Povolení vlastních domén URL pro aplikace v externích tenantech
Platí pro: Tenanti pracovních sil – externí tenanti (další informace)
Tento článek popisuje, jak povolit vlastní domény url pro Microsoft Entra Externí ID aplikace v externích tenantech. Vlastní doména URL umožňuje označit přihlašovací koncové body vaší aplikace vlastní doménou URL místo výchozího názvu domény Microsoftu.
Požadavky
- Zjistěte, jak fungují vlastní domény URL v externím ID.
- Pokud jste ještě nevytvořili externího tenanta, vytvořte ho teď.
- Vytvořte tok uživatele, aby se uživatelé mohli zaregistrovat a přihlásit k vaší aplikaci.
- Zaregistrujte webovou aplikaci.
Krok 1: Přidání vlastního názvu domény do vašeho tenanta
Při vytváření externího tenanta se dodává s počátečním názvem domény, <názvem> domény.onmicrosoft.com. Počáteční název domény nemůžete změnit ani odstranit, ale můžete přidat vlastní název domény. Pro tyto kroky se nezapomeňte přihlásit ke konfiguraci externího tenanta v Centru pro správu Microsoft Entra.
Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce názvu domény.
Zvolte externího tenanta: V horní nabídce vyberte ikonu Nastavení a pak přepněte na externího tenanta.
Přejděte do části Názvy domén Nastavení>– Vlastní názvy> domén.
Přidejte vlastní název domény do ID Microsoft Entra.
Přidejte informace o DNS do doménového registrátora. Po přidání vlastního názvu domény do tenanta vytvořte DNS
TXT
neboMX
záznam pro vaši doménu. Vytvoření tohoto záznamu DNS pro vaši doménu ověřuje vlastnictví vašeho názvu domény.Tady jsou příklady záznamů TXT pro login.contoso.com a account.contoso.com:
Název (název hostitele) Typ Data Přihlásit TXT MS=ms12345678 account TXT MS=ms87654321 Záznam TXT musí být přidružený k subdoméně nebo názvu hostitele domény (například přihlašovací část domény contoso.com ). Pokud je název hostitele prázdný nebo
@
, ID Microsoft Entra nemůže ověřit název vlastní domény, který jste přidali.Ověřte vlastní název domény. Ověřte každou subdoménu nebo název hostitele, který plánujete použít. Pokud se například chcete přihlásit pomocí login.contoso.com a account.contoso.com, musíte ověřit jak subdomény, tak nejen contoso.com domény nejvyšší úrovně.
Důležité
Po ověření domény odstraňte záznam DNS TXT, který jste vytvořili.
Krok 2: Přidružení vlastního názvu domény k vlastní doméně URL
Po přidání a ověření vlastního názvu domény v externím tenantovi přidružte vlastní název domény k vlastní doméně URL.
Přihlaste se do Centra pro správu Microsoft Entra.
Zvolte externího tenanta: V horní nabídce vyberte ikonu Nastavení a pak přepněte na externího tenanta.
Přejděte na Identity>Nastavení>Doménová jména>Vlastní domény URL.
Vyberte Přidat vlastní doménu url.
V podokně Přidat vlastní doménu url vyberte vlastní název domény, který jste zadali v kroku 1.
Vyberte Přidat.
Krok 3: Vytvoření nové instance služby Azure Front Door
Při vytváření služby Azure Front Door postupujte takto:
Přihlaste se k portálu Azure.
Zvolte tenanta obsahujícího vaše předplatné Služby Azure Front Door: V horní nabídce vyberte ikonu Nastavení a pak přepněte na tenanta, který obsahuje vaše předplatné Služby Azure Front Door.
Postupujte podle pokynů v části Vytvoření profilu služby Front Door – Rychlé vytvoření a vytvoření služby Front Door pro vašeho tenanta pomocí následujícího nastavení. Nastavení zásad ukládání do mezipaměti a WAF nechte prázdné.
