Włącz niestandardowe domeny URL dla aplikacji w zewnętrznych dzierżawach
Dotyczy: Dzierżawcy siły roboczej,
dzierżawcy zewnętrzni (dowiedz się więcej)
W tym artykule opisano, jak włączyć niestandardowe domeny URL dla aplikacji Microsoft Entra External ID w dzierżawach zewnętrznych. Niestandardowa domena adresu URL umożliwia znakowanie punktów końcowych logowania aplikacji przy użyciu własnej niestandardowej domeny adresu URL zamiast domyślnej nazwy domeny firmy Microsoft.
Wymagania wstępne
- Dowiedz się, jak działają niestandardowe domeny URL w identyfikatorze zewnętrznym.
- Jeśli jeszcze nie utworzono dzierżawy zewnętrznej, utwórz ją teraz.
- Utwórz przepływ użytkownika, aby użytkownicy mogli zarejestrować się i zalogować do aplikacji.
- Rejestrowanie aplikacji internetowej.
Krok 1. Dodawanie nazwy domeny niestandardowej do dzierżawy
Podczas tworzenia dzierżawy zewnętrznej jest ona dostarczana z początkową nazwą domeny domainname.onmicrosoft.com<>. Nie można zmienić ani usunąć początkowej nazwy domeny, ale możesz dodać własną niestandardową nazwę domeny. W przypadku tych kroków pamiętaj, aby zalogować się do konfiguracji dzierżawy zewnętrznej w centrum administracyjnym firmy Microsoft Entra.
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator nazwy domeny.
Wybierz dzierżawę zewnętrzną: wybierz ikonę Ustawienia w górnym menu, a następnie przejdź do dzierżawy zewnętrznej.
Przejdź do Identity>Settings>Domain names>Custom domain names.
Dodaj informacje DNS do rejestratora domen. Po dodaniu niestandardowej nazwy domeny do dzierżawy, utwórz zapis
TXT
lubMX
DNS dla domeny. Utworzenie tego rekordu DNS dla domeny weryfikuje własność nazwy domeny.Poniżej przedstawiono przykłady rekordów TXT dla login.contoso.com i account.contoso.com:
Nazwa (nazwa hosta) Typ Data Logowanie TXT MS=ms12345678 konto TXT MS=ms87654321 Rekord TXT musi być skojarzony z poddomeną lub nazwą hosta domeny (na przykład część logowania domeny contoso.com). Jeśli nazwa hosta jest pusta lub
@
, identyfikator Entra firmy Microsoft nie może zweryfikować dodanej niestandardowej nazwy domeny.Zweryfikuj niestandardową nazwę domeny. Sprawdź każdą poddomenę lub nazwę hosta, której planujesz użyć. Aby na przykład móc zalogować się przy użyciu login.contoso.com i account.contoso.com, należy zweryfikować obie poddomeny, a nie tylko contoso.com domeny najwyższego poziomu.
Ważne
Po zweryfikowaniu domeny usuń utworzony rekord TXT DNS.
Krok 2. Skojarzenie niestandardowej nazwy domeny z niestandardową domeną adresu URL
Po dodaniu i zweryfikowaniu niestandardowej nazwy domeny w zewnętrznej dzierżawie, skojarz ją z niestandardową domeną URL.
Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
Wybierz dzierżawę zewnętrzną: wybierz ikonę Ustawienia w górnym menu, a następnie przejdź do dzierżawy zewnętrznej.
Przejdź do Identity>Settings>Domain names>Custom URL domains.
Wybierz Dodaj niestandardową domenę URL.
W okienku Dodawanie niestandardowej domeny adresu URL wybierz niestandardową nazwę domeny wprowadzoną w kroku 1.
Wybierz Dodaj.
Krok 3: Utwórz nową instancję usługi Azure Front Door
Wykonaj następujące kroki, aby utworzyć usługę Azure Front Door:
Zaloguj się w witrynie Azure Portal.
Wybierz dzierżawę zawierającą subskrypcję usługi Azure Front Door: wybierz ikonę Ustawienia w górnym menu, a następnie przejdź do dzierżawy zawierającej subskrypcję usługi Azure Front Door.
Wykonaj kroki opisane w Tworzenie profilu Front Door — szybkie tworzenie, aby utworzyć profil Front Door dla najemcy przy użyciu następujących ustawień. Pozostaw puste ustawienia zasad buforowania i zapory aplikacji internetowej.
