Udostępnij za pośrednictwem

Własne domeny URL w dzierżawach zewnętrznych

  • Artykuł

Dotyczy:Biały okrąg z szarym symbolem X. Dzierżawcy zasobów ludzkich — Zielony okrąg z białym symbolem znacznika wyboru. dzierżawcy zewnętrzni (dowiedz się więcej)

Niestandardowa domena adresu URL umożliwia znakowanie punktów końcowych logowania aplikacji przy użyciu własnej niestandardowej domeny adresu URL zamiast domyślnej nazwy domeny firmy Microsoft.

Zrzut ekranu przedstawia środowisko użytkownika niestandardowej domeny URL identyfikatora zewnętrznego.

Korzystanie ze zweryfikowanej niestandardowej domeny adresu URL ma kilka korzyści:

  • Zapewnia bardziej spójne środowisko użytkownika. Z perspektywy użytkownika pozostają oni w Twojej domenie podczas procesu logowania, zamiast być przekierowywani do domyślnej domeny <tenant-name>.ciamlogin.com.
  • Zmniejszanie wpływu blokowania plików cookie innych firm przez pozostanie w tej samej domenie aplikacji podczas logowania.

Napiwek

Wypróbuj teraz

Aby wypróbować tę funkcję, przejdź do wersji demonstracyjnej Woodgrove Groceries i zacznij korzystać ze scenariusza użycia „niestandardowa nazwa domeny URL”.

Jak działa niestandardowa domena adresu URL

Niestandardowa domena adresu URL umożliwia używanie zweryfikowanych niestandardowych nazw domen adresu URL jako punktów końcowych uwierzytelniania logowania aplikacji. Po dodaniu nowej niestandardowej nazwy domeny adresu URL można ją skojarzyć z niestandardową domeną adresu URL. Następnie usługa zwrotnego serwera proxy, taka jak Azure Front Door, może użyć niestandardowej domeny adresu URL do kierowania logowania do Twojej aplikacji.

Na poniższym diagramie przedstawiono integrację usługi Azure Front Door:

Diagram przedstawiający integrację usługi Azure Front Door z identyfikatorem zewnętrznym.

  1. W aplikacji użytkownik wybiera przycisk logowania, który powoduje przejście do strony logowania. Ta strona określa niestandardową domenę adresu URL.
  2. Przeglądarka internetowa rozpoznaje niestandardową domenę adresu URL na adres IP usługi Azure Front Door. Podczas rozpoznawania Systemu Nazw Domen (DNS) rekord nazwy kanonicznej (CNAME) z niestandardową domeną URL wskazuje na domyślnego hosta frontowego usługi Front Door (na przykład contoso-frontend.azurefd.net).
  3. Ruch adresowany do domeny niestandardowego adresu URL (na przykład login.contoso.com) jest kierowany do określonego domyślnego hosta frontonu usługi Front Door (contoso-frontend.azurefd.net).
  4. Usługa Azure Front Door wywołuje zawartość przy użyciu domeny domyślnej <tenant-name>.ciamlogin.com . Żądanie do punktu końcowego zawiera oryginalną niestandardową domenę URL.
  5. Identyfikator zewnętrzny odpowiada na żądanie domeny niestandardowej adresu URL, wyświetlając odpowiednią zawartość i oryginalną niestandardową domenę adresu URL.

Usługa Azure Front Door przekazuje oryginalny adres IP użytkownika, który jest adresem IP widocznym w raportowaniu inspekcji.

Ważne

Jeśli klient wyśle x-forwarded-for nagłówek do usługi Azure Front Door, identyfikator zewnętrzny użyje identyfikatora źródłowego x-forwarded-for jako adresu IP użytkownika do oceny dostępu warunkowego i {Context:IPAddress} rozpoznawania oświadczeń.

Rozważania i ograniczenia

W przypadku korzystania z niestandardowych domen URL:

  • Można skonfigurować wiele domen niestandardowych adresów URL. Aby uzyskać informacje o maksymalnej liczbie obsługiwanych niestandardowych domen URL, zobacz limity i ograniczenia usługi Microsoft Entra oraz limity subskrypcji i usługi platformy Azure, przydziały i ograniczenia dla usługi Azure Front Door.
  • Możesz użyć usługi Azure Front Door, która jest oddzielną usługą platformy Azure, która wiąże się z dodatkowymi opłatami. Aby uzyskać więcej informacji, zobacz Cennik usługi Front Door. Twoja instancja Azure Front Door może być hostowana w innej subskrypcji niż zewnętrzny dzierżawca.
  • Jeśli masz wiele aplikacji, zmigruj je wszystkie do domeny niestandardowego adresu URL, ponieważ przeglądarka przechowuje sesję pod nazwą domeny, która jest obecnie używana.