Key Hodnota Předplatné Vyberte své předplatné Azure. Skupina zdrojů Vyberte existující skupinu prostředků nebo vytvořte novou. Název Zadejte název profilu, například ciamazurefrontdoor
.Úroveň Vyberte úroveň Standard nebo Premium. Úroveň Standard je optimalizovaná pro doručování obsahu. Úroveň Premium vychází z úrovně Standard a zaměřuje se na zabezpečení. Viz porovnání vrstev. Název koncového bodu Zadejte globálně jedinečný název koncového bodu, například ciamazurefrontdoor
. Název hostitele koncového bodu se vygeneruje automaticky.Typ původu Vyberte možnost Custom
.Název hostitele původu Zadejte <tenant-name>.ciamlogin.com
. Nahraďte<tenant-name>
názvem vašeho tenanta, napříkladcontoso.ciamlogin.com
.Po vytvoření prostředku Služby Azure Front Door vyberte Přehled a zkopírujte název hostitele koncového bodu pro použití v pozdějším kroku. Vypadá to jako
ciamazurefrontdoor-ab123e.z01.azurefd.net
.Ujistěte se, že název hostitele a hlavička hostitele Origin vašeho původu mají stejnou hodnotu:
- V části Nastavení vyberte Skupiny původu.
- Ze seznamu vyberte svoji skupinu původu, například výchozí skupinu původu.
- V pravém podokně vyberte název hostitele Origin, například
contoso.ciamlogin.com
. - V podokně Aktualizovat zdroj aktualizujte název hostitele a hlavičku hostitele origin tak, aby měly stejnou hodnotu.
Krok 4: Nastavení vlastní domény URL ve službě Azure Front Door
V tomto kroku přidáte vlastní doménu URL, kterou jste zaregistrovali v kroku 1 , do služby Azure Front Door.
4.1. Vytvoření záznamu DNS CNAME
Pokud chcete přidat vlastní doménu URL, vytvořte záznam CNAME (Canonical Name) u svého poskytovatele domény. Záznam CNAME je typ záznamu DNS, který mapuje zdrojový název domény na cílový název domény (alias). Pro Azure Front Door je zdrojovým názvem domény váš vlastní název domény URL a cílovým názvem domény je výchozí název hostitele služby Front Door, který jste nakonfigurovali v kroku 2, ciamazurefrontdoor-ab123e.z01.azurefd.net
například .
Po ověření záznamu CNAME, který jste vytvořili, se provoz adresovaný zdrojové vlastní doméně URL (například login.contoso.com
) směruje na zadaného cílového výchozího hostitele front-endu služby Front Door, například contoso-frontend.azurefd.net
. Další informace najdete v tématu Přidání vlastní domény do služby Front Door.
Vytvoření záznamu CNAME pro vlastní doménu:
Přihlaste se k webu poskytovatele vaší vlastní domény.
Vyhledejte stránku pro správu záznamů DNS – projděte si dokumentaci poskytovatele nebo hledejte oblasti webu označené jako Domain Name (Název domény), DNS nebo Name Server Management (Správa názvových serverů).
Vytvořte záznam CNAME pro vlastní doménu URL a vyplňte pole, jak je znázorněno v následující tabulce.
Zdroj Typ Cíl <login.contoso.com>
CNAME contoso-frontend.azurefd.net
Zdroj: Zadejte vlastní doménu URL (například login.contoso.com).
Typ: Zadejte CNAME.
Cíl: Zadejte výchozího hostitele front-endu služby Front Door, který vytvoříte v kroku 2. Musí být v následujícím formátu: <název> hostitele.azurefd.net,
contoso-frontend.azurefd.net
například .
Uložte provedené změny.
4.2. Přidružení vlastní domény URL ke službě Front Door
Na domovské stránce webu Azure Portal vyhledejte a vyberte
ciamazurefrontdoor
prostředek Služby Azure Front Door a otevřete ho.V nabídce vlevo v části Nastavení vyberte Domény.
Vyberte Přidat doménu.
Pro správu DNS vyberte Všechny ostatní služby DNS.
Jako vlastní doménu zadejte vlastní doménu, například
login.contoso.com
.Ponechte ostatní hodnoty jako výchozí hodnoty a pak vyberte Přidat. Do seznamu se přidá vaše vlastní doména.
V části Stav ověření domény, kterou jste právě přidali, vyberte Čeká na vyřízení. Otevře se podokno s informacemi o záznamu TXT.
