Sdílet prostřednictvím

Vlastní domény URL v externích tenantech

  • Článek

Platí pro: Bílý kruh se šedým symbolem X. Tenanti pracovních sil – externí tenanti Zelený kruh s bílým symbolem zaškrtnutí (další informace)

Vlastní doména URL umožňuje označit přihlašovací koncové body vaší aplikace vlastní doménou URL místo výchozího názvu domény Microsoftu.

Snímek obrazovky ukazuje uživatelské prostředí vlastní domény URL s externím ID.

Použití ověřené vlastní domény URL má několik výhod:

  • Poskytuje konzistentnější uživatelské prostředí. Z pohledu uživatele zůstanou ve vaší doméně během procesu přihlášení místo přesměrování na výchozí název tenanta domény.ciamlogin.com>.
  • Dopad blokování souborů cookie třetích stran můžete zmírnit tím, že během přihlašování zůstanete ve stejné doméně vaší aplikace.

Tip

Vyzkoušet

Pokud si chcete tuto funkci vyzkoušet, přejděte do ukázky potravin Woodgrove a spusťte případ použití vlastního názvu domény URL.

Jak funguje vlastní doména URL

Vlastní doména URL umožňuje používat ověřené vlastní názvy domén URL jako koncové body ověřování přihlašování vašich aplikací. Když přidáte nový vlastní název domény URL, můžete ho přidružit k vlastní doméně URL. Potom může služba reverzního proxy serveru, jako je Azure Front Door, použít vlastní doménu URL k přímému přihlašování k vaší aplikaci.

Následující diagram znázorňuje integraci služby Azure Front Door:

Diagram znázorňující integraci služby Azure Front Door s externím ID

  1. V aplikaci uživatel vybere tlačítko pro přihlášení, které ho přenese na přihlašovací stránku. Tato stránka určuje vlastní doménu URL.
  2. Webový prohlížeč přeloží vlastní doménu URL na IP adresu služby Azure Front Door. Během překladu DNS (Domain Name System) záznam kanonického názvu (CNAME) s vlastní doménou URL odkazuje na výchozího front-endového hostitele služby Front Door (například contoso-frontend.azurefd.net).
  3. Provoz adresovaný vlastní doméně URL (například login.contoso.com) se směruje na zadaného výchozího hostitele front-endu služby Front Door (contoso-frontend.azurefd.net).
  4. Azure Front Door vyvolá obsah pomocí <tenant-name>.ciamlogin.com výchozí domény. Požadavek na koncový bod zahrnuje původní vlastní doménu URL.
  5. Externí ID odpoví na požadavek vlastní domény URL zobrazením relevantního obsahu a původní vlastní domény URL.

Azure Front Door předá původní IP adresu uživatele, což je IP adresa, kterou vidíte v sestavě auditu.

Důležité

Pokud klient odešle hlavičku x-forwarded-for do služby Azure Front Door, externí ID použije x-forwarded-for jako IP adresu uživatele pro vyhodnocení podmíněného přístupu a {Context:IPAddress} překladače deklarací identity.

Úvahy a omezení

Při používání vlastních domén URL:

  • Můžete nastavit více vlastních domén URL. Maximální počet podporovaných vlastních domén URL najdete v části limity a omezení služby Microsoft Entra pro Microsoft Entra a limity, kvóty a omezení předplatného a služeb Azure pro Azure Front Door.
  • Můžete použít Azure Front Door, což je samostatná služba Azure, která účtuje další poplatky. Další informace najdete v tématu Ceny služby Front Door. Vaše instance Služby Azure Front Door je možné hostovat v jiném předplatném než v externím tenantovi.
  • Pokud máte více aplikací, migrujte je všechny do vlastní domény URL, protože prohlížeč ukládá relaci pod názvem domény, který se právě používá.

Důležité

  • Azure Front Door: Připojení z prohlížeče ke službě Azure Front Door by vždy mělo místo protokolu IPv6 používat protokol IPv4.
  • Zprostředkovatelé sociálních identit: Vlastní domény URL podporují Apple. Aktuálně ale nejsou Google a Facebook podporovány. Uživatelé, kteří se chtějí zaregistrovat nebo přihlásit pomocí Googlu nebo Facebooku, musí používat výchozí koncový bod, <název tenanta>.ciamlogin.commísto vlastního koncového bodu domény URL.

Blokování výchozí domény

Pokud chcete přidat zabezpečení, doporučujeme blokovat výchozí doménu. Po konfiguraci vlastních domén URL budou mít uživatelé stále přístup k výchozímu názvu domény název<>_tenanta.ciamlogin.com. Potřebujete zablokovat přístup k výchozí doméně, aby ho útočníci nemohli použít pro přístup k vašim aplikacím ani ke spouštění distribuovaných útoků DDoS (Denial of-Service). Pokud chcete blokovat přístup k výchozí doméně, otevřete lístek podpory a odešlete žádost.

Opatrnost

Před odesláním požadavku na blokování výchozí domény se ujistěte, že vaše vlastní doména URL funguje správně.

Dopad na funkce a alternativní řešení

Blokování výchozí domény zakáže určité funkce, které na ní závisejí. Funkce funkcí popsaných v následující tabulce ale můžete udržovat tak, že je nakonfigurujete s vlastní doménou URL.

Funkce Dočasné řešení
Spusťte nyní V Centru pro správu Microsoft Entra aktualizujte adresu URL, kterou používá funkce Spustit nyní v úvodní příručce a v podokně toku uživatele, pomocí vaší vlastní domény URL. V adrese URL prohlížeče nahraďte {your_domain}.ciamlogin.com vlastní doménou URL {your_custom_URL_domain}/{your_tenant_ID}.
Ukázky pro začátek Nakonfigurujte ukázky v příručce Začínáme pomocí vaší vlastní domény URL. Podrobné pokyny najdete v dokumentaci pro každou ukázku. Příklad najdete v části Použití vlastní domény URL v kurzu jednostrákové aplikace Vanilla JavaScript.
Power Pages s externím ID Při použití externího ID s vaším webem Power Pagesaktualizujte nastavení webu pomocí vlastní domény URL. Na stránce konfigurace poskytovatele identity Power Pages nahraďte pole adresa URL ověřovacího serveru, která obsahuje {your_domain}.ciamlogin.com, svou vlastní URL doménou {your_custom_URL_domain}/{your_tenant_ID}.
Azure App Service s externím ID Při použití externího ID se službou Azure App Serviceupravte poskytovatele identity a změňte pole URL adresa vystavitele z {your_domain}.ciamlogin.com na vaši vlastní doménu URL {your_custom_URL_domain}/{your_tenant_ID}.
Rozšíření editoru Visual Studio Code V rozšíření editoru Visual Studio Codepřidejte vlastní doménu URL do konfigurace KNIHOVNY MSAL aplikace, aby aplikace a funkce Spustit nyní fungovaly správně. Změňte autoritu v souboru authconfig z {your_domain}.ciamlogin.com na {your_custom_URL_domain}/{your_tenant_ID}a přidejte známé autority s vlastní doménou URL.
Visual Studio s externím ID Do souboru appsettings.json přidejte vlastní doménu URL následovanou ID tenanta a přidejte známé autority s vlastní doménou URL.
Ukázky GitHubu Některé ukázky, jako je chatovací aplikace OpenAI s Microsoft Entra Authentication (Python), potřebují vlastní doménu URL. Při nastavování vzorku nastavte AZURE_AUTH_LOGIN_ENDPOINT na vaši vlastní URL adresu domény.

Další kroky

Povolte pro Microsoft Entra Externí ID vlastní domény URL.