Udostępnij za pośrednictwem


Własne domeny URL w dzierżawach zewnętrznych

Dotyczy:Biały okrąg z szarym symbolem X.Dzierżawcy siły roboczej — dzierżawcy zewnętrzni Zielony okrąg z białym symbolem znacznika wyboru. (dowiedz się więcej)

Niestandardowa domena adresu URL umożliwia znakowanie punktów końcowych logowania aplikacji przy użyciu własnej niestandardowej domeny adresu URL zamiast domyślnej nazwy domeny firmy Microsoft.

Zrzut ekranu przedstawia środowisko użytkownika domeny niestandardowego identyfikatora zewnętrznego.

Korzystanie ze zweryfikowanej niestandardowej domeny adresu URL ma kilka korzyści:

  • Zapewnia bardziej spójne środowisko użytkownika. Z perspektywy użytkownika pozostają w domenie podczas procesu logowania zamiast przekierowywać do domyślnej domeny >.
  • Zmniejszanie wpływu blokowania plików cookie innych firm przez pozostanie w tej samej domenie aplikacji podczas logowania.

Napiwek

Wypróbuj teraz

Aby wypróbować tę funkcję, przejdź do wersji demonstracyjnej Woodgrove Groceries i uruchom scenariusz użycia "niestandardowa nazwa domeny URL".

Jak działa niestandardowa domena adresu URL

Niestandardowa domena adresu URL umożliwia używanie zweryfikowanych niestandardowych nazw domen adresu URL jako punktów końcowych uwierzytelniania logowania aplikacji. Po dodaniu nowej niestandardowej nazwy domeny adresu URL można ją skojarzyć z niestandardową domeną adresu URL. Następnie usługa zwrotnego serwera proxy, taka jak Azure Front Door, może użyć niestandardowej domeny adresu URL do kierowania logów do aplikacji.

Na poniższym diagramie przedstawiono integrację usługi Azure Front Door:

Diagram przedstawiający integrację usługi Azure Front Door z identyfikatorem zewnętrznym.

  1. W aplikacji użytkownik wybiera przycisk logowania, który powoduje przejście do strony logowania. Ta strona określa niestandardową domenę adresu URL.
  2. Przeglądarka internetowa rozpoznaje niestandardową domenę adresu URL na adres IP usługi Azure Front Door. Podczas rozpoznawania systemu nazw domen (DNS) rekord nazwy kanonicznej (CNAME) z niestandardowym adresem URL wskazuje domyślnego hosta frontonu usługi Front Door (na przykład contoso-frontend.azurefd.net).
  3. Ruch adresowany do domeny niestandardowego adresu URL (na przykład login.contoso.com) jest kierowany do określonego domyślnego hosta frontonu usługi Front Door (contoso-frontend.azurefd.net).
  4. Usługa Azure Front Door wywołuje zawartość przy użyciu domeny domyślnej <tenant-name>.ciamlogin.com . Żądanie do punktu końcowego zawiera oryginalną niestandardową domenę adresu URL.
  5. Identyfikator zewnętrzny odpowiada na żądanie domeny niestandardowej adresu URL, wyświetlając odpowiednią zawartość i oryginalną niestandardową domenę adresu URL.

Usługa Azure Front Door przekazuje oryginalny adres IP użytkownika, który jest adresem IP widocznym w raportowaniu inspekcji.

Ważne

Jeśli klient wyśle x-forwarded-for nagłówek do usługi Azure Front Door, identyfikator zewnętrzny użyje identyfikatora źródłowego x-forwarded-for jako adresu IP użytkownika do oceny dostępu warunkowego i {Context:IPAddress} rozpoznawania oświadczeń.

Rozważania i ograniczenia

W przypadku korzystania z domen niestandardowych adresów URL:

  • Można skonfigurować wiele domen niestandardowych adresów URL. Aby uzyskać informacje o maksymalnej liczbie obsługiwanych niestandardowych domen URL, zobacz limity i ograniczenia usługi Microsoft Entra oraz limity subskrypcji i usługi platformy Azure, przydziały i ograniczenia dla usługi Azure Front Door.
  • Możesz użyć usługi Azure Front Door, która jest oddzielną usługą platformy Azure, która wiąże się z dodatkowymi opłatami. Aby uzyskać więcej informacji, zobacz Cennik usługi Front Door. Wystąpienie usługi Azure Front Door może być hostowane w innej subskrypcji niż dzierżawa zewnętrzna.
  • Jeśli masz wiele aplikacji, zmigruj je wszystkie do domeny niestandardowego adresu URL, ponieważ przeglądarka przechowuje sesję pod nazwą domeny, która jest obecnie używana.