Přihlaste se k webu poskytovatele vaší vlastní domény.
Vyhledejte stránku pro správu záznamů DNS – projděte si dokumentaci poskytovatele nebo hledejte oblasti webu označené jako Domain Name (Název domény), DNS nebo Name Server Management (Správa názvových serverů).
Vytvořte nový záznam TXT DNS a vyplňte následující pole:
-
Název: Zadejte pouze subdoménu části
_dnsauth.contoso.com
, například_dnsauth
-
Typ:
TXT
-
Hodnota: Příklad:
75abc123t48y2qrtsz2bvk......
Po přidání záznamu TXT DNS se stav ověření v prostředku služby Front Door nakonec změní z čeká naschválení. Možná budete muset stránku aktualizovat, aby se změna zobrazila.
-
Název: Zadejte pouze subdoménu části
Na webu Azure Portal: V části Přidružení koncového bodu domény, kterou jste právě přidali, vyberte Nepřidruženo.
V části Vybrat koncový bod vyberte koncový bod názvu hostitele z rozevíracího seznamu.
V seznamu Vybrat trasy vyberte výchozí trasu a pak vyberte Přidružit.
4.3. Povolení trasy
Výchozí trasa směruje provoz z klienta do služby Azure Front Door. Azure Front Door pak použije vaši konfiguraci k odeslání provozu do externího tenanta. Pokud chcete povolit výchozí trasu, postupujte takto.
Vyberte správce služby Front Door.
Pokud chcete povolit výchozí trasu, nejprve rozbalte koncový bod ze seznamu koncových bodů ve Správci služby Front Door. Pak vyberte výchozí trasu.
Zaškrtněte políčko Povolenou trasu.
Výběrem možnosti Aktualizovat uložte změny.
Testování vlastních domén URL
Přihlaste se do Centra pro správu Microsoft Entra.
Zvolte externího tenanta: V horní nabídce vyberte ikonu Nastavení a pak přepněte na externího tenanta.
V části Externí identity vyberte Toky uživatelů.
Vyberte tok uživatele a pak vyberte Spustit tok uživatele.
V případě aplikace vyberte webovou aplikaci s názvem webapp1 , kterou jste předtím zaregistrovali. Adresa URL odpovědi by se měla zobrazit
https://jwt.ms
.Zkopírujte adresu URL v části Spustit koncový bod toku uživatele.
Pokud chcete simulovat přihlášení pomocí vlastní domény, otevřete webový prohlížeč a použijte zkopírovanou adresu URL. Nahraďte doménu (<název>_tenanta.ciamlogin.com) vlastní doménou.
Například místo:
https://contoso.ciamlogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
použijte:
https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
Ověřte, že se přihlašovací stránka správně načetla. Pak se přihlaste pomocí místního účtu.
Konfigurace aplikací
Po konfiguraci a otestování vlastní domény URL aktualizujte aplikace tak, aby místo výchozí domény načetly adresu URL s vlastní doménou URL jako název hostitele.
Integrace domény vlastní adresy URL se vztahuje na koncové body ověřování, které používají toky uživatelů externího ID k ověřování uživatelů. Tyto koncové body mají následující formát:
https://<custom-url-domain>/<tenant-name>/v2.0/.well-known/openid-configuration
https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/authorize
https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/token
Nahrazení:
- custom-url-domain with your custom URL domain
- název tenanta s názvem tenanta nebo ID tenanta
Metadata zprostředkovatele služeb SAML můžou vypadat jako v následující ukázce:
https://custom-url-domain-name/tenant-name/Samlp/metadata
(Volitelné) Použití ID tenanta
Název externího tenanta v adrese URL můžete nahradit identifikátorem GUID ID vašeho tenanta a odebrat tak všechny odkazy na "onmicrosoft.com" v adrese URL. Identifikátor GUID ID tenanta najdete na stránce Přehled na webu Azure Portal nebo v Centru pro správu Microsoft Entra. Například změňte https://account.contosobank.co.uk/contosobank.onmicrosoft.com/
na https://account.contosobank.co.uk/<tenant-ID-GUID>/
.
