Udostępnij za pośrednictwem


Włącz domeny niestandardowych adresów URL dla aplikacji w dzierżawach zewnętrznych

Dotyczy:Biały okrąg z szarym symbolem X.Dzierżawcy siły roboczej — dzierżawcy zewnętrzni Zielony okrąg z białym symbolem znacznika wyboru. (dowiedz się więcej)

W tym artykule opisano sposób włączania niestandardowych domen url dla aplikacji Tożsamość zewnętrzna Microsoft Entra w dzierżawach zewnętrznych. Niestandardowa domena adresu URL umożliwia znakowanie punktów końcowych logowania aplikacji przy użyciu własnej niestandardowej domeny adresu URL zamiast domyślnej nazwy domeny firmy Microsoft.

Wymagania wstępne

Krok 1. Dodawanie nazwy domeny niestandardowej do dzierżawy

Podczas tworzenia dzierżawy zewnętrznej jest ona dostarczana z początkową nazwą domeny domainname.onmicrosoft.com<>. Nie można zmienić ani usunąć początkowej nazwy domeny, ale możesz dodać własną niestandardową nazwę domeny. W przypadku tych kroków pamiętaj, aby zalogować się do konfiguracji dzierżawy zewnętrznej w centrum administracyjnym firmy Microsoft Entra.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator nazwy domeny.

  2. Wybierz dzierżawę zewnętrzną: wybierz ikonę Ustawienia w górnym menu, a następnie przejdź do dzierżawy zewnętrznej.

  3. Przejdź do pozycji Identity>Settings>Domain names Custom domain names (Nazwy>domen niestandardowych).

  4. Dodaj niestandardową nazwę domeny do identyfikatora entra firmy Microsoft.

  5. Dodaj informacje DNS do rejestratora domen. Po dodaniu niestandardowej nazwy domeny do dzierżawy utwórz TXT dns lub MX rekord dla domeny. Utworzenie tego rekordu DNS dla domeny weryfikuje własność nazwy domeny.

    Poniżej przedstawiono przykłady rekordów TXT dla login.contoso.com i account.contoso.com:

    Nazwa (nazwa hosta) Typ Data
    Nazwa logowania TXT MS=ms12345678
    account TXT MS=ms87654321

    Rekord TXT musi być skojarzony z poddomeną lub nazwą hosta domeny (na przykład część logowania domeny contoso.com). Jeśli nazwa hosta jest pusta lub @, identyfikator Entra firmy Microsoft nie może zweryfikować dodanej niestandardowej nazwy domeny.

    Napiwek

    Możesz zarządzać niestandardową nazwą domeny przy użyciu dowolnej publicznie dostępnej usługi DNS, takiej jak GoDaddy. Jeśli nie masz serwera DNS, możesz użyć strefy usługi Azure DNS lub domen usługi App Service.

  6. Zweryfikuj niestandardową nazwę domeny. Sprawdź każdą poddomenę lub nazwę hosta, której planujesz użyć. Aby na przykład móc zalogować się przy użyciu login.contoso.com i account.contoso.com, należy zweryfikować obie poddomeny, a nie tylko contoso.com domeny najwyższego poziomu.

    Ważne

    Po zweryfikowaniu domeny usuń utworzony rekord TXT DNS.

Krok 2. Skojarzenie niestandardowej nazwy domeny z niestandardową domeną adresu URL

Po dodaniu i zweryfikowaniu niestandardowej nazwy domeny w dzierżawie zewnętrznej skojarz niestandardową nazwę domeny z niestandardową domeną adresu URL.

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

  2. Wybierz dzierżawę zewnętrzną: wybierz ikonę Ustawienia w górnym menu, a następnie przejdź do dzierżawy zewnętrznej.

  3. Przejdź do Identity>Settings>Domain names>Custom URL domains.

  4. Wybierz pozycję Dodaj domenę niestandardowego adresu URL.

  5. W okienku Dodawanie niestandardowej domeny adresu URL wybierz niestandardową nazwę domeny wprowadzoną w kroku 1.

    Zrzut ekranu przedstawiający okienko Dodawanie niestandardowej domeny adresu URL.

