Własne domeny URL w dzierżawach zewnętrznych
Dotyczy:Dzierżawcy siły roboczej — dzierżawcy zewnętrzni (dowiedz się więcej)
Niestandardowa domena adresu URL umożliwia znakowanie punktów końcowych logowania aplikacji przy użyciu własnej niestandardowej domeny adresu URL zamiast domyślnej nazwy domeny firmy Microsoft.
Korzystanie ze zweryfikowanej niestandardowej domeny adresu URL ma kilka korzyści:
- Zapewnia bardziej spójne środowisko użytkownika. Z perspektywy użytkownika pozostają w domenie podczas procesu logowania zamiast przekierowywać do domyślnej domeny >.
- Zmniejszanie wpływu blokowania plików cookie innych firm przez pozostanie w tej samej domenie aplikacji podczas logowania.
Napiwek
Aby wypróbować tę funkcję, przejdź do wersji demonstracyjnej Woodgrove Groceries i uruchom scenariusz użycia "niestandardowa nazwa domeny URL".
Jak działa niestandardowa domena adresu URL
Niestandardowa domena adresu URL umożliwia używanie zweryfikowanych niestandardowych nazw domen adresu URL jako punktów końcowych uwierzytelniania logowania aplikacji. Po dodaniu nowej niestandardowej nazwy domeny adresu URL można ją skojarzyć z niestandardową domeną adresu URL. Następnie usługa zwrotnego serwera proxy, taka jak Azure Front Door, może użyć niestandardowej domeny adresu URL do kierowania logów do aplikacji.
Na poniższym diagramie przedstawiono integrację usługi Azure Front Door:
- W aplikacji użytkownik wybiera przycisk logowania, który powoduje przejście do strony logowania. Ta strona określa niestandardową domenę adresu URL.
- Przeglądarka internetowa rozpoznaje niestandardową domenę adresu URL na adres IP usługi Azure Front Door. Podczas rozpoznawania systemu nazw domen (DNS) rekord nazwy kanonicznej (CNAME) z niestandardowym adresem URL wskazuje domyślnego hosta frontonu usługi Front Door (na przykład
contoso-frontend.azurefd.net
). - Ruch adresowany do domeny niestandardowego adresu URL (na przykład
login.contoso.com
) jest kierowany do określonego domyślnego hosta frontonu usługi Front Door (contoso-frontend.azurefd.net
). - Usługa Azure Front Door wywołuje zawartość przy użyciu domeny domyślnej
<tenant-name>.ciamlogin.com
. Żądanie do punktu końcowego zawiera oryginalną niestandardową domenę adresu URL. - Identyfikator zewnętrzny odpowiada na żądanie domeny niestandardowej adresu URL, wyświetlając odpowiednią zawartość i oryginalną niestandardową domenę adresu URL.
Usługa Azure Front Door przekazuje oryginalny adres IP użytkownika, który jest adresem IP widocznym w raportowaniu inspekcji.
Ważne
Jeśli klient wyśle x-forwarded-for
nagłówek do usługi Azure Front Door, identyfikator zewnętrzny użyje identyfikatora źródłowego x-forwarded-for
jako adresu IP użytkownika do oceny dostępu warunkowego i {Context:IPAddress}
rozpoznawania oświadczeń.
Rozważania i ograniczenia
W przypadku korzystania z domen niestandardowych adresów URL:
- Można skonfigurować wiele domen niestandardowych adresów URL. Aby uzyskać informacje o maksymalnej liczbie obsługiwanych niestandardowych domen URL, zobacz limity i ograniczenia usługi Microsoft Entra oraz limity subskrypcji i usługi platformy Azure, przydziały i ograniczenia dla usługi Azure Front Door.
- Możesz użyć usługi Azure Front Door, która jest oddzielną usługą platformy Azure, która wiąże się z dodatkowymi opłatami. Aby uzyskać więcej informacji, zobacz Cennik usługi Front Door. Wystąpienie usługi Azure Front Door może być hostowane w innej subskrypcji niż dzierżawa zewnętrzna.
- Jeśli masz wiele aplikacji, zmigruj je wszystkie do domeny niestandardowego adresu URL, ponieważ przeglądarka przechowuje sesję pod nazwą domeny, która jest obecnie używana.
Ważne
- Azure Front Door: połączenie z przeglądarki do usługi Azure Front Door powinno zawsze używać protokołu IPv4 zamiast IPv6.
