Domini URL personalizzati in tenant esterni
Si applica a: 
Tenant della forza lavoro 
Tenant esterni (altre informazioni)
Un dominio URL personalizzato consente di personalizzare gli endpoint di accesso dell'applicazione con il proprio dominio URL personalizzato, anziché con il nome di dominio predefinito di Microsoft.
L'uso di un dominio URL personalizzato verificato offre diversi vantaggi:
- Offre un'esperienza utente più coerente. Dal punto di vista dell'utente, rimangono nel dominio durante il processo di accesso anziché reindirizzare al nome-tenant< di dominio >predefinito.ciamlogin.com.
- Si riduce l'effetto del blocco dei cookie di terze parti rimanendo nello stesso dominio per l'applicazione durante l'accesso.
Suggerimento
Prova questa funzionalità, accedi alla demo di Woodgrove Groceries e quindi avvia il caso d'uso "nome di dominio URL personalizzato".
Funzionamento di un dominio URL personalizzato
Un dominio URL personalizzato consente di usare i nomi di dominio URL personalizzati verificati come endpoint di autenticazione di accesso delle applicazioni. Quando si aggiunge un nuovo nome di dominio URL personalizzato, è possibile associarlo a un dominio URL personalizzato. Un servizio proxy inverso, ad esempio Frontdoor di Azure, può quindi usare il dominio URL personalizzato per indirizzare gli accessi all'applicazione.
Il diagramma seguente illustra l'integrazione di Frontdoor di Azure:
- Da un'applicazione, un utente seleziona il pulsante di accesso, che li porta alla pagina di accesso. Questa pagina specifica un dominio URL personalizzato.
- Il Web browser risolve il dominio URL personalizzato nell'indirizzo IP di Frontdoor di Azure. Durante la risoluzione DNS (Domain Name System), un record di nome canonico (CNAME) con un dominio URL personalizzato punta all'host front-end predefinito di Frontdoor (ad esempio,
contoso-frontend.azurefd.net). - Il traffico indirizzato al dominio URL personalizzato ( ad esempio ,
login.contoso.com) viene instradato all'host front-end predefinito di Frontdoor specificato (contoso-frontend.azurefd.net). - Frontdoor di Azure richiama il contenuto usando il
<tenant-name>.ciamlogin.comdominio predefinito. La richiesta all'endpoint include il dominio URL personalizzato originale. - L'ID esterno risponde alla richiesta di dominio URL personalizzato visualizzando il contenuto pertinente e il dominio URL personalizzato originale.
Frontdoor di Azure passa l'indirizzo IP originale dell'utente, ovvero l'indirizzo IP visualizzato nel report di controllo.
Importante
Se il client invia un'intestazione x-forwarded-for a Frontdoor di Azure, l'ID esterno userà l'origine dell'autore x-forwarded-for come indirizzo IP dell'utente per la valutazione dell'accesso condizionale e il sistema di risoluzione delle {Context:IPAddress} attestazioni.
Considerazioni e limitazioni
Quando si usano domini URL personalizzati:
- È possibile configurare più domini URL personalizzati. Per il numero massimo di domini URL personalizzati supportati, consultare i limiti e le restrizioni del servizio di Microsoft Entra per Microsoft Entra e i limiti, le quote e i vincoli della sottoscrizione e del servizio di Azure per Azure Front Door.
- È possibile usare Frontdoor di Azure, ovvero un servizio di Azure separato che comporta costi aggiuntivi. Per altre informazioni, vedere Prezzi di Frontdoor. L'istanza di Frontdoor di Azure può essere ospitata in una sottoscrizione diversa rispetto al tenant esterno.
- Se sono presenti più applicazioni, eseguirne la migrazione nel dominio URL personalizzato perché il browser archivia la sessione con il nome di dominio attualmente in uso.
Importante
- Frontdoor di Azure: la connessione dal browser a Frontdoor di Azure deve usare sempre IPv4 anziché IPv6.