  6. Wybierz Dodaj.

Krok 3. Tworzenie nowego wystąpienia usługi Azure Front Door

Wykonaj następujące kroki, aby utworzyć usługę Azure Front Door:

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz dzierżawę zawierającą subskrypcję usługi Azure Front Door: wybierz ikonę Ustawienia w górnym menu, a następnie przejdź do dzierżawy zawierającej subskrypcję usługi Azure Front Door.

  3. Wykonaj kroki opisane w artykule Tworzenie profilu usługi Front Door — szybkie tworzenie , aby utworzyć usługę Front Door dla dzierżawy przy użyciu następujących ustawień. Pozostaw puste ustawienia zasad buforowania i zapory aplikacji internetowej.

    Key Wartość
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Resource group Wybierz istniejącą grupę zasobów lub utwórz nową.
    Nazwisko Nadaj profilowi nazwę, taką jak ciamazurefrontdoor.
    Warstwa Wybierz warstwę Standardowa lub Premium. Warstwa Standardowa jest zoptymalizowana pod kątem dostarczania zawartości. Warstwa Premium jest oparta na warstwie Standardowa i koncentruje się na zabezpieczeniach. Zobacz Porównanie warstw.
    Nazwa punktu końcowego Wprowadź globalnie unikatową nazwę punktu końcowego, na przykład ciamazurefrontdoor. Nazwa hosta punktu końcowego jest generowana automatycznie.
    Typ rekordu początkowego Wybierz opcję Custom.
    Nazwa hosta pochodzenia Wprowadź <tenant-name>.ciamlogin.com. Zastąp <tenant-name> ciąg nazwą dzierżawy, na przykład contoso.ciamlogin.com.
  4. Po utworzeniu zasobu usługi Azure Front Door wybierz pozycję Przegląd i skopiuj nazwę hosta punktu końcowego do użycia w późniejszym kroku. Wygląda to mniej więcej tak: ciamazurefrontdoor-ab123e.z01.azurefd.net.

  5. Upewnij się, że nazwa hosta i nagłówek hosta źródła źródła mają taką samą wartość:

    1. W obszarze Ustawienia wybierz pozycję Grupy źródeł.
    2. Wybierz grupę pochodzenia z listy, taką jak default-origin-group.
    3. W okienku po prawej stronie wybierz nazwę hosta pochodzenia, taką jak contoso.ciamlogin.com.
    4. W okienku Aktualizuj źródło zaktualizuj nazwę hosta i nagłówek hosta źródła, aby mieć tę samą wartość.

    Zrzut ekranu przedstawiający pola nagłówka hosta i nagłówka hosta pochodzenia.

Krok 4. Konfigurowanie niestandardowej domeny adresu URL w usłudze Azure Front Door

W tym kroku dodasz niestandardową domenę adresu URL zarejestrowaną w kroku 1 do usługi Azure Front Door.

4.1. Tworzenie rekordu CNAME usługi DNS

Aby dodać niestandardową domenę adresu URL, utwórz rekord nazwy kanonicznej (CNAME) u dostawcy domeny. Rekord CNAME jest typem rekordu DNS, który mapuje nazwę domeny źródłowej na docelową nazwę domeny (alias). W przypadku usługi Azure Front Door nazwa domeny źródłowej to niestandardowa nazwa domeny adresu URL, a docelowa nazwa domeny to domyślna nazwa hosta usługi Front Door skonfigurowana w kroku 2, na przykład ciamazurefrontdoor-ab123e.z01.azurefd.net.

Gdy usługa Front Door zweryfikuje utworzony rekord CNAME, ruch skierowany do źródłowej domeny niestandardowego adresu URL (na przykład ) jest kierowany do określonego docelowego domyślnego hosta frontonu usługi Front Door, takiego jak login.contoso.comcontoso-frontend.azurefd.net. Aby uzyskać więcej informacji, zobacz dodawanie domeny niestandardowej do usługi Front Door.

