Visão geral dos tokens no Azure Active Directory B2C
Antes de começar, use o seletor Escolher um tipo de política para escolher o tipo de política que você está configurando. O Azure Active Directory B2C oferece dois métodos para definir como os usuários interagem com seus aplicativos: por meio de fluxos dos usuários predefinidos ou de políticas personalizadas totalmente configuráveis. As etapas necessárias neste artigo são diferentes para cada método.
Esse recurso só está disponível para políticas personalizadas. Para obter as etapas de instalação, escolha Política personalizada no seletor anterior.
O Azure Active Directory B2C (Azure AD B2C) armazena os segredos e certificados na forma de chaves de política para estabelecer confiança com os serviços com os quais ele se integra. Essas relações de confiança consistem em:
- Provedores de identidade externos
- Conectando-se com os serviços da API REST
- Assinatura de token e criptografia
Este artigo discute o que você precisa saber sobre as chaves de política que são usadas pelo Azure AD B2C.
Observação
Atualmente, a configuração de chaves de política é limitada apenas a políticas personalizadas.
Você pode configurar segredos e certificados para estabelecer a confiança entre os serviços no portal do Azure no menu Chaves de política. As chaves podem ser simétricas ou assimétricas. Criptografia simétrica, ou criptografia de chave privada, é quando um segredo compartilhado é usado para criptografar e descriptografar os dados. Criptografia assimétrica, ou criptografia de chave pública, é um sistema criptográfico que usa pares de chaves, que consiste em chaves públicas que são compartilhadas com o aplicativo de terceiros e chaves privadas que são conhecidas apenas por Azure AD B2C.
Chave e conjunto de chaves de política
O recurso de nível superior para chaves de política Azure AD B2C é o contêiner do Keyset. Cada grupo de chaves contém pelo menos uma Chave. Uma chave tem os seguintes atributos:
| Atributo | Obrigatório | Comentários |
|---|---|---|
use |
Sim | Uso: identifica o uso pretendido da chave pública. Criptografando dados enc ou verificando a assinatura em dados sig. |
nbf |
Não | Data e hora de ativação. |
exp |
Não | Data e hora de expiração. |
É recomendável definir os valores de ativação e de validade de chave de acordo com seus padrões de PKI. Talvez seja necessário girar esses certificados periodicamente por motivos de segurança ou política. Por exemplo, você pode ter uma política para girar todos os seus certificados anualmente.
Para criar uma chave, você pode escolher um dos seguintes métodos:
- Manual - Crie um segredo com uma cadeia de caracteres que você define. O segredo é uma chave simétrica. É possível definir as datas de ativação e validade da chave.
- Gerado - Gerar uma chave automaticamente. Você pode definir as datas de ativação e validade. Há duas opções:
- Segredo - Gera uma chave simétrica.
- RSA - Gera um par de chaves (chaves assimétricas).
- Carregar – Carregar um certificado ou uma chave PKCS12. O certificado deve conter as chaves pública e privada (chaves assimétricas).
Sobreposição de chave
Para fins de segurança, Azure AD B2C pode sobrepor chaves periodicamente ou imediatamente em caso de emergência. Qualquer aplicativo, provedor de identidade ou API REST que se integra ao Azure AD B2C deve estar preparado para lidar com um evento de sobreposição de chave, independentemente da frequência em que pode ocorrer. Caso contrário, se seu aplicativo ou Azure AD B2C tentar usar uma chave expirada para executar uma operação criptográfica, a solicitação de entrada falhará.
Se um conjunto de chaves Azure AD B2C tiver várias chaves, somente uma das chaves estará ativa a qualquer momento, com base nos seguintes critérios:
- A ativação da chave é baseada na data de ativação.
- As chaves são classificadas por data de ativação em ordem crescente. As chaves com datas de ativação num futuro mais distante aparecem mais abaixo na lista. As chaves sem uma data de ativação estão localizadas na parte inferior da lista.
- Quando a data e a hora atuais forem maiores que a data de ativação de uma chave, Azure AD B2C ativará a chave e interromperá o uso da chave ativa anterior.
- Quando o tempo de expiração da chave atual tiver decorrido e o contêiner de chave contiver uma nova chave com os tempos de não antes de e de expiração válidos, a nova chave se tornará ativa automaticamente.
- Quando o tempo de expiração da chave atual tiver decorrido e o contêiner de chave não contiver uma nova chave com os tempos de expiração e não antes de e de vencimento, Azure AD B2C não poderá usar a chave expirada. Azure AD B2C gerará uma mensagem de erro dentro de um componente dependente de sua política personalizada. Para evitar esse problema, você pode criar uma chave padrão sem datas de ativação e expiração como uma rede de segurança.
- O ponto de extremidade da chave (URI JWKS) do ponto de extremidade de configuração conhecido do OpenId Connect reflete as chaves configuradas no contêiner de chave, quando a chave é referenciada no perfil técnico do JwtIssuer. Um aplicativo que usa uma biblioteca OIDC irá buscar automaticamente esses metadados para garantir o uso das chaves corretas para validar os tokens. Para obter mais informações, saiba como usar a Biblioteca de Autenticação da Microsoft, que sempre busca as chaves de assinatura de token mais recentes automaticamente.
Gerenciamento de chaves de política
Para obter a chave ativa atual em um contêiner de chave, use o ponto de extremidade getActiveKey da API Microsoft Graph.
Para adicionar ou excluir chaves de criptografia e assinatura:
- Entre no portal do Azure.
- Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o seu locatário do Azure Active Directory B2C no menu Diretórios + assinaturas.
- No portal do Azure, pesquise e selecione Azure AD B2C.
- Na página Visão Geral, em Políticas, selecione Identity Experience Framework.
- Selecione Chaves de Política
- Para adicionar uma nova chave, selecione Adicionar.
- Para remover uma nova chave, selecione a chave e, em seguida, selecione Excluir. Para excluir a chave, digite o nome do contêiner de chave a ser excluído. Azure AD B2C excluirá a chave e criará uma cópia da chave com o sufixo .bak.
Substituir uma chave
As chaves em um conjunto de chaves não são substituíveis ou removíveis. Se você precisar alterar uma chave existente:
- É recomendável adicionar uma nova chave com a data de ativação definida para a data e hora atuais. Azure AD B2C ativará a nova chave e irá parar de usar a chave ativa anterior.
- Como alternativa, você pode criar um novo conjunto de chaves com as chaves corretas. Atualize sua política para usar o novo conjunto de chaves e, em seguida, remova o conjunto de chaves antigo.
Próximas etapas
- Saiba como usar o Microsoft Graph automatizar uma implantação de um sistema de chaves e de chaves de política.