Azure AD B2C自定义策略密钥管理：我可以上传2个策略密钥，并将两个密钥用于ID提示令牌验证吗？

Question

我有一个自定义Azure AD B2C使用单个策略密钥注册邀请流。该键用于签署邀请链接电子邮件中包含的令牌，然后在注册时间进行验证。证书即将到期，我正在尝试弄清楚如何不影响不接受邀请的用户。

我们生成的ID令牌持续1个月。

我有一个具有当前密钥的密钥容器（B2C_1A_IDTOKENHINTCERT）。关键容器在我的自定义策略中引用。我想将更新的证书添加到同一密钥容器中，以便在ON容器中有2个键，然后在Web服务器上交换使用链接使用签名令牌的证书。

我希望使用当前证书签名的两个旧链接以及新证书生成的新链接在注册期间有效。

这可能吗？

Answer 1

您每个策略密钥ID只能具有一个值。但是，您可以将新证书作为新的策略密钥上传，然后在用户旅程中添加附加的技术资料，以验证您针对新策略密钥的标记提示。示例：步骤1试图验证对策略密钥1的标记提示，如果不成功，请尝试验证对策略密钥2的标记提示。那样，可以验证旧的链接和新链接。

Answer 2

您可以在密钥容器中拥有多个证书。该系统将同时确定邀请令牌是否有效，直到证书本身到期为止。