Aby utworzyć rekord CNAME dla domeny niestandardowej:

  1. Zaloguj się w witrynie internetowej dostawcy domeny niestandardowej.

  2. Znajdź stronę zarządzania rekordami DNS, sprawdzając dokumentację dostawcy lub wyszukując obszary witryny internetowej z etykietą Nazwa domeny, DNS lub Zarządzanie serwerem nazw.

  3. Utwórz wpis rekordu CNAME dla niestandardowej domeny adresu URL i wypełnij pola, jak pokazano w poniższej tabeli.

    Źródło Typ Element docelowy
    <login.contoso.com> CNAME contoso-frontend.azurefd.net
    • Źródło: wprowadź niestandardową domenę adresu URL (na przykład login.contoso.com).

    • Typ: wprowadź wartość CNAME.

    • Miejsce docelowe: wprowadź domyślny host frontonu usługi Front Door utworzony w kroku 2. Musi mieć następujący format: >, na przykład .contoso-frontend.azurefd.net

  4. Zapisz zmiany.

4.2. Kojarzenie niestandardowej domeny adresu URL z usługą Front Door

  1. W witrynie Głównej witryny Azure Portal wyszukaj i wybierz ciamazurefrontdoor zasób usługi Azure Front Door, aby go otworzyć.

  2. W menu po lewej stronie w obszarze Ustawienia wybierz pozycję Domeny.

  3. Wybierz pozycję Dodaj domenę.

  4. W obszarze Zarządzanie systemem DNS wybierz pozycję Wszystkie inne usługi DNS.

  5. W polu Domena niestandardowa wprowadź domenę niestandardową, na przykład login.contoso.com.

  6. Zachowaj inne wartości jako wartości domyślne, a następnie wybierz pozycję Dodaj. Domena niestandardowa zostanie dodana do listy.

  7. W obszarze Stan weryfikacji właśnie dodanej domeny wybierz pozycję Oczekujące. Zostanie otwarte okienko z informacjami o rekordzie TXT.

    1. Zaloguj się w witrynie internetowej dostawcy domeny niestandardowej.

    2. Znajdź stronę zarządzania rekordami DNS, sprawdzając dokumentację dostawcy lub wyszukując obszary witryny internetowej z etykietą Nazwa domeny, DNS lub Zarządzanie serwerem nazw.

    3. Utwórz nowy rekord DNS TXT i wypełnij następujące pola:

      • Nazwa: wprowadź tylko część poddomeny elementu _dnsauth.contoso.com, na przykład _dnsauth
      • Typ: TXT
      • Wartość: na przykład 75abc123t48y2qrtsz2bvk......

      Po dodaniu rekordu DNS TXT stan walidacji w zasobie usługi Front Door ostatecznie zmieni się z Oczekujące na Zatwierdzone. Może być konieczne odświeżenie strony, aby zobaczyć zmianę.

  8. W witrynie Azure Portal W obszarze Skojarzenie punktu końcowego właśnie dodanej domeny wybierz pozycję Niezwiązane.

  9. W obszarze Wybierz punkt końcowy wybierz punkt końcowy nazwy hosta z listy rozwijanej.

  10. W obszarze Wybierz trasy wybierz pozycję default-route, a następnie wybierz pozycję Skojarz.

4.3. Włączanie trasy

Trasa domyślna kieruje ruch z klienta do usługi Azure Front Door. Następnie usługa Azure Front Door używa konfiguracji do wysyłania ruchu do dzierżawy zewnętrznej. Aby włączyć trasę domyślną, wykonaj następujące kroki.

  1. Wybierz pozycję Menedżer usługi Front Door.

  2. Aby włączyć trasę domyślną, najpierw rozwiń punkt końcowy z listy punktów końcowych w menedżerze usługi Front Door. Następnie wybierz trasę domyślną.