Klucz Wartość Subskrypcja Wybierz subskrypcję platformy Azure. Grupa zasobów Wybierz istniejącą grupę zasobów lub utwórz nową. Nazwisko Nadaj profilowi nazwę, taką jak ciamazurefrontdoor
.Warstwa Wybierz warstwę Standardowa lub Premium. Poziom standardowy jest zoptymalizowany pod kątem dostarczania zawartości. Warstwa Premium jest oparta na warstwie standardowej i koncentruje się na bezpieczeństwie. Zobacz Porównanie warstw. Nazwa punktu końcowego Wprowadź globalnie unikatową nazwę punktu końcowego, na przykład ciamazurefrontdoor
. Nazwa hosta punktu końcowego jest generowana automatycznie.Typ pochodzenia Wybierz opcję Custom
.Nazwa hosta pochodzenia Wprowadź <tenant-name>.ciamlogin.com
. Zamień<tenant-name>
na nazwę dzierżawcy, na przykładcontoso.ciamlogin.com
.Po utworzeniu zasobu usługi Azure Front Door wybierz pozycję Przegląd i skopiuj nazwę hosta punktu końcowego do użycia w późniejszym kroku. Wygląda to mniej więcej tak:
ciamazurefrontdoor-ab123e.z01.azurefd.net
.Upewnij się, że nazwa hosta i nagłówek hosta źródłowego mają taką samą wartość:
- W obszarze Ustawienia wybierz pozycję Grupy źródeł.
- Wybierz grupę pochodzenia z listy, taką jak default-origin-group.
- W okienku po prawej stronie wybierz nazwę hosta początkowego, taką jak
contoso.ciamlogin.com
. - W okienku Aktualizuj źródło zaktualizuj nazwę hosta i nagłówek hosta źródła, aby miały tę samą wartość.
Krok 4. Konfigurowanie niestandardowej domeny adresu URL w usłudze Azure Front Door
W tym kroku dodasz niestandardową domenę adresu URL zarejestrowaną w kroku 1 do usługi Azure Front Door.
4.1. Tworzenie rekordu CNAME usługi DNS
Aby dodać niestandardową domenę adresu URL, utwórz rekord nazwy kanonicznej (CNAME) u dostawcy domeny. Rekord CNAME jest typem rekordu DNS, który mapuje nazwę domeny źródłowej na docelową nazwę domeny (alias). W przypadku usługi Azure Front Door nazwa domeny źródłowej to niestandardowa nazwa domeny adresu URL, a docelowa nazwa domeny to domyślna nazwa hosta usługi Front Door skonfigurowana w kroku 2, na przykład ciamazurefrontdoor-ab123e.z01.azurefd.net
.
Gdy usługa Front Door zweryfikuje utworzony rekord CNAME, ruch skierowany do źródłowej domeny niestandardowego URL (na przykład login.contoso.com
) jest kierowany do określonego hosta docelowego frontonu usługi Front Door, takiego jak contoso-frontend.azurefd.net
. Aby uzyskać więcej informacji, zobacz dodawanie domeny niestandardowej do usługi Front Door.
Aby utworzyć rekord CNAME dla domeny niestandardowej:
Zaloguj się w witrynie internetowej dostawcy domeny niestandardowej.
Znajdź stronę zarządzania rekordami DNS, sprawdzając dokumentację dostawcy lub wyszukując obszary witryny internetowej z etykietą Nazwa domeny, DNS lub Zarządzanie serwerem nazw.
Utwórz wpis rekordu CNAME dla własnej domeny adresu URL i wypełnij pola, jak wskazano w poniższej tabeli.
Źródło Typ Cel <login.contoso.com>
CNAME contoso-frontend.azurefd.net
Źródło: wprowadź niestandardową domenę adresu URL (na przykład login.contoso.com).
Typ: wprowadź wartość CNAME.
Miejsce docelowe: wprowadź domyślny host frontonu usługi Front Door utworzony w kroku 2. Musi mieć następujący format: <hostname>.azurefd.net, na przykład
contoso-frontend.azurefd.net
.
Zapisz zmiany.
4.2. Powiąż niestandardową domenę adresu URL z usługą Front Door
Na stronie głównej portalu Azure wyszukaj i wybierz zasób usługi Azure Front Door, aby go otworzyć.
W menu po lewej stronie w obszarze Ustawienia wybierz pozycję Domeny.
Wybierz pozycję Dodaj domenę.
W obszarze Zarządzanie systemem DNS wybierz pozycję Wszystkie inne usługi DNS.
W polu Domena niestandardowa wprowadź domenę niestandardową, na przykład
login.contoso.com
.Zachowaj inne wartości jako wartości domyślne, a następnie wybierz pozycję Dodaj. Twoja niestandardowa domena jest dodana do listy.
W obszarze Stan weryfikacji właśnie dodanej domeny wybierz pozycję Oczekujące. Zostanie otwarte okienko z informacjami o rekordzie TXT.
Zaloguj się w witrynie internetowej dostawcy domeny niestandardowej.
