Benutzerdefinierte URL-Domänen in externen Mandanten
Gilt für: Mitarbeitermandanten
Externe Mandanten (weitere Informationen)
Mit einer benutzerdefinierten URL-Domäne können Sie die Anmeldeendpunkte Ihrer Anwendung mit Ihrer eigenen benutzerdefinierten URL-Domäne statt dem Standarddomänennamen von Microsoft kennzeichnen.
Die Verwendung einer überprüften benutzerdefinierten URL-Domäne hat mehrere Vorteile:
- Sie bietet ein konsistenteres Benutzererlebnis. Aus der Perspektive der Benutzer bleiben diese während des Anmeldevorgangs in Ihrer Domäne und werden nicht auf die Standarddomäne <Mandantenname>.ciamlogin.com umgeleitet.
- Indem Sie während der Anmeldung in derselben Domäne für Ihre Anwendung bleiben, verringern Sie die Auswirkungen der Blockierung von Drittanbietercookies.
Tipp
Um dieses Feature auszuprobieren, wechseln Sie zur Woodgrove Groceries Demo und starten Sie den Anwendungsfall „Benutzerdefinierter URL-Domänenname“.
Funktionsweise einer benutzerdefinierten URL-Domäne
Mit einer benutzerdefinierten URL-Domäne können Sie Ihre überprüften benutzerdefinierten URL-Domänennamen als Anmeldeauthentifizierungsendpunkte Ihrer Anwendungen verwenden. Wenn Sie einen neuen benutzerdefinierten URL-Domänennamen hinzufügen, können Sie ihn einer benutzerdefinierten URL-Domäne zuordnen. Anschließend kann ein Reverseproxydienst, z. B. Azure Front Door, die benutzerdefinierte URL-Domäne verwenden, um Anmeldungen an Ihre Anwendung zu leiten.
Die Integration in Azure Front Door wird in der Abbildung unten veranschaulicht:
- Ein Benutzer wählt die Anmeldeschaltfläche in einer Anwendung aus, über die er auf die Anmeldeseite gelangt. Auf dieser Seite ist eine benutzerdefinierte URL-Domäne angegeben.
- Die benutzerdefinierte URL-Domäne wird im Webbrowser in die IP-Adresse von Azure Front Door aufgelöst. Bei der DNS-Auflösung zeigt ein kanonischer Namenseintrag (CNAME-Eintrag) mit einer benutzerdefinierten URL-Domäne auf den standardmäßigen Front Door-Front-End-Host (z. B.
contoso-frontend.azurefd.net
). - Der an die benutzerdefinierte URL-Domäne (z. B.
login.contoso.com
) gerichtete Datenverkehr wird an den angegebenen standardmäßigen Front Door-Front-End-Host (contoso-frontend.azurefd.net
) weitergeleitet. - Azure Front Door ruft Inhalte mithilfe der
<tenant-name>.ciamlogin.com
-Standarddomäne auf. Die Anforderung an den Endpunkt enthält die ursprüngliche benutzerdefinierte URL-Domäne. - In External ID wird durch Anzeigen der relevanten Inhalte und der ursprünglichen benutzerdefinierten Domäne auf die Anforderung der benutzerdefinierten URL-Domäne geantwortet.
Azure Front Door übergibt die ursprüngliche IP-Adresse des Benutzers, d. h. die IP-Adresse, die Sie im Überwachungsbericht sehen.
Wichtig
Wenn der Client einen x-forwarded-for
-Header an Azure Front Door sendet, verwendet External ID die x-forwarded-for
des Absenders als IP-Adresse des Benutzers für die Auswertung des bedingten Zugriffs und den {Context:IPAddress}
-Anspruchslöser.
Überlegungen und Einschränkungen
Bei Verwendung von benutzerdefinierten URL-Domänen:
- Sie können mehrere benutzerdefinierte URL-Domänen einrichten. Die maximale Anzahl unterstützter benutzerdefinierter URL-Domänen finden Sie unter Microsoft Entra-Dienstbeschränkungen und -einschränkungen für Microsoft Entra und Azure-Abonnement- und -Dienstbeschränkungen, Kontingente und Einschränkungen für Azure Front Door.
- Sie können Azure Front Door verwenden, einen separaten Azure-Dienst, der zusätzliche Gebühren verursacht. Weitere Informationen finden Sie unter Azure Front Door – Preise. Ihre Azure Front Door-Instanz kann in einem anderen Abonnement als Ihr externer Mandant gehostet werden.
- Wenn Sie mehrere Anwendungen verwenden, migrieren Sie alle in die benutzerdefinierte URL-Domäne, da die Sitzung im Browser unter dem aktuell verwendeten Domänennamen gespeichert wird.
Wichtig
- Azure Front Door: Die Verbindung vom Browser zu Azure Front Door sollte immer IPv4 anstelle von IPv6 verwenden.
