Delen via


Aangepaste URL-domeinen inschakelen voor apps in externe tenants (preview)

Van toepassing op:Witte cirkel met een grijs X-symbool. Externe tenantsGroene cirkel met een wit vinkje. van werknemers (meer informatie)

In dit artikel wordt beschreven hoe u aangepaste URL-domeinen inschakelt voor Microsoft Entra Externe ID toepassingen in externe tenants. Met een aangepast URL-domein kunt u de aanmeldingseindpunten van uw toepassing voorzien van uw eigen aangepaste URL-domein in plaats van de standaarddomeinnaam van Microsoft.

Belangrijk

Deze functie is momenteel beschikbaar in preview. Zie de universele licentievoorwaarden voor onlineservices voor juridische voorwaarden die van toepassing zijn op Azure-functies en -services die in bèta, preview of anderszins niet algemeen beschikbaar zijn.

Vereisten

Stap 1: een aangepaste domeinnaam toevoegen aan uw tenant

Wanneer u een externe tenant maakt, wordt deze geleverd met een initiële domeinnaam, <domeinnaam.onmicrosoft.com>. U kunt de oorspronkelijke domeinnaam niet wijzigen of verwijderen, maar u kunt wel uw eigen aangepaste domeinnaam toevoegen. Voor deze stappen moet u zich aanmelden bij de configuratie van uw externe tenant in het Microsoft Entra-beheercentrum.

  1. Log in bij het Microsoft Entra-beheercentrum tenminste als Domeinnaam Beheerder.

  2. Kies uw externe tenant: selecteer het pictogram Instellingen in het bovenste menu en schakel over naar uw externe tenant.

  3. Navigeer naar Aangepaste domeinnamen> voor identiteitsinstellingen.>>

  4. Voeg uw aangepaste domeinnaam toe aan de Microsoft Entra-id.

  5. Uw DNS-informatie toevoegen aan de domeinregistrar. Nadat u uw aangepaste domeinnaam aan uw tenant hebt toegevoegd, maakt u een DNS TXT of MX record voor uw domein. Deze DNS-record maken voor uw domein verifieert het eigendom van uw domeinnaam.

    Hieronder ziet u voorbeelden van TXT-records voor login.contoso.com en account.contoso.com:

    Naam (hostnaam) Type Gegevens
    aanmelding TXT MS=ms12345678
    Account TXT MS=ms87654321

    De TXT-record moet zijn gekoppeld aan het subdomein of de hostnaam van het domein (bijvoorbeeld het aanmeldingsonderdeel van het contoso.com domein). Als de hostnaam leeg is of @als de Microsoft Entra-id de aangepaste domeinnaam die u hebt toegevoegd, niet kan verifiëren.

    Tip

    U kunt uw aangepaste domeinnaam beheren met elke openbaar beschikbare DNS-service, zoals GoDaddy. Als u geen DNS-server hebt, kunt u azure DNS-zone of App Service domeinen gebruiken.

  6. Verifieer de naam van uw aangepaste domein. Controleer elk subdomein of de hostnaam die u wilt gebruiken. Als u zich bijvoorbeeld wilt kunnen aanmelden met login.contoso.com en account.contoso.com, moet u beide subdomeinen verifiëren en niet alleen het domein op het hoogste niveau contoso.com.

    Belangrijk

    Nadat het domein is geverifieerd, verwijdert u de DNS TXT-record die u hebt gemaakt.

Stap 2: de aangepaste domeinnaam koppelen aan een aangepast URL-domein

Nadat u de aangepaste domeinnaam in uw externe tenant hebt toegevoegd en geverifieerd, koppelt u de aangepaste domeinnaam aan een aangepast URL-domein.

  1. Meld u aan bij het Microsoft Entra-beheercentrum.

  2. Kies uw externe tenant: selecteer het pictogram Instellingen in het bovenste menu en schakel over naar uw externe tenant.

  3. Navigeer naar aangepaste URL-domeinen voor identiteitsinstellingen>>>(preview).

  4. Selecteer Aangepast URL-domein toevoegen.

  5. Selecteer in het deelvenster Aangepaste URL-domein toevoegen de aangepaste domeinnaam die u hebt ingevoerd in stap 1.

    Schermopname van het deelvenster Aangepaste URL-domein toevoegen.

  6. Selecteer Toevoegen.

Stap 3: een nieuwe Azure Front Door-instantie maken

Volg deze stappen om een Azure Storage-account te maken:

  1. Meld u aan bij het Azure-portaal.

  2. Kies de tenant met uw Azure Front Door-abonnement: selecteer het pictogram Instellingen in het bovenste menu en schakel vervolgens over naar de tenant die uw Azure Front Door-abonnement bevat.

