Общие сведения о ключах политики в Azure Active Directory B2C

Эта возможность доступна только для пользовательских политик. Чтобы ознакомиться с этапами установки, в предыдущем селекторе выберите Настраиваемая политика.

Чтобы установить отношение доверия с интегрируемыми службами, Azure Active Directory B2C (Azure AD B2C) хранит секреты и сертификаты в виде ключей политики. Эти отношения доверия состоят из следующих элементов:

• Внешние поставщики удостоверений
• Подключение к службам REST API
• Подписывание и шифрование маркера

В этой статье рассматриваются необходимые сведения о ключах политики, используемых Azure AD B2C.

Вы можете настроить секреты и сертификаты для установления отношений доверия между службами на портале Azure в меню Ключи политики. Ключи могут быть симметричными или асимметричными. Симметричное шифрование или шифрование с закрытым ключом — это подход, при котором для шифрования и расшифровки данных используется общий секрет. Асимметричное шифрование или шифрование с открытым ключом — это система шифрования, которая использует пары ключей, состоящие из открытых ключей, которые предоставляются приложению проверяющей стороны, и закрытых ключей, известных только для Azure AD B2C.

Набор ключей и ключи политики

Ресурс верхнего уровня для ключей политики в Azure AD B2C является контейнером набора ключей. Каждый набор ключей содержит по крайней мере один ключ. Ключ имеет следующие атрибуты:

Рекомендуется установить значения для активации и истечения срока действия ключа в соответствии со стандартами PKI. По соображениям безопасности или в соответствии с требованиями политики может потребоваться периодическая смена этих сертификатов. Например, может использоваться политика ежегодной смены всех сертификатов.

Для создания ключа можно выбрать один из следующих методов.

• Вручную. Секрет создается с помощью определяемой вами строки. Секрет является симметричным ключом. Вы можете задать даты активации и окончания срока действия.
• Генерирование. Автоматическое создание ключа. Вы можете задать даты активации и окончания срока действия. Существует два варианта:
  • Секрет. Создается симметричный ключ.
  • RSA. Создается пара ключей (асимметричные ключи).
• Отправка. Отправка сертификата или ключа PKCS12. Сертификат должен содержать закрытые и открытые ключи (асимметричные ключи).

Смена ключей

Смена ключей в Azure AD B2C может выполняться периодически в целях безопасности или немедленно в экстренном случае. Любые приложения, поставщики удостоверений или REST API, которые интегрируются с Azure AD B2C, должны быть подготовлены к обработке смены ключа, независимо от того, насколько часто происходит такая смена. В противном случае, если приложение или Azure AD B2C пытается использовать ключ с истекшим сроком действия для выполнения криптографической операции, запрос на вход завершится ошибкой.

Если набор ключей Azure AD B2C имеет несколько ключей, в любой момент времени будет активен только один из них. Этот ключ определяется на основе следующих критериев:

• Ключ активации выбирается на основе даты активации.
  • Ключи сортируются по дате активации в порядке возрастания. Ключи с более поздними датами активации будут располагаться в списке ниже. Ключи без даты активации находятся внизу списка.
  • Если текущая дата и время позже даты активации ключа, Azure AD B2C активирует ключ и прекращает использовать предыдущий активный ключ.
• Если срок действия текущего ключа истекает, а контейнер ключей содержит новый ключ с допустимым временем в полях не ранее и срок действия, новый ключ станет активным автоматически.
• Если срок действия текущего ключа истекает, а контейнер ключей не содержит новый ключ с допустимым временем в полях не ранее и срок действия, Azure AD B2C не сможет использовать просроченный ключ. Azure AD B2C выдаст сообщение об ошибке в зависимом компоненте пользовательской политики. Чтобы избежать этой проблемы, можно создать для подстраховки ключ по умолчанию без дат активации и истечения срока действия.
• При ссылке на ключ в техническом профиле JwtIssuer конечная точка ключа (URI JWKS) для конечной точки известной конфигурации OpenID Connect соответствует ключам, настроенным в контейнере ключей. Приложение, использующее библиотеку OIDC, автоматически извлекает эти метаданные, чтобы убедиться в правильности используемых ключей для проверки маркеров. Дополнительные сведения см. в статье о том, как использовать библиотеку проверки подлинности Майкрософт, которая всегда автоматически получает новейшие ключи подписывания маркера.

Управление ключами политики

Чтобы получить текущий активный ключ в контейнере ключей, используйте конечную точку API Microsoft Graph getActiveKey.

Чтобы добавить или удалить ключи подписывания и шифрования, выполните следующие действия.

1. Войдите на портал Azure.
2. Если у вас есть доступ к нескольким клиентам, выберите значок Параметры в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню каталогов и подписок.
3. В портале Azure найдите и выберите Azure AD B2C.
4. На странице "Обзор" в разделе Политики выберите Identity Experience Framework.
5. Щелкните Ключи политики.
   1. Чтобы добавить новый ключ, выберите Добавить.
   2. Чтобы удалить новый ключ, выберите его и нажмите кнопку Удалить. Чтобы удалить ключ, введите имя контейнера ключа, который нужно удалить. Azure AD B2C удалит ключ и создаст копию ключа с суффиксом .bak.

Замена ключа

Ключи в наборе ключей нельзя заменить или удалить. Если необходимо изменить существующий ключ, выполните следующие действия.

• Рекомендуется добавить новый ключ с датой активации, совпадающей с текущими датой и временем. Azure AD B2C активирует новый ключ и прекратит использовать прежний активный ключ.
• Кроме того, можно создать новый набор ключей с правильными ключами. Обновите политику, чтобы использовать новый набор ключей, а затем удалите старый.

Следующие шаги

• Узнайте, как использовать Microsoft Graph для автоматизации развертывания набора ключей и ключей политик.