- Anbieter von sozialen Identitäten: Apple wird von benutzerdefinierten URL-Domänen unterstützt. Google und Facebook werden derzeit jedoch nicht unterstützt. Benutzer, die sich mit Google oder Facebook anmelden oder registrieren möchten, müssen den Standardendpunkt <tenant-name>.ciamlogin.comanstelle des benutzerdefinierten URL-Domänenendpunkts verwenden.
Blockieren der Standarddomäne
Zur zusätzlichen Sicherheit wird empfohlen, die Standarddomäne zu blockieren. Nachdem Sie benutzerdefinierte URL-Domänen konfiguriert haben, können Benutzer weiterhin auf den Standarddomänennamen <Mandantenname>.ciamlogin.com zugreifen. Sie müssen den Zugriff auf die Standarddomäne blockieren, damit Angreifer ihn nicht verwenden können, um auf Ihre Apps zuzugreifen oder verteilte Denial-of-Service-Angriffe (DDoS) auszuführen. Um den Zugriff auf die Standarddomäne zu blockieren, öffnen Sie ein Supportticket und stellen eine Anfrage.
Vorsicht
Stellen Sie sicher, dass Ihre benutzerdefinierte URL-Domäne ordnungsgemäß funktioniert, bevor Sie eine Anforderung senden, um die Standarddomäne zu blockieren.
Auswirkungen von Funktionen und Problemumgehungen
Durch das Blockieren der Standarddomäne werden bestimmte Features deaktiviert, die davon abhängig sind. Sie können jedoch Funktionen für die in der folgenden Tabelle beschriebenen Features beibehalten, indem Sie sie mit Ihrer benutzerdefinierten URL-Domäne konfigurieren.
Funktion | Problemumgehung |
---|---|
Jetzt ausführen | Aktualisieren Sie im Microsoft Entra Admin Center die URL, die vom Feature „Jetzt ausführen“ im Leitfaden „Erste Schritte“ und im Benutzerflussfenster verwendet wird, mit Ihrer benutzerdefinierten URL-Domäne. Ersetzen Sie in der Browser-URL {your_domain}.ciamlogin.com durch Ihre benutzerdefinierte URL-Domäne {your_custom_URL_domain}/{your_tenant_ID} . |
Beispiele erster Schritte | Konfigurieren Sie die Beispiele im Leitfaden „Erste Schritte“ mit Ihrer benutzerdefinierten URL-Domäne. Ausführliche Anweisungen finden Sie in der Dokumentation für jedes Beispiel. Schauen Sie sich beispielsweise den Abschnitt "Benutzerdefinierte URL-Domäne verwenden" im Single-Page-App-Tutorial von Vanilla JavaScriptan. |
Power Pages mit External ID | Wenn Sie External ID mit Ihrer Power Pages-Website verwenden, aktualisieren Sie die Websiteeinstellungen mit Ihrer benutzerdefinierten URL-Domäne. Ersetzen Sie auf der Konfigurationsseite des Power Pages-Identitätsanbieters das Feld "Autoritäts-URL", das {your_domain}.ciamlogin.com enthält, durch Ihre benutzerdefinierte URL-Domäne {your_custom_URL_domain}/{your_tenant_ID} . |
Azure App Service mit External ID | Wenn Sie External ID mit Azure App Service verwenden, bearbeiten Sie den Identitätsanbieter und ändern Sie das Feld „Aussteller-URL“ von {your_domain}.ciamlogin.com zu Ihrer benutzerdefinierten URL-Domäne {your_custom_URL_domain}/{your_tenant_ID} . |
Visual Studio Code-Erweiterung | Fügen Sie in der Visual Studio Code-ErweiterungIhre benutzerdefinierte URL-Domäne zur MSAL-Konfiguration der Anwendung hinzu, damit die Anwendung und das Feature "Jetzt ausführen" ordnungsgemäß funktionieren. Ändern Sie die Autorität in der authconfig-Datei von {your_domain}.ciamlogin.com in {your_custom_URL_domain}/{your_tenant_ID} , und fügen Sie die bekannten Autoritäten mit Ihrer benutzerdefinierten URL-Domäne hinzu. |
Visual Studio mit External ID | Fügen Sie in der Datei „appsettings.json“ Ihre benutzerdefinierte URL-Domäne gefolgt von der Mandanten-ID hinzu, und fügen Sie die bekannten Autoritäten mit Ihrer benutzerdefinierten URL-Domäne hinzu. |
GitHub-Beispiele | Bestimmte Beispiele wie OpenAI-Chatanwendung mit Microsoft Entra Authentication (Python) erfordern Ihre benutzerdefinierte URL-Domäne. Legen Sie beim Einrichten des Beispiels „AZURE_AUTH_LOGIN_ENDPOINT“ auf Ihre benutzerdefinierte URL-Domäne fest. |
Nächste Schritte
Aktivieren von benutzerdefinierten URL-Domänen für Microsoft Entra External ID.