Azure Active Directory B2C TLS 和密码套件要求

Azure Active Directory B2C（Azure AD B2C）通过用户流中的 API 连接器和标识提供者连接到终结点。 本文讨论终结点的 TLS 和密码套件要求。

使用 API 连接器和标识提供者配置的终结点必须发布到可公开访问的 HTTPS URI。 在与终结点建立安全连接之前，将根据连接双方的功能在 Azure AD B2C 与终结点之间协商协议和密码。

如本文所述，Azure AD B2C 必须使用传输层安全性（TLS）和密码套件连接到终结点。

TLS 版本

TLS 版本 1.2 是一种加密协议，用于在服务器和客户端之间提供身份验证和数据加密。 终结点必须支持通过 TLS 版本 1.2 进行安全通信。 旧版 TLS 版本 1.0 和 1.1 已弃用。

密码套件

密码套件是一组加密算法。 它们提供有关在通过 TLS 使用 HTTPS 协议时如何安全地进行通信的基本信息。

终结点必须至少支持以下密码之一：

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

范围内的终结点

Azure AD B2C 环境中使用的以下终结点必须符合本文中所述的要求：

• API 连接器
• OAuth1
  • 令牌终结点
  • 用户信息终结点
• OAuth2 和 OpenId 连接标识提供者
  • OpenId Connect 发现终结点
  • OpenId Connect JWKS 终结点
  • 令牌终结点
  • 用户信息终结点
• ID 令牌提示
  • OpenId Connect 发现终结点
  • OpenId Connect JWKS 终结点
• SAML 标识提供者 元数据终结点
• SAML 服务提供商 元数据终结点

检查终结点兼容性

若要验证终结点是否符合本文中所述的要求，请使用 TLS 密码和扫描程序工具执行测试。 使用 SSL LABS 测试终结点。

后续步骤

另请参阅以下文章：

• 排查不支持 TLS 1.2 的应用程序的问题
• TLS/SSL 中的 密码套件（Schannel SSP）
• 如何启用 TLS 1.2
• 解决 TLS 1.0 问题