似乎在使用IEF时,我需要提供/生成自己的签名密钥,并通过“ issuer_secret” CryptographicKeys元素将其提供给JwtIssuer TechnicalProfile。我宁愿B2C使用自己的签名密钥,该签名密钥的生成频率比我手动执行的要高得多,并且仍然可以通过JWKS端点使用。有没有办法做到这一点? (或者我是否错过了一个重要的原因,为什么默认情况下它不是这样工作的?)
答案 0 :(得分:1)
出于安全原因,B2C不会将其签名密钥用于IEF策略。
应用程序使用密钥来验证令牌是否由特定的安全令牌服务(STS)发行。当呈现带有对用户有特定声明的令牌时,该应用程序如何确保它应该信任该令牌将由B2C发行?
在IEF中,政策制定者可以自由发出对用户的任何要求。因此,B2C不得签署这些令牌,因为这些声明可能正确也可能不正确。
从管理的角度来看,最好的解决方法是使用IEF,您正在创建自己的自定义安全令牌服务(STS)。作为STS的一部分,您还必须管理密钥。
(IEF可以添加工具以使密钥转换更容易,但仍不能使用与B2C相同的签名密钥。)