Udostępnij za pośrednictwem


Włącz niestandardowe domeny URL dla aplikacji w zewnętrznych dzierżawach

Dotyczy: Biały okrąg z szarym symbolem X. Dzierżawcy siły roboczej, Zielony okrąg z białym symbolem znacznika wyboru. dzierżawcy zewnętrzni (dowiedz się więcej)

W tym artykule opisano, jak włączyć niestandardowe domeny URL dla aplikacji Microsoft Entra External ID w dzierżawach zewnętrznych. Niestandardowa domena adresu URL umożliwia znakowanie punktów końcowych logowania aplikacji przy użyciu własnej niestandardowej domeny adresu URL zamiast domyślnej nazwy domeny firmy Microsoft.

Wymagania wstępne

Krok 1. Dodawanie nazwy domeny niestandardowej do dzierżawy

Podczas tworzenia dzierżawy zewnętrznej jest ona dostarczana z początkową nazwą domeny domainname.onmicrosoft.com<>. Nie można zmienić ani usunąć początkowej nazwy domeny, ale możesz dodać własną niestandardową nazwę domeny. W przypadku tych kroków pamiętaj, aby zalogować się do konfiguracji dzierżawy zewnętrznej w centrum administracyjnym firmy Microsoft Entra.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator nazwy domeny.

  2. Wybierz dzierżawę zewnętrzną: wybierz ikonę Ustawienia w górnym menu, a następnie przejdź do dzierżawy zewnętrznej.

  3. Przejdź do Identity>Settings>Domain names>Custom domain names.

  4. Dodaj niestandardową nazwę domeny do Microsoft Entra ID.

  5. Dodaj informacje DNS do rejestratora domen. Po dodaniu niestandardowej nazwy domeny do dzierżawy, utwórz zapis TXT lub MX DNS dla domeny. Utworzenie tego rekordu DNS dla domeny weryfikuje własność nazwy domeny.

    Poniżej przedstawiono przykłady rekordów TXT dla login.contoso.com i account.contoso.com:

    Nazwa (nazwa hosta) Typ Data
    Logowanie TXT MS=ms12345678
    konto TXT MS=ms87654321

    Rekord TXT musi być skojarzony z poddomeną lub nazwą hosta domeny (na przykład część logowania domeny contoso.com). Jeśli nazwa hosta jest pusta lub @, identyfikator Entra firmy Microsoft nie może zweryfikować dodanej niestandardowej nazwy domeny.

    Napiwek

    Możesz zarządzać niestandardową nazwą domeny przy użyciu dowolnej publicznie dostępnej usługi DNS, takiej jak GoDaddy. Jeśli nie masz serwera DNS, możesz użyć strefy usługi Azure DNS lub domen usługi App Service.

  6. Zweryfikuj niestandardową nazwę domeny. Sprawdź każdą poddomenę lub nazwę hosta, której planujesz użyć. Aby na przykład móc zalogować się przy użyciu login.contoso.com i account.contoso.com, należy zweryfikować obie poddomeny, a nie tylko contoso.com domeny najwyższego poziomu.

    Ważne

    Po zweryfikowaniu domeny usuń utworzony rekord TXT DNS.

Krok 2. Skojarzenie niestandardowej nazwy domeny z niestandardową domeną adresu URL

Po dodaniu i zweryfikowaniu niestandardowej nazwy domeny w zewnętrznej dzierżawie, skojarz ją z niestandardową domeną URL.

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

  2. Wybierz dzierżawę zewnętrzną: wybierz ikonę Ustawienia w górnym menu, a następnie przejdź do dzierżawy zewnętrznej.

  3. Przejdź do Identity>Settings>Domain names>Custom URL domains.

  4. Wybierz Dodaj niestandardową domenę URL.

  5. W okienku Dodawanie niestandardowej domeny adresu URL wybierz niestandardową nazwę domeny wprowadzoną w kroku 1.

    Zrzut ekranu przedstawiający panel Dodaj niestandardową domenę URL.

  6. Wybierz Dodaj.

Krok 3: Utwórz nową instancję usługi Azure Front Door

Wykonaj następujące kroki, aby utworzyć usługę Azure Front Door:

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz dzierżawę zawierającą subskrypcję usługi Azure Front Door: wybierz ikonę Ustawienia w górnym menu, a następnie przejdź do dzierżawy zawierającej subskrypcję usługi Azure Front Door.

  3. Wykonaj kroki opisane w Tworzenie profilu Front Door — szybkie tworzenie, aby utworzyć profil Front Door dla najemcy przy użyciu następujących ustawień. Pozostaw puste ustawienia zasad buforowania i zapory aplikacji internetowej.

