在 B2C 自定义策略配置中使用 Azure KeyVault答案

【问题标题】：Use Azure KeyVault in the B2C Custom Policy Config在 B2C 自定义策略配置中使用 Azure KeyVault
【发布时间】：2020-09-22 09:11:03
【问题描述】：

我们正在使用电子邮件邀请流程在 Azure B2C 中创建用户。目前，我们正在审查我们对代码和配置中机密的管理，完成这项工作后，我们现在正在使用 Azure KeyVault。

我们以前将证书直接加载到应用服务中的 ASP.Net 网站现在引用密钥保管库中的一个。

在安排的 Azure B2C“身份体验框架”端，我们有“B2C_1A_IdTokenHintCert”策略密钥，它是在我们将证书上传到 Azure B2C 时创建的。这打破了使用 KeyVault 集中管理我们的证书的方法。

是否可以使用 KeyVault 进行自定义策略配置？

【问题讨论】：

【解决方案1】：

在您的特定场景中，您可以在您的应用程序中公开您自己的元数据端点以进行 id 令牌提示验证。这就是示例默认执行的操作： https://github.com/azure-ad-b2c/id-token-builder

然后，您可能会寻找一种通过密钥库引用证书的方法，而不是将证书上传到应用服务。例如，通过 keyvault api 在您的应用中读取证书。

【讨论】：

我们已经有应用服务引用证书的 KV。您是说使用我们自己的元数据端点，我们完全不需要 Azure B2C 实例来引用证书吗？
对于 id 令牌提示技术配置文件，您不需要引用加密密钥，而是引用元数据端点。可以操纵 B2C 策略密钥来生成该元数据文档，或者您可以自己托管它。后者意味着您将证书放在 KV 中，并使用您的应用程序来构建元数据文档。对于使用加密密钥元素的其他技术配置文件，这些密钥必须存储在 B2C 策略密钥中。
这是否意味着如果我们只提供“Sign Up as Invite”和“Sign in via App”，我们可以摆脱这两个自定义策略 B2C_1A_TokenSigningKeyContainer 和 B2C_1A_TokenEncryptionKeyContainer？
绝对不是。这些密钥在 B2C 内部生成并保存，由策略引用以签署令牌和加密刷新令牌。正如我所说，我的评论仅适用于 id 令牌提示技术配置文件。