Delen via

Aangepaste URL-domeinen in externe tenants

  • Artikel

Van toepassing op:Witte cirkel met een grijs X-symbool.Werknemer-tenantsGroene cirkel met een wit vinkje.Externe tenants (meer informatie)

Met een aangepast URL-domein kunt u de aanmeldingseindpunten van uw toepassing voorzien van uw eigen aangepaste URL-domein in plaats van de standaarddomeinnaam van Microsoft.

De schermopname toont een gebruikerservaring met een aangepast URL-domein voor externe ID's.

Het gebruik van een geverifieerd aangepast URL-domein heeft verschillende voordelen:

  • Het biedt een consistentere gebruikerservaring. Vanuit het perspectief van de gebruiker blijven zij in uw domein tijdens het aanmeldingsproces in plaats van te worden omgeleid naar het standaarddomein <tenant-naam>.ciamlogin.com.
  • U beperkt het effect van het blokkeren van cookies van derden door tijdens het aanmelden in hetzelfde domein voor uw toepassing te blijven.

Tip

Probeer het nu

Als u deze functie wilt uitproberen, gaat u naar de Woodgrove Boodschappen-demo en start u het gebruiksscenario "aangepaste URL-domeinnaam".

Hoe een aangepast URL-domein werkt

Met een aangepast URL-domein kunt u uw geverifieerde aangepaste URL-domeinnamen gebruiken als aanmeldingseindpunten van uw toepassingen. Wanneer u een nieuwe aangepaste URL-domeinnaam toevoegt, kunt u deze koppelen aan een aangepast URL-domein. Vervolgens kan een omgekeerde proxyservice, zoals Azure Front Door, het aangepaste URL-domein gebruiken om aanmeldingen naar uw toepassing te sturen.

In het volgende diagram ziet u de integratie van Azure Front Door:

Diagram met Azure Front Door-integratie met externe id.

  1. In een toepassing selecteert een gebruiker de aanmeldingsknop, waarmee deze naar de aanmeldingspagina wordt geleid. Op deze pagina wordt een aangepast URL-domein opgegeven.
  2. De webbrowser zet het aangepaste URL-domein om in het IP-adres van Azure Front Door. Tijdens Domain Name System (DNS)-omzetting verwijst een canoniek naamrecord (CNAME), met een aangepast URL-domein, naar de standaard front-endhost van Front Door (bijvoorbeeld contoso-frontend.azurefd.net).
  3. Het verkeer dat is geadresseerd aan het aangepaste URL-domein (bijvoorbeeld login.contoso.com) wordt doorgestuurd naar de opgegeven front-endhost van Front Door (contoso-frontend.azurefd.net).
  4. Azure Front Door roept inhoud aan met behulp van het <tenant-name>.ciamlogin.com standaarddomein. De aanvraag voor het eindpunt bevat het oorspronkelijke aangepaste URL-domein.
  5. Externe id reageert op de aanvraag van het aangepaste URL-domein door de relevante inhoud en het oorspronkelijke aangepaste URL-domein weer te geven.

Azure Front Door geeft het oorspronkelijke IP-adres van de gebruiker door. Dit is het IP-adres dat u in de controlerapportage ziet.

Belangrijk

Als de client een x-forwarded-for header naar Azure Front Door verzendt, gebruikt Externe ID het x-forwarded-for van de gebruiker als het IP-adres voor de evaluatie van voorwaardelijke toegang en de {Context:IPAddress} claims resolver.

Overwegingen en beperkingen

Wanneer u aangepaste URL-domeinen gebruikt:

  • U kunt meerdere aangepaste URL-domeinen instellen. Zie Microsoft Entra-servicelimieten en -beperkingen voor Microsoft Entra en Azure-abonnements- en servicelimieten, quota en beperkingen voor Azure Front Door voor het maximale aantal ondersteunde aangepaste URL-domeinen.
  • U kunt Azure Front Door gebruiken. Dit is een afzonderlijke Azure-service waarvoor extra kosten in rekening worden gebracht. Raadpleeg Prijzen van Front Door voor meer informatie. Uw Azure Front Door-exemplaar kan worden gehost in een ander abonnement dan uw externe tenant.
  • Als u meerdere toepassingen hebt, migreert u ze allemaal naar het aangepaste URL-domein omdat de browser de sessie opslaat onder de domeinnaam die momenteel wordt gebruikt.

