kulcsokból és a kizárólag az Azure AD B2C-ben ismert titkos kulcsokból állnak.

Szabályzatkulcsok és kulcsok

Az Azure AD B2C szabályzatkulcsainak legfelső szintű erőforrása a Kulcskészlet-tároló . Minden kulcskészlet legalább egy kulcsot tartalmaz. A kulcsok a következő attribútumokkal rendelkeznek:

Javasoljuk, hogy a PKI-szabványoknak megfelelően állítsa be a kulcsaktiválási és lejárati értékeket. Biztonsági vagy szabályzati okokból előfordulhat, hogy ezeket a tanúsítványokat rendszeresen el kell forgatnia. Előfordulhat például, hogy rendelkezik egy szabályzattal, amely minden évben elforgatja az összes tanúsítványt.

Kulcs létrehozásához válasszon az alábbi módszerek közül:

• Manuális – Hozzon létre egy titkos kulcsot egy ön által definiált sztringgel. A titok szimmetrikus kulcs. Beállíthatja az aktiválási és lejárati dátumokat.
• Generálva – Kulcs automatikus létrehozása. Beállíthatja az aktiválási és lejárati dátumokat. Két lehetőség közül választhat:
  • Titkos kulcs – Szimmetrikus kulcsot hoz létre.
  • RSA – Kulcspárt (aszimmetrikus kulcsokat) hoz létre.
• Feltöltés – Tanúsítvány vagy PKCS12-kulcs feltöltése . A tanúsítványnak tartalmaznia kell a privát és a nyilvános kulcsokat (aszimmetrikus kulcsokat).

Kulcsátállítás

Biztonsági okokból az Azure AD B2C rendszeresen vagy vészhelyzet esetén azonnal át tudja dobni a kulcsokat. Az Azure AD B2C-vel integrálható bármely alkalmazásnak, identitásszolgáltatónak vagy REST API-nak készen kell állnia a kulcsátállítási események kezelésére, függetlenül attól, hogy milyen gyakran fordul elő. Ellenkező esetben, ha az alkalmazás vagy az Azure AD B2C egy lejárt kulccsal próbál meg titkosítási műveletet végrehajtani, a bejelentkezési kérelem sikertelen lesz.

Ha egy Azure AD B2C-kulcskészlet több kulcsból áll, az alábbi feltételek alapján egyszerre csak az egyik kulcs aktív:

• A kulcsaktiválás az aktiválási dátumon alapul.
  • A kulcsok növekvő sorrendben vannak rendezve az aktiválási dátum szerint. A későbbi aktiválási dátumokkal rendelkező kulcsok a listában lejjebb jelennek meg. Az aktiválási dátum nélküli kulcsok a lista alján találhatók.
  • Ha az aktuális dátum és idő nagyobb, mint egy kulcs aktiválási dátuma, az Azure AD B2C aktiválja a kulcsot, és leállítja a korábbi aktív kulcs használatát.
• Ha az aktuális kulcs lejárati ideje lejárt, és a kulcstároló tartalmaz egy új kulcsot, amely nem korábbi érvényességgel és lejárati idővel rendelkezik, az új kulcs automatikusan aktívvá válik.
• Ha az aktuális kulcs lejárati ideje lejárt, és a kulcstároló nem tartalmaz érvényes nem korábbi és lejárati idejű új kulcsot, az Azure AD B2C nem fogja tudni használni a lejárt kulcsot. Az Azure AD B2C hibaüzenetet küld az egyéni szabályzat egy függő összetevőjébe. A probléma elkerülése érdekében biztonsági hálóként létrehozhat egy alapértelmezett kulcsot aktiválás és lejárati dátumok nélkül.
• Az OpenId Csatlakozás jól ismert konfigurációs végpontjának kulcsvégpontja (JWKS URI) a kulcstárolóban konfigurált kulcsokat tükrözi, amikor a kulcsra a JwtIssuer technikai profil hivatkozik. Az OIDC-kódtárat használó alkalmazások automatikusan lekérik ezeket a metaadatokat, hogy biztosan a megfelelő kulcsokat használják a jogkivonatok érvényesítéséhez. További információkért olvassa el a Microsoft Authentication Library használatát, amely mindig automatikusan lekéri a legújabb jogkivonat-aláíró kulcsokat.

Szabályzatkulcs-kezelés

Az aktuális aktív kulcs kulcstárolón belüli lekéréséhez használja a Microsoft Graph API getActiveKey végpontot.

Aláírási és titkosítási kulcsok hozzáadása vagy törlése:

1. Jelentkezzen be az Azure Portalra.
2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
3. Az Azure Portalon keresse meg és válassza ki az Azure AD B2C-t.
4. Az áttekintési lapon, a Szabályzatok területen válassza az Identity Experience Framework lehetőséget.
5. Szabályzatkulcsok kiválasztása
   1. Új kulcs hozzáadásához válassza a Hozzáadás lehetőséget.
   2. Új kulcs eltávolításához jelölje ki a kulcsot, majd válassza a Törlés lehetőséget. A kulcs törléséhez írja be a törölni kívánt kulcstároló nevét. Az Azure AD B2C törli a kulcsot, és létrehoz egy másolatot a kulcsról a .bak utótaggal.

Kulcs cseréje

A kulcskészletben lévő kulcsok nem cserélhetők vagy cserélhetők. Ha módosítania kell egy meglévő kulcsot:

• Javasoljuk, hogy adjon hozzá egy új kulcsot, amely az aktiválási dátumot az aktuális dátumra és időpontra állítja be. Az Azure AD B2C aktiválja az új kulcsot, és leállítja a korábbi aktív kulcs használatát.
• Másik lehetőségként létrehozhat egy új kulcskészletet a megfelelő kulcsokkal. Frissítse a szabályzatot az új kulcskészlet használatára, majd távolítsa el a régi kulcskészletet.

Következő lépések

• Megtudhatja, hogyan automatizálhatja a kulcskészletek és szabályzatkulcsok üzembe helyezését a Microsoft Graph használatával.