Znajdź stronę zarządzania rekordami DNS, sprawdzając dokumentację dostawcy lub wyszukując obszary witryny internetowej z etykietą Nazwa domeny, DNS lub Zarządzanie serwerem nazw.
Utwórz nowy rekord DNS TXT i wypełnij następujące pola:
-
Nazwa: wprowadź tylko część poddomeny elementu
_dnsauth.contoso.com
, na przykład_dnsauth
-
Typ:
TXT
-
Wartość: na przykład
75abc123t48y2qrtsz2bvk......
Po dodaniu rekordu DNS TXT stan walidacji w zasobie usługi Front Door ostatecznie zmieni się z Oczekujące na Zatwierdzone. Może być konieczne odświeżenie strony, aby zobaczyć zmianę.
-
Nazwa: wprowadź tylko część poddomeny elementu
W witrynie Azure Portal Pod Skojarzeniem końcowym dla właśnie dodanej domeny wybierz Nieskojarzone.
W polu Wybierz punkt końcowy, wybierz nazwę hosta z listy rozwijanej.
W przypadku listy Wybierz trasy, wybierz default-route, a następnie kliknij na Skojarz.
4.3. Włącz trasę
Trasa domyślna kieruje ruch z klienta do usługi Azure Front Door. Następnie Azure Front Door korzysta z Twojej konfiguracji, aby przekierować ruch do dzierżawy zewnętrznej. Aby włączyć trasę domyślną, wykonaj następujące kroki.
Wybierz pozycję Menedżer usługi Front Door.
Aby włączyć trasędomyślną, najpierw rozwiń punkt końcowy z listy punktów końcowych w Menedżerze Front Door. Następnie wybierz trasę domyślną.
Zaznacz pole wyboru 'Aktywna trasa'.
Wybierz pozycję Aktualizuj, aby zapisać zmiany.
Testuj niestandardowe domeny URL
Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
Wybierz dzierżawę zewnętrzną: wybierz ikonę Ustawienia w górnym menu, a następnie przejdź do dzierżawy zewnętrznej.
W obszarze Zewnętrzne tożsamości wybierz pozycję Przepływy użytkowników.
Wybierz przepływ użytkownika, a następnie wybierz pozycję Uruchom przepływ użytkownika.
W polu Aplikacja wybierz aplikację internetową o nazwie webapp1 , która została wcześniej zarejestrowana. Adres URL odpowiedzi powinien zawierać wartość
https://jwt.ms
.Skopiuj adres URL w obszarze Uruchom punkt końcowy przepływu użytkownika.
Aby zasymulować logowanie przy użyciu domeny niestandardowej, otwórz przeglądarkę internetową i użyj skopiowanego adresu URL. Zastąp domenę (<nazwa-dzierżawy.ciamlogin.com>) domeną niestandardową.
Na przykład zamiast:
https://contoso.ciamlogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
Użyj:
https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
Sprawdź, czy strona logowania jest poprawnie załadowana. Następnie zaloguj się przy użyciu konta lokalnego.
Konfigurowanie aplikacji
Po skonfigurowaniu i przetestowaniu niestandardowej domeny URL, zaktualizuj aplikacje, aby ładowały adres URL, używając niestandardowej domeny jako nazwy hosta zamiast domyślnej domeny.
Integracja niestandardowego adresu URL ma zastosowanie do punktów końcowych uwierzytelniania, które używają przepływów użytkowników zewnętrznych Id do uwierzytelniania użytkowników. Te punkty końcowe mają następujący format:
https://<custom-url-domain>/<tenant-name>/v2.0/.well-known/openid-configuration
https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/authorize
https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/token
Zastąpić:
- niestandardowa domena URL z niestandardową domeną adresu URL
- nazwa-dzierżawy z nazwą dzierżawy lub identyfikatorem dzierżawy
Metadane dostawcy usług SAML mogą wyglądać podobnie do następującego przykładu:
https://custom-url-domain-name/tenant-name/Samlp/metadata
(Opcjonalnie) Użyj identyfikatora dzierżawy
Możesz zastąpić nazwę zewnętrznego dzierżawcy w adresie URL identyfikatorem GUID dzierżawy, aby usunąć wszystkie odwołania do "onmicrosoft.com" w adresie URL. Identyfikator GUID dzierżawy można znaleźć na stronie Przegląd w portalu Azure lub w centrum administracyjnym Microsoft Entra. Na przykład zmień wartość https://account.contosobank.co.uk/contosobank.onmicrosoft.com/
na https://account.contosobank.co.uk/<tenant-ID-GUID>/
.