  3. Volg de stappen in Een Front Door-profiel maken- Snel maken om een Front Door voor uw tenant te maken met behulp van de volgende instellingen. Laat de cache- en WAF-beleidsinstellingen leeg.

    Sleutel Weergegeven als
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer een bestaande resourcegroep of maak een nieuwe groep.
    Naam Geef uw profiel een naam zoals ciamazurefrontdoor.
    Laag Dit is de Standard- of Premium-laag. De Standard-laag is geoptimaliseerd voor contentlevering. De Premium-laag bouwt voort op de Standard-laag en is gericht op beveiliging. Raadpleeg Laagvergelijking.
    Naam Eeindpunt Voer een wereldwijd unieke naam in voor uw eindpunt, zoals ciamazurefrontdoor. De Eindpunt hostnaam wordt automatisch gegenereerd.
    Type oorsprong Selecteer Custom.
    Oorsprong hostnaam Voer <tenant-name>.ciamlogin.com in. Vervang <tenant-name> bijvoorbeeld door de naam van uw tenant contoso.ciamlogin.com.
  4. Zodra de Azure Front Door-resource is gemaakt, selecteert u Overzicht en kopieert u de hostnaam van het eindpunt voor gebruik in een latere stap. Het ziet er ongeveer als volgt uit: ciamazurefrontdoor-ab123e.z01.azurefd.net.

  5. Zorg ervoor dat de Hostnaam en de Host-header van oorsprong van uw oorsprong dezelfde waarde hebben:

    1. Selecteer bij Instellingen de optie Oorspronkelijke groepen.
    2. Selecteer uw oorspronkelijke groep in de lijst, zoals standaard-oorspronkelijke-groep.
    3. Selecteer in het rechterdeelvenster uw Oorspronkelijke hostnaam zoals contoso.ciamlogin.com.
    4. Werk in het deelvenster Oorsprong bijwerken de hostnaam en de Hostheader van oorsprong bij zodat deze dezelfde waarde hebben.

    Schermopname van de hostnaam en de hostheadervelden van de origin.

Stap 4: uw aangepaste domein instellen in Azure Front Door

In deze stap voegt u het aangepaste URL-domein toe dat u hebt geregistreerd in stap 1 aan uw Azure Front Door.

4.1. Een CNAME DNS-record maken

Als u het aangepaste URL-domein wilt toevoegen, maakt u een canonieke naamrecord (CNAME) bij uw domeinprovider. Een CNAME-record is een soort DNS-record dat een brondomeinnaam toewijst aan een doeldomeinnaam. Voor Azure Front Door is de brondomeinnaam uw aangepaste URL-domeinnaam en is de doeldomeinnaam uw standaardhostnaam van Front Door die u hebt geconfigureerd in stap 2, bijvoorbeeld ciamazurefrontdoor-ab123e.z01.azurefd.net.

Nadat Front Door de CNAME-record heeft geverifieerd die u hebt gemaakt, wordt verkeer dat is geadresseerd aan het aangepaste URL-brondomein (zoals login.contoso.com) gerouteerd naar de opgegeven standaard front-endhost van Front Door, zoals contoso-frontend.azurefd.net. Raadpleeg Een aangepast domein toevoegen aan uw Front Door voor meer informatie.

Maken van een CNAME-record voor uw aangepaste domein:

  1. Meld u aan bij de website van de domeinprovider voor uw aangepaste domein.

  2. Zoek de pagina voor het beheren van DNS-records door de documentatie van de provider te raadplegen, of te zoeken naar gebieden van de website met het label Domeinnaam, DNS, of Serverbeheernaam.

  3. Maak een CNAME-recordvermelding voor uw aangepaste URL-domein en vul de velden in, zoals wordt weergegeven in de volgende tabel.

    Bron Type Bestemming
    <login.contoso.com> CNAME contoso-frontend.azurefd.net
    • Bron: Voer uw aangepaste URL-domein in (bijvoorbeeld login.contoso.com).

    • Type: Voer CNAME in.

    • Bestemming: Voer de standaard front-endhost van Front Door in stap 2 in. Het moet de volgende indeling hebben: hostname.azurefd.net>, bijvoorbeeldcontoso-frontend.azurefd.net.<

  4. Sla uw wijzigingen op.

4.2. Het aangepaste URL-domein koppelen aan uw Front Door

  1. Zoek en selecteer op de startpagina van de Azure Portal de ciamazurefrontdoor Azure Front Door-resource om deze te openen.