  3. Zaznacz pole wyboru Włączona trasa.

  4. Wybierz pozycję Aktualizuj, aby zapisać zmiany.

Testowanie domen niestandardowych adresów URL

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

  2. Wybierz dzierżawę zewnętrzną: wybierz ikonę Ustawienia w górnym menu, a następnie przejdź do dzierżawy zewnętrznej.

  3. W obszarze Tożsamości zewnętrzne wybierz pozycję Przepływy użytkownika.

  4. Wybierz przepływ użytkownika, a następnie wybierz pozycję Uruchom przepływ użytkownika.

  5. W polu Aplikacja wybierz aplikację internetową o nazwie webapp1 , która została wcześniej zarejestrowana. Adres URL odpowiedzi powinien zawierać wartość https://jwt.ms.

  6. Skopiuj adres URL w obszarze Uruchom punkt końcowy przepływu użytkownika.

    Zrzut ekranu przedstawiający opcję uruchamiania przepływu użytkownika.

  7. Aby zasymulować logowanie przy użyciu domeny niestandardowej, otwórz przeglądarkę internetową i użyj skopiowanego adresu URL. Zastąp domenę (<nazwa-dzierżawy.ciamlogin.com>) domeną niestandardową.

    Na przykład zamiast:

    https://contoso.ciamlogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
    

    Użyj programu:

    https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
    
  8. Sprawdź, czy strona logowania jest poprawnie załadowana. Następnie zaloguj się przy użyciu konta lokalnego.

Konfigurowanie aplikacji

Po skonfigurowaniu i przetestowaniu niestandardowej domeny adresu URL zaktualizuj aplikacje, aby załadować adres URL z niestandardową domeną adresu URL jako nazwą hosta zamiast domeny domyślnej.

Integracja domeny niestandardowej adresu URL ma zastosowanie do punktów końcowych uwierzytelniania, które używają przepływów użytkownika identyfikatora zewnętrznego do uwierzytelniania użytkowników. Te punkty końcowe mają następujący format:

  • https://<custom-url-domain>/<tenant-name>/v2.0/.well-known/openid-configuration

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/authorize

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/token

Wymiana:

  • domena niestandardowa url-domena z niestandardową domeną adresu URL
  • nazwa-dzierżawy z nazwą dzierżawy lub identyfikatorem dzierżawy

Metadane dostawcy usług SAML mogą wyglądać podobnie do następującego przykładu:

https://custom-url-domain-name/tenant-name/Samlp/metadata

(Opcjonalnie) Użyj identyfikatora dzierżawy

Możesz zastąpić zewnętrzną nazwę dzierżawy w adresie URL identyfikatorem GUID dzierżawy, aby usunąć wszystkie odwołania do "onmicrosoft.com" w adresie URL. Identyfikator GUID identyfikatora dzierżawy można znaleźć na stronie Przegląd w witrynie Azure Portal lub w centrum administracyjnym firmy Microsoft Entra. Na przykład zmień wartość https://account.contosobank.co.uk/contosobank.onmicrosoft.com/ na https://account.contosobank.co.uk/<tenant-ID-GUID>/.

Jeśli zdecydujesz się używać identyfikatora dzierżawy zamiast nazwy dzierżawy, pamiętaj, aby odpowiednio zaktualizować identyfikatory URI przekierowania OAuth dostawcy tożsamości. Jeśli używasz identyfikatora dzierżawy zamiast nazwy dzierżawy, prawidłowy identyfikator URI przekierowania OAuth wygląda podobnie do następującego przykładu:

https://login.contoso.com/00001111-aaaa-2222-bbbb-3333cccc4444/oauth2/authresp 

(Opcjonalnie) Zaawansowana konfiguracja usługi Azure Front Door

Możesz użyć zaawansowanej konfiguracji usługi Azure Front Door, takiej jak zapora aplikacji internetowej platformy Azure. Zapora aplikacji internetowych platformy Azure zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach.