- Dostawcy tożsamości społecznościowych: własne domeny URL wspierają Apple. Jednak google i Facebook nie są obecnie obsługiwane. Użytkownicy, którzy chcą się zarejestrować lub zalogować przy użyciu usługi Google lub Facebook, muszą używać domyślnego punktu końcowego, <nazwy dzierżawy>.ciamlogin.com, zamiast niestandardowego punktu końcowego domeny adresu URL.
Blokowanie domeny domyślnej
W przypadku dodanych zabezpieczeń zalecamy zablokowanie domeny domyślnej. Po skonfigurowaniu niestandardowych domen url użytkownicy nadal będą mogli uzyskać dostęp do domyślnej nazwy >. Należy zablokować dostęp do domeny domyślnej, aby osoby atakujące nie mogły ich używać do uzyskiwania dostępu do aplikacji ani uruchamiać rozproszonych ataków typu "odmowa usługi" (DDoS). Aby zablokować dostęp do domeny domyślnej, otworzyć bilet pomocy technicznej i przesłać żądanie.
Ostrożność
Przed przesłaniem żądania zablokowania domeny domyślnej upewnij się, że domena niestandardowa działa prawidłowo.
Wpływ funkcji i możliwe obejścia
Zablokowanie domeny domyślnej spowoduje wyłączenie niektórych funkcji, które od niej zależą. Można jednak zachować funkcjonalność funkcji opisanych w poniższej tabeli, konfigurując je przy użyciu niestandardowej domeny adresu URL.
Cecha | Obejście |
---|---|
Uruchom teraz | W centrum administracyjnym Microsoft Entra zaktualizuj adres URL używany w funkcji "Uruchom teraz" w przewodniku wprowadzającym oraz w okienku przepływu użytkownika, zastępując go swoją niestandardową domeną URL. W adresie URL przeglądarki zastąp {your_domain}.ciamlogin.com niestandardową domeną adresu URL {your_custom_URL_domain}/{your_tenant_ID} . |
Przykłady na start | Skonfiguruj przykłady w przewodniku wprowadzającym z twoją niestandardową domeną URL. Aby uzyskać szczegółowe instrukcje, zapoznaj się z dokumentacją dla każdego przykładu. Na przykład zobacz sekcję "Use custom URL domain" (Korzystanie z niestandardowej domeny adresu URL) w samouczku dotyczącym aplikacji jednostronicowejw witrynie |
Power Pages z identyfikatorem zewnętrznym | W przypadku używania External ID w witrynie Power Pages, zaktualizuj ustawienia witryny z niestandardową domeną URL. Na stronie konfiguracji dostawcy tożsamości usługi Power Pages zastąp pole URL autorytetu, które zawiera {your_domain}.ciamlogin.com , przy użyciu niestandardowej domeny adresu URL {your_custom_URL_domain}/{your_tenant_ID} . |
Usługa Azure App Service z identyfikatorem zewnętrznym | Podczas korzystania z zewnętrznego identyfikatora w usłudze Azure App Serviceedytuj dostawcę tożsamości i zmień pole "Adres URL wystawcy" z {your_domain}.ciamlogin.com na swoją niestandardową domenę URL {your_custom_URL_domain}/{your_tenant_ID} . |
Rozszerzenie programu Visual Studio Code | W rozszerzeniu programu Visual Studio Code dodaj niestandardową domenę adresu URL do konfiguracji biblioteki MSAL aplikacji, aby aplikacja i funkcja "Uruchom teraz" działały prawidłowo. Zmień autorytet w pliku authconfig z {your_domain}.ciamlogin.com na {your_custom_URL_domain}/{your_tenant_ID} i dodaj znane autorytety z własną domeną URL. |
Visual Studio z identyfikatorem zewnętrznym | W pliku appsettings.json, dodaj niestandardową domenę adresu URL, a następnie identyfikator dzierżawcy, i dodaj znane autorytety z niestandardową domeną adresu URL. |
Przykłady w usłudze GitHub | Niektóre próbki, takie jak aplikacja OpenAI Chat z Microsoft Entra Authentication (Python), wymagają niestandardowej domeny URL. Podczas konfigurowania przykładowej aplikacji ustaw AZURE_AUTH_LOGIN_ENDPOINT na niestandardową domenę URL. |
Następne kroki
Włącz niestandardowe domeny adresów URL dla Tożsamość zewnętrzna Microsoft Entra.