在 B2C 自定义策略配置中使用 Azure KeyVault

Use Azure KeyVault in the B2C Custom Policy Config

我们正在使用电子邮件邀请流程在我们的 Azure B2C 中创建我们的用户。目前,我们正在审查代码和配置中的机密管理,完成这项工作后,我们现在正在使用 Azure KeyVault。

我们的 ASP.Net 网站以前将证书直接加载到应用服务中,现在引用密钥库中的证书。

在安排的 Azure B2C“身份体验框架”端,我们有“B2C_1A_IdTokenHintCert”策略密钥,它是在我们将证书上传到 Azure B2C 时创建的。这打破了使用 KeyVault 集中管理证书的方法。

有没有办法使用 KeyVault 进行自定义策略配置?

在您的特定场景中,您可以在您的应用程序中公开您自己的元数据端点以进行 ID 令牌提示验证。这就是示例默认执行的操作: https://github.com/azure-ad-b2c/id-token-builder

然后您可能会寻找一种通过密钥保管库引用证书的方法,而不是将证书上传到应用服务。例如,通过 keyvault api.

在您的应用程序中读取证书

https://docs.microsoft.com/en-us/rest/api/keyvault/#certificate-operations