  2. Selecteer in het linkermenu bij Instellingen de optie Domeinen.

  3. Selecteer Domein toevoegen.

  4. Onder DNS-beheer selecteert u Alle andere DNS-services.

  5. Voer voor Aangepast domein uw aangepaste domein in, zoals login.contoso.com.

  6. Behoud de andere waarden als standaardwaarden en selecteer vervolgens Toevoegen. Uw aangepaste domein wordt toegevoegd aan de lijst.

  7. Selecteer In behandeling onder Validatiestatus van het domein dat u zonet hebt toegevoegd. Er wordt een deelvenster met een TXT-recordgegevens geopend.

    1. Meld u aan bij de website van de domeinprovider voor uw aangepaste domein.

    2. Zoek de pagina voor het beheren van DNS-records door de documentatie van de provider te raadplegen, of te zoeken naar gebieden van de website met het label Domeinnaam, DNS, of Serverbeheernaam.

    3. Maak een nieuwe TXT DNS-record en vul de volgende velden in:

      • Naam: Voer alleen subdomeingedeelte van _dnsauth.contoso.combijvoorbeeld _dnsauth
      • Type: TXT
      • Waarde: bijvoorbeeld 75abc123t48y2qrtsz2bvk......

      Nadat u de TXT DNS-record hebt toegevoegd, verandert de Validatiestatus in de Front Door-resource uiteindelijk van In behandeling in Goedgekeurd. Mogelijk moet u de pagina vernieuwen om de wijziging te zien.

  8. In Azure Portal. Onder Eindpuntkoppeling van het domein dat u net hebt toegevoegd, selecteert u de optie Niet-gekoppeld.

  9. Selecteer bij Eindpunt selecteren het eindpunt van de hostnaam in de vervolgkeuzelijst.

  10. Voor de lijst Routes selecteren, selecteer Standaardroute en selecteer vervolgens Koppelen.

4.3. De route inschakelen

Met de standaardroute wordt het verkeer van de client naar Azure Front Door gerouteerd. Vervolgens gebruikt Azure Front Door uw configuratie om het verkeer naar de externe tenant te verzenden. Volg deze stappen om de standaardroute in te schakelen.

  1. Selecteer Front Door-manager.

  2. Als u de standaardroute wilt inschakelen, vouwt u eerst een eindpunt uit uit de lijst met eindpunten in de Front Door-manager. Selecteer vervolgens de standaardroute.

  3. Schakel het selectievakje Ingeschakelde route in.

  4. Selecteer Bijwerken om de wijzigingen op te slaan.

Uw aangepaste URL-domeinen testen

  1. Meld u aan bij het Microsoft Entra-beheercentrum.

  2. Kies uw externe tenant: selecteer het pictogram Instellingen in het bovenste menu en schakel over naar uw externe tenant.

  3. Selecteer onder Externe identiteiten gebruikersstromen.

  4. Selecteer een gebruikersstroom en vervolgens Gebruikersstroom uitvoeren.

  5. Selecteer voor Toepassing de webtoepassing met de naam webapp1 die u eerder hebt geregistreerd. De antwoord-URL moet https://jwt.ms weergeven.

  6. Kopieer de URL onder Eindpunt voor gebruikersstroom uitvoeren.

    Schermopname van de optie Gebruikersstroom uitvoeren.

  7. Als u een aanmelding met uw aangepaste domein wilt simuleren, opent u een webbrowser en gebruikt u de URL die u hebt gekopieerd. Vervang het domein (<tenant-name.ciamlogin.com>) door uw aangepaste domein.

    U kunt bijvoorbeeld, in plaats van:

    https://contoso.ciamlogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
    

    gebruik:

    https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
    
  8. Controleer of de aanmeldingspagina correct is geladen. Meld u vervolgens aan met een lokaal account.

Uw toepassingen configureren

Nadat u het aangepaste URL-domein hebt geconfigureerd en getest, werkt u uw toepassingen bij om een URL te laden met uw aangepaste URL-domein als hostnaam in plaats van het standaarddomein.