W przypadku korzystania z domen niestandardowych należy wziąć pod uwagę następujące kwestie:

  • Zasady zapory aplikacji internetowej muszą być tą samą warstwą co profil usługi Azure Front Door. Aby uzyskać więcej informacji na temat tworzenia zasad zapory aplikacji internetowej do użycia z usługą Azure Front Door, zobacz Konfigurowanie zasad zapory aplikacji internetowej.
  • Funkcja reguł zarządzanych przez zaporę aplikacji internetowej nie jest oficjalnie obsługiwana, ponieważ może powodować fałszywie dodatnie wyniki i uniemożliwiać przekazywanie uzasadnionych żądań, więc używaj reguł niestandardowych zapory aplikacji internetowej tylko wtedy, gdy spełniają Twoje potrzeby.

(Opcjonalnie) Blokuj domenę domyślną

Po skonfigurowaniu niestandardowych domen URL użytkownicy nadal będą mogli uzyskać dostęp do domyślnej nazwy domeny <nazwa-dzierżawy>.ciamlogin.com. Należy zablokować dostęp do domeny domyślnej, aby osoby atakujące nie mogły ich używać do uzyskiwania dostępu do aplikacji ani uruchamiać rozproszonych ataków typu "odmowa usługi" (DDoS). Prześlij bilet pomocy technicznej, aby zażądać blokowania dostępu do domeny domyślnej.

Ostrożność

Przed żądaniem zablokowania domeny domyślnej upewnij się, że domena niestandardowa działa prawidłowo. Po zablokowaniu domeny domyślnej niektóre funkcje nie będą już działać. Zobacz Blokowanie domyślnej domeny.

Rozwiązywanie problemów

  • Nie można odnaleźć komunikatu o stronie. Podczas próby zalogowania się przy użyciu niestandardowej domeny adresu URL zostanie wyświetlony komunikat o błędzie HTTP 404. Ten problem może być związany z konfiguracją DNS lub konfiguracją zaplecza usługi Azure Front Door. Spróbuj wykonać następujące kroki:

    • Upewnij się, że domena niestandardowego adresu URL jest zarejestrowana i pomyślnie zweryfikowana w dzierżawie.
    • Upewnij się, że domena niestandardowa jest poprawnie skonfigurowana. Rekord CNAME domeny niestandardowej musi wskazywać domyślnego hosta frontonu usługi Azure Front Door (na przykład contoso-frontend.azurefd.net).
  • Nasze usługi nie są teraz dostępne. Podczas próby zalogowania się przy użyciu niestandardowej domeny adresu URL zostanie wyświetlony komunikat o błędzie: Nasze usługi nie są teraz dostępne. Pracujemy nad jak najszybszym przywróceniem wszystkich usług. Sprawdź ponownie wkrótce. Ten problem może być związany z konfiguracją trasy usługi Azure Front Door. Sprawdź stan trasy domyślnej. Jeśli jest wyłączona, włącz trasę.

  • Zasób został usunięty, zmieniono nazwy lub jest tymczasowo niedostępny. Podczas próby zalogowania się przy użyciu domeny niestandardowego adresu URL zostanie wyświetlony komunikat o błędzie, którego szukasz, został usunięty, jego nazwa została zmieniona lub jest tymczasowo niedostępna. Ten problem może być związany z weryfikacją domeny niestandardowej firmy Microsoft Entra. Upewnij się, że domena niestandardowa jest zarejestrowana i pomyślnie zweryfikowana w dzierżawie.

  • Kod błędu 399265: RoutingFromInvalidHost. Ten kod błędu jest wyświetlany, gdy dzierżawa wysyła żądanie z domeny, która nie jest zweryfikowana. Pamiętaj, aby dodać szczegóły rekordu TXT w rekordach DNS. Następnie ponownie zweryfikuj niestandardową nazwę domeny.

  • Kod błędu 399280: InvalidCustomUrlDomain. Ten kod błędu pojawia się, gdy dzierżawa wysyła żądanie z zweryfikowanej domeny, która nie jest niestandardową domeną adresu URL. Pamiętaj, aby skojarzyć niestandardową nazwę domeny z niestandardową domeną adresu URL.

Następne kroki

Zobacz wszystkie nasze przykładowe przewodniki i samouczki dotyczące tworzenia aplikacji dla identyfikatora zewnętrznego.