Jeśli zdecydujesz się używać identyfikatora dzierżawy zamiast nazwy dzierżawy, pamiętaj, aby odpowiednio zaktualizować identyfikatory URI przekierowania OAuth dostawcy tożsamości. Jeśli używasz identyfikatora dzierżawy zamiast nazwy dzierżawy, prawidłowy adres przekierowania OAuth wygląda podobnie do poniższego przykładu:
https://login.contoso.com/00001111-aaaa-2222-bbbb-3333cccc4444/oauth2/authresp
(Opcjonalnie) Zaawansowana konfiguracja usługi Azure Front Door
Możesz użyć zaawansowanej konfiguracji usługi Azure Front Door, na przykład zapory aplikacji internetowej Azure. Zapora aplikacji internetowych platformy Azure scentralizowanie chroni aplikacje internetowe przed typowymi atakami i lukami w zabezpieczeniach.
W przypadku korzystania z domen niestandardowych należy wziąć pod uwagę następujące kwestie:
- Zasady zapory aplikacji internetowej muszą być na tej samej warstwie co profil usługi Azure Front Door. Aby uzyskać więcej informacji na temat tworzenia zasad zapory aplikacji internetowej do użycia z Azure Front Door, zobacz Konfigurowanie zasad zapory aplikacji internetowej.
- Funkcja zarządzanych reguł WAF nie jest oficjalnie obsługiwana, ponieważ może powodować fałszywe alarmy i blokować legalne żądania, więc używaj niestandardowych reguł WAF tylko wtedy, gdy spełniają Twoje potrzeby.
(Opcjonalnie) Blokuj domenę domyślną
Po skonfigurowaniu niestandardowych domen URL użytkownicy nadal będą mogli uzyskać dostęp do domyślnej nazwy domeny <nazwa-dzierżawy>.ciamlogin.com. Należy zablokować dostęp do domeny domyślnej, aby osoby atakujące nie mogły ich używać do uzyskiwania dostępu do aplikacji ani uruchamiać rozproszonych ataków typu "odmowa usługi" (DDoS). Prześlij bilet pomocy technicznej, aby zażądać blokowania dostępu do domeny domyślnej.
Ostrożność
Przed żądaniem zablokowania domeny domyślnej upewnij się, że domena niestandardowa działa prawidłowo. Po zablokowaniu domeny domyślnej niektóre funkcje nie będą już działać. Zobacz Blokowanie domyślnej domeny.
Rozwiązywanie problemów
Komunikat "Nie znaleziono strony". Podczas próby zalogowania się przy użyciu niestandardowej domeny adresu URL zostanie wyświetlony komunikat o błędzie HTTP 404. Ten problem może być związany z konfiguracją DNS lub konfiguracją zaplecza usługi Azure Front Door. Spróbuj wykonać następujące kroki:
- Upewnij się, że domena niestandardowego adresu URL jest zarejestrowana i pomyślnie zweryfikowana w dzierżawie.
- Upewnij się, że domena niestandardowa jest poprawnie skonfigurowana. Rekord
CNAME
dla twojej niestandardowej domeny musi wskazywać na domyślnego frontend hosta usługi Azure Front Door (na przykład contoso-frontend.azurefd.net).
Wiadomość: Nasze usługi nie są teraz dostępne. Podczas próby zalogowania się przy użyciu niestandardowej domeny adresu URL zostanie wyświetlony komunikat o błędzie: Nasze usługi nie są teraz dostępne. Pracujemy nad jak najszybszym przywróceniem wszystkich usług. Sprawdź ponownie wkrótce. Ten problem może być związany z konfiguracją trasy usługi Azure Front Door. Sprawdź stan trasy domyślnej. Jeśli jest wyłączona, włącz trasę.
Zasób został usunięty, zmieniono nazwy lub jest tymczasowo niedostępny. Podczas próby zalogowania się przy użyciu niestandardowej domeny URL zostanie wyświetlony komunikat o błędzie: zasób, którego szukasz, został usunięty, jego nazwa została zmieniona lub jest tymczasowo niedostępny. Ten problem może być związany z weryfikacją domeny niestandardowej Microsoft Entra. Upewnij się, że domena niestandardowa jest zarejestrowana i pomyślnie zweryfikowana dla dzierżawcy.
Kod błędu 399265: RoutingFromInvalidHost. Kod błędu pojawia się, gdy właściciel dzierżawy wysyła żądanie z domeny, która nie została zweryfikowana. Pamiętaj, aby dodać szczegóły rekordu TXT w rekordach DNS. Następnie ponownie zweryfikuj własną nazwę domeny.
Kod błędu 399280: InvalidCustomUrlDomain. Ten kod błędu pojawia się, gdy dzierżawca wysyła żądanie ze zweryfikowanej domeny, która nie jest niestandardową domeną URL. Pamiętaj, aby skojarzyć niestandardową nazwę domeny z niestandardową domeną URL.
Następne kroki
Zobacz wszystkie nasze przykładowe przewodniki i samouczki dotyczące tworzenia aplikacji dla identyfikatora zewnętrznego.