De integratie van het aangepaste URL-domein is van toepassing op verificatie-eindpunten die gebruikmaken van externe id-gebruikersstromen om gebruikers te verifiëren. Deze eindpunten hebben de volgende indeling:

  • https://<custom-url-domain>/<tenant-name>/v2.0/.well-known/openid-configuration

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/authorize

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/token

Vervangen:

  • custom-url-domain met uw aangepaste URL-domein
  • tenantnaam met uw tenantnaam of tenant-id

De metagegevens van de SAML-serviceprovider kunnen eruitzien als in het volgende voorbeeld:

https://custom-url-domain-name/tenant-name/Samlp/metadata

(Optioneel) De tenant-id gebruiken

U kunt de naam van uw externe tenant in de URL vervangen door de GUID van uw tenant-id om alle verwijzingen naar 'onmicrosoft.com' in de URL te verwijderen. U vindt uw tenant-id-GUID op de pagina Overzicht in Azure Portal of het Microsoft Entra-beheercentrum. Wijzig bijvoorbeeld https://account.contosobank.co.uk/contosobank.onmicrosoft.com/ in https://account.contosobank.co.uk/<tenant-ID-GUID>/.

Als u ervoor opteert tenant-id te gebruiken in plaats van de tenantnaam, moet u ervoor zorgen dat u de OAuth-omleidings-URI's van de id-provider dienovereenkomstig bijwerkt. Wanneer u uw tenant-id gebruikt in plaats van de tenantnaam, ziet een geldige OAuth-omleidings-URI er ongeveer als volgt uit:

https://login.contoso.com/00001111-aaaa-2222-bbbb-3333cccc4444/oauth2/authresp 

(Optioneel) Geavanceerde configuratie van Azure Front Door

U kunt de geavanceerde configuratie van Azure Front Door gebruiken, zoals Azure Web Application Firewall (WAF). Azure WAF biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen.

Houd bij het gebruik van aangepaste domeinen rekening met het volgende:

  • Het WAF-beleid moet dezelfde laag hebben als het Azure Front Door-profiel. Raadpleeg WAF-beleid configureren voor meer informatie over het maken van een WAF-beleid voor gebruik met Azure Front Door.
  • De WAF-beheerde regels functie wordt niet officieel ondersteund omdat deze valse positieven kan veroorzaken en voorkomen dat legitieme aanvragen worden doorgegeven. Gebruik dus alleen aangepaste WAF-regels als ze aan uw behoeften voldoen.

Probleemoplossing

  • Bericht pagina is niet gevonden. Wanneer u zich probeert aan te melden met het aangepaste URL-domein, krijgt u een HTTP 404-foutbericht. Dit probleem kan betrekking hebben op de DNS-configuratie of de back-endconfiguratie van Azure Front Door. Voer de volgende stappen uit:

    • Zorg ervoor dat het aangepaste URL-domein is geregistreerd en geverifieerd in uw tenant.
    • Zorg ervoor dat het aangepaste domein correct is geconfigureerd. De CNAME record voor uw aangepaste domein moet verwijzen naar uw Azure Front Door standaard front-end host (bijvoorbeeld contoso-frontend.azurefd.net).
  • Onze services zijn momenteel niet beschikbaar. Wanneer u zich probeert aan te melden met het aangepaste URL-domein, krijgt u het foutbericht: Onze services zijn momenteel niet beschikbaar. We werken eraan om alle services zo snel mogelijk te herstellen. Kom snel terug. Dit probleem kan betrekking hebben op de configuratie van de Azure Front Door-route. Controleer de status van de standaardroute. Als deze optie is uitgeschakeld, schakelt u de route in.

  • De resource is verwijderd, namen gewijzigd of is tijdelijk niet beschikbaar. Wanneer u zich probeert aan te melden met het aangepaste URL-domein, wordt het foutbericht weergegeven dat de resource die u zoekt, is verwijderd, de naam is gewijzigd of tijdelijk niet beschikbaar is. Dit probleem kan betrekking hebben op de verificatie van aangepaste Microsoft Entra-domeinen. Zorg ervoor dat het aangepaste domein is geregistreerd en geverifieerd in uw tenant.

  • Foutcode 399265: RoutingFromInvalidHost. Deze foutcode wordt weergegeven wanneer een tenant een aanvraag doet vanuit een domein dat niet is geverifieerd. Zorg ervoor dat u TXT-recordgegevens toevoegt aan uw DNS-records. Controleer vervolgens uw aangepaste domeinnaam opnieuw.

  • Foutcode 399280: InvalidCustomUrlDomain. Deze foutcode wordt weergegeven wanneer een tenant een aanvraag indient van een geverifieerd domein dat geen aangepast URL-domein is. Zorg ervoor dat u de aangepaste domeinnaam koppelt aan een aangepast URL-domein.

Volgende stappen

Bekijk al onze voorbeeldhandleidingen en zelfstudies voor het bouwen van apps voor externe id.