Belangrijk

  • Azure Front Door: De verbinding van de browser naar Azure Front Door moet altijd IPv4 gebruiken in plaats van IPv6.
  • Sociale id-providers: aangepaste URL-domeinen ondersteunen Apple. Google en Facebook worden momenteel echter niet ondersteund. Gebruikers die zich willen registreren of zich willen aanmelden met Google of Facebook, moeten het standaardeindpunt gebruiken, <tenantnaam>.ciamlogin.com, in plaats van het aangepaste URL-domeineindpunt.

Het standaarddomein blokkeren

Voor extra beveiliging raden we u aan het standaarddomein te blokkeren. Nadat u aangepaste URL-domeinen hebt geconfigureerd, hebben gebruikers nog steeds toegang tot de standaarddomeinnaam <tenant-name.ciamlogin.com>. U moet de toegang tot het standaarddomein blokkeren, zodat aanvallers deze niet kunnen gebruiken om toegang te krijgen tot uw apps of DDoS-aanvallen (Distributed Denial of Service) uit te voeren. Als u de toegang tot het standaarddomein wilt blokkeren, een ondersteuningsticket openen en een aanvraag indienen.

Voorzichtigheid

Zorg ervoor dat uw aangepaste URL-domein goed werkt voordat u een aanvraag indient om het standaarddomein te blokkeren.

Impact op functies en alternatieve oplossingen

Als u het standaarddomein blokkeert, worden bepaalde functies uitgeschakeld die hiervan afhankelijk zijn. U kunt echter functionaliteit behouden voor de functies die in de volgende tabel worden beschreven door deze te configureren met uw aangepaste URL-domein.

Kenmerk Tijdelijke oplossing
Ren nu Werk in het Microsoft Entra-beheercentrum de URL bij die wordt gebruikt door de functie Nu uitvoeren in de handleiding Aan de slag en het deelvenster Gebruikersstroom met uw aangepaste URL-domein. Vervang in de browser-URL {your_domain}.ciamlogin.com door uw aangepaste URL-domein {your_custom_URL_domain}/{your_tenant_ID}.
Voorbeelden om mee te beginnen Configureer de voorbeelden in de introductiehandleiding met uw aangepaste URL-domein. Raadpleeg de documentatie voor elk voorbeeld voor gedetailleerde instructies. Zie bijvoorbeeld de sectie Aangepast URL-domein gebruiken in de zelfstudie Vanilla JavaScript-app met één pagina.
Power Pages met externe ID Wanneer u de externe ID gebruikt met uw Power Pages-site, werkt u de site-instellingen bij met uw aangepaste URL. Vervang op de configuratiepagina van de Power Pages-id-provider het veld Authority URL, dat {your_domain}.ciamlogin.combevat, door uw aangepaste URL-domein {your_custom_URL_domain}/{your_tenant_ID}.
Azure App Service met externe ID Wanneer u externe id gebruikt met Azure App Service, bewerkt u de id-provider en wijzigt u het veld Issuer URL van {your_domain}.ciamlogin.com in uw aangepaste URL-domein {your_custom_URL_domain}/{your_tenant_ID}.
Visual Studio Code-extensie Voeg in de Visual Studio Code-extensieuw aangepaste URL-domein toe aan de MSAL-configuratie van de toepassing, zodat de toepassing en de functie Nu uitvoeren correct werken. Wijzig de instantie in het verificatieconfiguratiebestand van {your_domain}.ciamlogin.com in {your_custom_URL_domain}/{your_tenant_ID}en voeg de bekende autoriteiten toe aan uw aangepaste URL-domein.
Visual Studio met externe ID Voeg in het bestand appsettings.json uw aangepaste URL-domein toe, gevolgd door de tenant-id en voeg de bekende autoriteiten toe aan uw aangepaste URL-domein.
GitHub-voorbeelden Bepaalde voorbeelden, zoals OpenAI-chattoepassing met Microsoft Entra Authentication (Python), hebben uw aangepaste URL-domein nodig. Wanneer u het voorbeeld instelt, stelt u de AZURE_AUTH_LOGIN_ENDPOINT in op uw aangepaste URL-domein.

Volgende stappen

Schakel aangepaste URL-domeinen in voor Microsoft Entra Externe ID.