Ważne

  • Azure Front Door: połączenie z przeglądarki do usługi Azure Front Door powinno zawsze używać protokołu IPv4 zamiast IPv6.
  • Dostawcy tożsamości społecznościowych: własne domeny URL wspierają Apple. Jednak google i Facebook nie są obecnie obsługiwane. Użytkownicy, którzy chcą się zarejestrować lub zalogować za pomocą Google lub Facebooka, muszą używać domyślnego punktu końcowego, <tenant-name>.ciamlogin.com, zamiast niestandardowego punktu końcowego adresu URL.

Blokowanie domeny domyślnej

W przypadku dodanych zabezpieczeń zalecamy zablokowanie domeny domyślnej. Po skonfigurowaniu niestandardowych domen URL, użytkownicy nadal będą mogli uzyskać dostęp do domyślnej nazwy domeny <tenant-name>.ciamlogin.com. Należy zablokować dostęp do domeny domyślnej, aby osoby atakujące nie mogły ich używać do uzyskiwania dostępu do aplikacji ani uruchamiać rozproszonych ataków typu "odmowa usługi" (DDoS). Aby zablokować dostęp do domeny domyślnej, otworzyć bilet pomocy technicznej i przesłać żądanie.

Ostrożność

Przed przesłaniem żądania zablokowania domeny domyślnej upewnij się, że domena niestandardowa działa prawidłowo.

Wpływ funkcji i możliwe obejścia

Zablokowanie domeny domyślnej spowoduje wyłączenie niektórych funkcji, które od niej zależą. Można jednak zachować funkcjonalność funkcji opisanych w poniższej tabeli, konfigurując je przy użyciu niestandardowej domeny adresu URL.

Cecha Obejście
Biegnij teraz W centrum administracyjnym Microsoft Entra zaktualizuj adres URL używany w funkcji "Uruchom teraz" w przewodniku wprowadzającym oraz w okienku przepływu użytkownika, zastępując go swoją niestandardową domeną URL. W adresie URL przeglądarki zastąp {your_domain}.ciamlogin.com niestandardową domeną adresu URL {your_custom_URL_domain}/{your_tenant_ID}.
Przykłady na start Skonfiguruj przykłady w przewodniku wprowadzającym z własną domeną URL. Aby uzyskać szczegółowe instrukcje, zapoznaj się z dokumentacją dla każdego przykładu. Na przykład zobacz sekcję „Użyj niestandardowej domeny URL” w samouczku dotyczącym aplikacji jednostronicowej w Vanilla JavaScript.
Power Pages z identyfikatorem zewnętrznym W przypadku używania External ID w witrynie Power Pages, zaktualizuj ustawienia witryny, korzystając z niestandardowej domeny URL. Na stronie konfiguracji dostawcy tożsamości usługi Power Pages zastąp pole URL autorytetu, które zawiera {your_domain}.ciamlogin.com, przy użyciu niestandardowej domeny adresu URL {your_custom_URL_domain}/{your_tenant_ID}.
Usługa Azure App Service z identyfikatorem zewnętrznym Podczas korzystania z zewnętrznego identyfikatora w usłudze Azure App Service, edytuj dostawcę tożsamości i zmień pole "Adres URL wystawcy" z {your_domain}.ciamlogin.com na swoją niestandardową domenę URL {your_custom_URL_domain}/{your_tenant_ID}.
Rozszerzenie programu Visual Studio Code W rozszerzeniu dla programu Visual Studio Code dodaj niestandardową domenę URL do konfiguracji biblioteki MSAL aplikacji, aby aplikacja i funkcja "Uruchom teraz" działały prawidłowo. Zmień autorytet w pliku authconfig z {your_domain}.ciamlogin.com na {your_custom_URL_domain}/{your_tenant_ID}i dodaj znane autorytety z własną domeną URL.
Visual Studio z identyfikatorem zewnętrznym W pliku appsettings.json dodaj własną niestandardową domenę adresu URL, a następnie identyfikator dzierżawcy, i dodaj znane urzędy za pomocą swojej niestandardowej domeny adresu URL.
Przykłady w usłudze GitHub Niektóre przykłady, takie jak aplikacja OpenAI Chat Application z uwierzytelnianiem Microsoft Entra (Python), wymagają własnej domeny URL. Podczas konfigurowania przykładowej aplikacji ustaw AZURE_AUTH_LOGIN_ENDPOINT na niestandardową domenę URL.

Następne kroki

Włącz niestandardowe domeny adresów URL dla Identyfikatora zewnętrznego Microsoft Entra.