- Provider di identità social: Apple supporta i domini URL personalizzati. Tuttavia, Google e Facebook non sono attualmente supportati. Gli utenti che vogliono accedere o iscriversi con Google o Facebook devono utilizzare l'endpoint predefinito, <nome del tenant>.ciamlogin.com, invece del dominio URL personalizzato.
Blocco del dominio predefinito
Per una maggiore sicurezza, è consigliabile bloccare il dominio predefinito. Dopo aver configurato domini URL personalizzati, gli utenti potranno comunque accedere al nome di dominio predefinito tenant-name.ciamlogin.com<>. È necessario bloccare l'accesso al dominio predefinito in modo che gli utenti malintenzionati non possano usarlo per accedere alle app o eseguire attacchi DDoS (Distributed Denial of Service). Per bloccare l'accesso al dominio predefinito, aprire un ticket di supporto e inviare una richiesta.
Attenzione
Assicurarsi che il dominio URL personalizzato funzioni correttamente prima di inviare una richiesta per bloccare il dominio predefinito.
Impatto delle funzionalità e soluzioni alternative
Il blocco del dominio predefinito disabiliterà determinate funzionalità che dipendono da esso. Tuttavia, è possibile mantenere le funzionalità per le funzionalità descritte nella tabella seguente configurandole con il dominio URL personalizzato.
| Caratteristica | Soluzione alternativa |
|---|---|
| Esegui adesso | Nel centro di amministrazione di Microsoft Entra, aggiornare l'URL utilizzato dalla funzionalità "Esegui ora" nella guida introduttiva e nel riquadro del flusso utente con il tuo dominio URL personalizzato. Nell'URL del browser sostituire {your_domain}.ciamlogin.com con il dominio URL personalizzato {your_custom_URL_domain}/{your_tenant_ID}. |
| Esempi per iniziare | Configurare gli esempi nella guida per iniziare con il tuo dominio URL personalizzato. Per istruzioni dettagliate, vedere la documentazione per ogni esempio. Ad esempio, vedere la sezione "Use custom URL domain" (Usa dominio URL personalizzato) nella esercitazione sull'app a singola pagina di Vanilla JavaScript. |
| Power Pages con ID esterno | Quando si utilizza un ID esterno nel contesto del sito Power Pages, aggiornare le impostazioni del sito utilizzando il tuo dominio URL personalizzato. Nella pagina di configurazione del provider di identità di Power Pages, sostituire il campo URL dell'autorità, che contiene {your_domain}.ciamlogin.com, con il dominio URL personalizzato {your_custom_URL_domain}/{your_tenant_ID}. |
| Servizio App di Azure con ID esterno | Quando si usa ID esterno con il servizio app di Azure, modificare il provider di identità e cambiare il campo URL del provider da {your_domain}.ciamlogin.com al dominio URL personalizzato {your_custom_URL_domain}/{your_tenant_ID}. |
| Estensione di Visual Studio Code | Nell'estensione Visual Studio Codeaggiungere il dominio URL personalizzato alla configurazione MSAL dell'applicazione in modo che l'applicazione e la funzionalità "Esegui adesso" funzionino correttamente. Modifica l'autorità nel file authconfig da {your_domain}.ciamlogin.com a {your_custom_URL_domain}/{your_tenant_ID}e aggiungi le autorità conosciute con il tuo dominio URL personalizzato. |
| Visual Studio con ID esterno | Nel file appsettings.json, aggiungere il dominio URL personalizzato seguito dall'ID tenant, quindi inserire le autorità note utilizzando il dominio URL personalizzato. |
| Esempi di GitHub | Alcuni esempi, ad esempio Applicazione di chat OpenAI con Microsoft Entra Autenticazione (Python), hanno bisogno di un dominio URL personalizzato. Quando si configura l'esempio, impostare l'AZURE_AUTH_LOGIN_ENDPOINT sul dominio URL personalizzato. |
Passaggi successivi
Abilitare domini URL personalizzati per Microsoft Entra per ID esterno.