Pokud se rozhodnete místo názvu tenanta použít ID tenanta, nezapomeňte odpovídajícím způsobem aktualizovat identifikátory URI přesměrování OAuth zprostředkovatele identity. Pokud místo názvu tenanta použijete ID tenanta, platný identifikátor URI přesměrování OAuth vypadá podobně jako v následující ukázce:
https://login.contoso.com/00001111-aaaa-2222-bbbb-3333cccc4444/oauth2/authresp
(Volitelné) Pokročilá konfigurace služby Azure Front Door
Můžete použít pokročilou konfiguraci služby Azure Front Door, jako je Azure Web Application Firewall (WAF). Azure WAF poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení.
Při používání vlastních domén zvažte následující body:
- Zásady WAF musí být stejné jako profil služby Azure Front Door. Další informace o tom, jak vytvořit zásadu WAF pro použití se službou Azure Front Door, najdete v tématu Konfigurace zásad WAF.
- Funkce spravovaných pravidel WAF není oficiálně podporovaná, protože může způsobit falešně pozitivní výsledky a zabránit legitimním žádostem v předávání, takže používejte vlastní pravidla WAF jenom v případě, že vyhovují vašim potřebám.
(Volitelné) Blokování výchozí domény
Po konfiguraci vlastních domén URL budou mít uživatelé stále přístup k výchozímu názvu domény <název tenanta>.ciamlogin.com. Potřebujete zablokovat přístup k výchozí doméně, aby ho útočníci nemohli použít pro přístup k vašim aplikacím ani ke spouštění distribuovaných útoků DDoS (Denial of-Service). Odešlete podpůrný lístek a požadujte blokování přístupu k výchozí doméně.
Opatrnost
Před vyžádáním blokování výchozí domény se ujistěte, že vaše vlastní doména funguje správně. Po zablokování výchozí domény přestanou některé funkce fungovat. Vizte Blokování výchozí domény.
Řešení problému
Zpráva nebyla nalezena. Když se pokusíte přihlásit pomocí vlastní domény URL, zobrazí se chybová zpráva HTTP 404. Tento problém může souviset s konfigurací DNS nebo konfigurací back-endu služby Azure Front Door. Vyzkoušejte následující kroky:
- Ujistěte se, že je doména vlastní adresy URL zaregistrovaná a úspěšně ověřená ve vašem tenantovi.
- Ujistěte se, že je vlastní doména správně nakonfigurovaná. Záznam
CNAME
pro vaši vlastní doménu musí odkazovat na výchozího hostitele front-endu služby Azure Front Door (například contoso-frontend.azurefd.net).
Naše služby momentálně nejsou k dispozici. Když se pokusíte přihlásit pomocí vlastní domény URL, zobrazí se chybová zpráva: Naše služby teď nejsou dostupné. Pracujeme na co nejrychlejším obnovení všech služeb. Brzy se prosím vraťte. Tento problém může souviset s konfigurací trasy služby Azure Front Door. Zkontrolujte stav výchozí trasy. Pokud je zakázaná, povolte trasu.
Prostředek se odebral, změnil názvy nebo je dočasně nedostupný. Když se pokusíte přihlásit pomocí vlastní domény URL, zobrazí se chybová zpráva , kterou prostředek, který hledáte, byl odebrán, změnil se jeho název nebo je dočasně nedostupný. Tento problém může souviset s ověřením vlastní domény Microsoft Entra. Ujistěte se, že je vlastní doména zaregistrovaná a úspěšně ověřená ve vašem tenantovi.
Kód chyby 399265: RoutingFromInvalidHost. Tento kód chyby se zobrazí, když tenant vytváří požadavek z domény, která není ověřená. Nezapomeňte do záznamů DNS přidat podrobnosti záznamu TXT. Potom znovu ověřte název vlastní domény.
Kód chyby 399280: InvalidCustomUrlDomain. Tento kód chyby se zobrazí, když tenant vytváří požadavek z ověřené domény, která není vlastní doménou URL. Nezapomeňte přidružit vlastní název domény k vlastní doméně URL.
Další kroky
Podívejte se na všechny naše ukázkové příručky a kurzy pro vytváření aplikací pro externí ID.