Azure Active Directory B2C TLS と暗号スイートの要件

Azure Active Directory B2C (Azure AD B2C) は、ユーザー フロー内の API コネクタと ID プロバイダーを介してエンドポイントに接続します。 この記事では、エンドポイントの TLS と暗号スイートの要件について説明します。

API コネクタと ID プロバイダーで構成されたエンドポイントは、パブリックにアクセス可能な HTTPS URI に発行する必要があります。 エンドポイントとのセキュリティで保護された接続が確立される前に、接続の両側の機能に基づいて、Azure AD B2C とエンドポイントの間でプロトコルと暗号がネゴシエートされます。

この記事で説明するように、Azure AD B2C は、トランスポート層セキュリティ (TLS) と暗号スイートを使用してエンドポイントに接続できる必要があります。

TLS バージョン

TLS は、サーバーとクライアント間の認証とデータ暗号化を提供する暗号化プロトコルです。 Azure AD B2C では、TLS バージョン 1.3 および TLS バージョン 1.2 がサポートされています。 エンドポイントは、TLS 1.2 または TLS 1.3 経由のセキュリティで保護された通信をサポートする必要があります。 以前の TLS バージョン 1.0 と 1.1 は非推奨です。

暗号スイート

暗号スイートは、暗号化アルゴリズムのセットです。 TLS 経由で HTTPS プロトコルを使用する場合にデータを安全に通信する方法に関する重要な情報を提供します。

エンドポイントは、次の暗号の少なくとも 1 つをサポートする必要があります。

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

スコープ内のエンドポイント

Azure AD B2C 環境で使用される次のエンドポイントは、この記事で説明されている要件に準拠している必要があります。

• API コネクタ
• OAuth1の
  • トークンエンドポイント
  • ユーザー情報エンドポイント
• OAuth2 と OpenId が ID プロバイダーを接続する
  • OpenId Connect 検出エンドポイント
  • OpenId Connect JWKS エンドポイント
  • トークンエンドポイント
  • ユーザー情報エンドポイント
• ID トークン ヒント
  • OpenId Connect 検出エンドポイント
  • OpenId Connect JWKS エンドポイント
• SAML ID プロバイダーメタデータ エンドポイント
• SAML サービス プロバイダー メタデータ エンドポイント

エンドポイントの互換性を確認する

エンドポイントがこの記事で説明されている要件に準拠していることを確認するには、TLS 暗号とスキャナー ツールを使用してテストを実行します。 SSL LABS を使用してエンドポイントをテストします。

次のステップ

次の記事も参照してください。

• TLS 1.2 をサポートしていないアプリケーションのトラブルシューティング
• TLS/SSL (Schannel SSP)での暗号スイート
• TLS 1.2 を有効にする方法
• TLS 1.0 の問題の解決