Ważne

  • Azure Front Door: połączenie z przeglądarki do usługi Azure Front Door powinno zawsze używać protokołu IPv4 zamiast IPv6.
  • Dostawcy tożsamości społecznościowych: własne domeny URL wspierają Apple. Jednak google i Facebook nie są obecnie obsługiwane. Użytkownicy, którzy chcą się zarejestrować lub zalogować przy użyciu usługi Google lub Facebook, muszą używać domyślnego punktu końcowego, <nazwy dzierżawy>.ciamlogin.com, zamiast niestandardowego punktu końcowego domeny adresu URL.

Blokowanie domeny domyślnej

W przypadku dodanych zabezpieczeń zalecamy zablokowanie domeny domyślnej. Po skonfigurowaniu niestandardowych domen url użytkownicy nadal będą mogli uzyskać dostęp do domyślnej nazwy >. Należy zablokować dostęp do domeny domyślnej, aby osoby atakujące nie mogły ich używać do uzyskiwania dostępu do aplikacji ani uruchamiać rozproszonych ataków typu "odmowa usługi" (DDoS). Aby zablokować dostęp do domeny domyślnej, otworzyć bilet pomocy technicznej i przesłać żądanie.

Ostrożność

Przed przesłaniem żądania zablokowania domeny domyślnej upewnij się, że domena niestandardowa działa prawidłowo.

Wpływ funkcji i możliwe obejścia

Zablokowanie domeny domyślnej spowoduje wyłączenie niektórych funkcji, które od niej zależą. Można jednak zachować funkcjonalność funkcji opisanych w poniższej tabeli, konfigurując je przy użyciu niestandardowej domeny adresu URL.

Cecha Obejście
Uruchom teraz W centrum administracyjnym Microsoft Entra zaktualizuj adres URL używany w funkcji "Uruchom teraz" w przewodniku wprowadzającym oraz w okienku przepływu użytkownika, zastępując go swoją niestandardową domeną URL. W adresie URL przeglądarki zastąp {your_domain}.ciamlogin.com niestandardową domeną adresu URL {your_custom_URL_domain}/{your_tenant_ID}.
Przykłady na start Skonfiguruj przykłady w przewodniku wprowadzającym z twoją niestandardową domeną URL. Aby uzyskać szczegółowe instrukcje, zapoznaj się z dokumentacją dla każdego przykładu. Na przykład zobacz sekcję "Use custom URL domain" (Korzystanie z niestandardowej domeny adresu URL) w samouczku dotyczącym aplikacji jednostronicowejw witrynie Vanilla JavaScript.
Power Pages z identyfikatorem zewnętrznym W przypadku używania External ID w witrynie Power Pages, zaktualizuj ustawienia witryny z niestandardową domeną URL. Na stronie konfiguracji dostawcy tożsamości usługi Power Pages zastąp pole URL autorytetu, które zawiera {your_domain}.ciamlogin.com, przy użyciu niestandardowej domeny adresu URL {your_custom_URL_domain}/{your_tenant_ID}.
Usługa Azure App Service z identyfikatorem zewnętrznym Podczas korzystania z zewnętrznego identyfikatora w usłudze Azure App Serviceedytuj dostawcę tożsamości i zmień pole "Adres URL wystawcy" z {your_domain}.ciamlogin.com na swoją niestandardową domenę URL {your_custom_URL_domain}/{your_tenant_ID}.
Rozszerzenie programu Visual Studio Code W rozszerzeniu programu Visual Studio Code dodaj niestandardową domenę adresu URL do konfiguracji biblioteki MSAL aplikacji, aby aplikacja i funkcja "Uruchom teraz" działały prawidłowo. Zmień autorytet w pliku authconfig z {your_domain}.ciamlogin.com na {your_custom_URL_domain}/{your_tenant_ID}i dodaj znane autorytety z własną domeną URL.
Visual Studio z identyfikatorem zewnętrznym W pliku appsettings.json, dodaj niestandardową domenę adresu URL, a następnie identyfikator dzierżawcy, i dodaj znane autorytety z niestandardową domeną adresu URL.
Przykłady w usłudze GitHub Niektóre próbki, takie jak aplikacja OpenAI Chat z Microsoft Entra Authentication (Python), wymagają niestandardowej domeny URL. Podczas konfigurowania przykładowej aplikacji ustaw AZURE_AUTH_LOGIN_ENDPOINT na niestandardową domenę URL.

Następne kroki

Włącz niestandardowe domeny adresów URL dla Tożsamość zewnętrzna Microsoft Entra.