Freigeben über


Benutzerdefinierte URL-Domänen in externen Mandanten (Vorschau)

Gilt für: Weißer Kreis mit grauem X. Mitarbeitermandanten Grüner Kreis mit weißem Häkchen. Externe Mandanten (weitere Informationen)

Mit einer benutzerdefinierten URL-Domäne können Sie die Anmeldeendpunkte Ihrer Anwendung mit Ihrer eigenen benutzerdefinierten URL-Domäne statt dem Standarddomänennamen von Microsoft kennzeichnen.

Wichtig

Diese Funktion steht derzeit als Vorschau zur Verfügung. In den Universellen Lizenzbedingungen für Online-Dienste finden Sie rechtliche Bestimmungen, die für Azure-Funktionen und -Dienste gelten, die sich in der Betaphase befinden, eine Vorschau darstellen oder anderweitig nicht allgemein verfügbar sind.

Screenshot der Benutzeroberfläche für benutzerdefinierte External ID-URL-Domänen.

Die Verwendung einer überprüften benutzerdefinierten URL-Domäne hat mehrere Vorteile:

  • Sie bietet ein konsistenteres Benutzererlebnis. Aus der Perspektive der Benutzer bleiben diese während des Anmeldevorgangs in Ihrer Domäne und werden nicht auf die Standarddomäne <Mandantenname>.ciamlogin.com umgeleitet.
  • Indem Sie während der Anmeldung in derselben Domäne für Ihre Anwendung bleiben, verringern Sie die Auswirkungen der Blockierung von Drittanbietercookies.

Tipp

Jetzt testen

Um dieses Feature auszuprobieren, wechseln Sie zur Woodgrove Groceries Demo und starten Sie den Anwendungsfall „Benutzerdefinierter Domänenname“.

Funktionsweise einer benutzerdefinierten URL-Domäne

Mit einer benutzerdefinierten URL-Domäne können Sie Ihre überprüften benutzerdefinierten Domänennamen als Endpunkte für die Anmeldeauthentifizierung Ihrer Anwendungen verwenden. Wenn Sie einen neuen benutzerdefinierten Domänennamen hinzufügen, können Sie ihn einer benutzerdefinierten URL-Domäne zuordnen. Anschließend kann ein Reverseproxydienst, z. B. Azure Front Door, die benutzerdefinierte URL-Domäne verwenden, um Anmeldungen an Ihre Anwendung zu leiten.

Die Integration in Azure Front Door wird in der Abbildung unten veranschaulicht:

Diagramm der Integration von Azure Front Door mit externer ID.

  1. Ein Benutzer wählt die Anmeldeschaltfläche in einer Anwendung aus, über die er auf die Anmeldeseite gelangt. Auf dieser Seite ist eine benutzerdefinierte URL-Domäne angegeben.
  2. Die benutzerdefinierte URL-Domäne wird im Webbrowser in die IP-Adresse von Azure Front Door aufgelöst. Bei der DNS-Auflösung zeigt ein kanonischer Namenseintrag (CNAME-Eintrag) mit einer benutzerdefinierten URL-Domäne auf den standardmäßigen Front Door-Front-End-Host (z. B. contoso-frontend.azurefd.net).
  3. Der an die benutzerdefinierte URL-Domäne (z. B. login.contoso.com) gerichtete Datenverkehr wird an den angegebenen standardmäßigen Front Door-Front-End-Host (contoso-frontend.azurefd.net) weitergeleitet.
  4. Azure Front Door ruft Inhalte mithilfe der <tenant-name>.ciamlogin.com-Standarddomäne auf. Die Anforderung an den Endpunkt enthält die ursprüngliche benutzerdefinierte URL-Domäne.
  5. In External ID wird durch Anzeigen der relevanten Inhalte und der ursprünglichen benutzerdefinierten Domäne auf die Anforderung der benutzerdefinierten URL-Domäne geantwortet.

Azure Front Door übergibt die ursprüngliche IP-Adresse des Benutzers, d. h. die IP-Adresse, die Sie im Überwachungsbericht sehen.

Wichtig

Wenn der Client einen x-forwarded-for-Header an Azure Front Door sendet, verwendet External ID die x-forwarded-for des Absenders als IP-Adresse des Benutzers für die Auswertung des bedingten Zugriffs und den {Context:IPAddress}-Anspruchslöser.

Überlegungen und Einschränkungen

Bei Verwendung von benutzerdefinierten URL-Domänen:

  • Sie können mehrere benutzerdefinierte Domänen einrichten. Informationen zur maximalen Anzahl unterstützter benutzerdefinierter Domänen finden Sie unter Dienst- und andere Einschränkungen für Microsoft Entra und unter Einschränkungen für Azure-Abonnements und Dienste, Kontingente und Einschränkungen für Azure Front Door.
  • Sie können Azure Front Door verwenden, einen separaten Azure-Dienst, der zusätzliche Gebühren verursacht. Weitere Informationen finden Sie unter Azure Front Door – Preise. Ihre Azure Front Door-Instanz kann in einem anderen Abonnement als Ihr externer Mandant gehostet werden.
  • Nachdem Sie benutzerdefinierte URL-Domänen konfiguriert haben, können Benutzer weiterhin auf den Standarddomänennamen <Mandantenname>.ciamlogin.com zugreifen.
  • Wenn Sie mehrere Anwendungen verwenden, migrieren Sie alle in die benutzerdefinierte URL-Domäne, da die Sitzung im Browser unter dem aktuell verwendeten Domänennamen gespeichert wird.

Wichtig

  • Die Verbindung zwischen dem Browser und Azure Front Door sollte immer über IPv4 und nicht über IPv6 erfolgen.
  • Benutzerdefinierte URL-Domänen unterstützen derzeit keine sozialen Netzwerke als Identitätsanbieter. Benutzer, die sich mit einem sozialen Netzwerk als Identitätsanbieter registrieren oder anmelden möchten, müssen den Standardendpunkt <Mandantenname>.ciamlogin.com anstelle des Endpunkts für benutzerdefinierte URL-Domänen verwenden.

Nächste Schritte

Aktivieren von benutzerdefinierten URL-Domänen für Microsoft Entra External ID.