    Klucz Wartość
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Grupa zasobów Wybierz istniejącą grupę zasobów lub utwórz nową.
    Nazwisko Nadaj profilowi nazwę, taką jak ciamazurefrontdoor.
    Warstwa Wybierz warstwę Standardowa lub Premium. Poziom standardowy jest zoptymalizowany pod kątem dostarczania zawartości. Warstwa Premium jest oparta na warstwie standardowej i koncentruje się na bezpieczeństwie. Zobacz Porównanie warstw.
    Nazwa punktu końcowego Wprowadź globalnie unikatową nazwę punktu końcowego, na przykład ciamazurefrontdoor. Nazwa hosta punktu końcowego jest generowana automatycznie.
    Typ pochodzenia Wybierz opcję Custom.
    Nazwa hosta pochodzenia Wprowadź <tenant-name>.ciamlogin.com. Zamień <tenant-name> na nazwę dzierżawcy, na przykład contoso.ciamlogin.com.
  4. Po utworzeniu zasobu usługi Azure Front Door wybierz pozycję Przegląd i skopiuj nazwę hosta punktu końcowego do użycia w późniejszym kroku. Wygląda to mniej więcej tak: ciamazurefrontdoor-ab123e.z01.azurefd.net.

  5. Upewnij się, że nazwa hosta i nagłówek hosta źródłowego mają taką samą wartość:

    1. W obszarze Ustawienia wybierz pozycję Grupy źródeł.
    2. Wybierz grupę pochodzenia z listy, taką jak default-origin-group.
    3. W okienku po prawej stronie wybierz nazwę hosta początkowego, taką jak contoso.ciamlogin.com.
    4. W okienku Aktualizuj źródło zaktualizuj nazwę hosta i nagłówek hosta źródła, aby miały tę samą wartość.

    Zrzut ekranu przedstawiający pola nagłówka hosta i nagłówka hosta źródłowego.

Krok 4. Konfigurowanie niestandardowej domeny adresu URL w usłudze Azure Front Door

W tym kroku dodasz niestandardową domenę adresu URL zarejestrowaną w kroku 1 do usługi Azure Front Door.

4.1. Tworzenie rekordu CNAME usługi DNS

Aby dodać niestandardową domenę adresu URL, utwórz rekord nazwy kanonicznej (CNAME) u dostawcy domeny. Rekord CNAME jest typem rekordu DNS, który mapuje nazwę domeny źródłowej na docelową nazwę domeny (alias). W przypadku usługi Azure Front Door nazwa domeny źródłowej to niestandardowa nazwa domeny adresu URL, a docelowa nazwa domeny to domyślna nazwa hosta usługi Front Door skonfigurowana w kroku 2, na przykład ciamazurefrontdoor-ab123e.z01.azurefd.net.

Gdy usługa Front Door zweryfikuje utworzony rekord CNAME, ruch skierowany do źródłowej domeny niestandardowego URL (na przykład login.contoso.com) jest kierowany do określonego hosta docelowego frontonu usługi Front Door, takiego jak contoso-frontend.azurefd.net. Aby uzyskać więcej informacji, zobacz dodawanie domeny niestandardowej do usługi Front Door.

Aby utworzyć rekord CNAME dla domeny niestandardowej:

  1. Zaloguj się w witrynie internetowej dostawcy domeny niestandardowej.

  2. Znajdź stronę zarządzania rekordami DNS, sprawdzając dokumentację dostawcy lub wyszukując obszary witryny internetowej z etykietą Nazwa domeny, DNS lub Zarządzanie serwerem nazw.

  3. Utwórz wpis rekordu CNAME dla własnej domeny adresu URL i wypełnij pola, jak wskazano w poniższej tabeli.

    Źródło Typ Cel
    <login.contoso.com> CNAME contoso-frontend.azurefd.net
    • Źródło: wprowadź niestandardową domenę adresu URL (na przykład login.contoso.com).

    • Typ: wprowadź wartość CNAME.

    • Miejsce docelowe: wprowadź domyślny host frontonu usługi Front Door utworzony w kroku 2. Musi mieć następujący format: <hostname>.azurefd.net, na przykład contoso-frontend.azurefd.net.

  4. Zapisz zmiany.

4.2. Powiąż niestandardową domenę adresu URL z usługą Front Door

  1. Na stronie głównej portalu Azure wyszukaj i wybierz zasób usługi Azure Front Door, aby go otworzyć.

  2. W menu po lewej stronie w obszarze Ustawienia wybierz pozycję Domeny.

  3. Wybierz pozycję Dodaj domenę.

  4. W obszarze Zarządzanie systemem DNS wybierz pozycję Wszystkie inne usługi DNS.

  5. W polu Domena niestandardowa wprowadź domenę niestandardową, na przykład login.contoso.com.

  6. Zachowaj inne wartości jako wartości domyślne, a następnie wybierz pozycję Dodaj. Twoja niestandardowa domena jest dodana do listy.

  7. W obszarze Stan weryfikacji właśnie dodanej domeny wybierz pozycję Oczekujące. Zostanie otwarte okienko z informacjami o rekordzie TXT.

    1. Zaloguj się w witrynie internetowej dostawcy domeny niestandardowej.

    2. Znajdź stronę zarządzania rekordami DNS, sprawdzając dokumentację dostawcy lub wyszukując obszary witryny internetowej z etykietą Nazwa domeny, DNS lub Zarządzanie serwerem nazw.

    3. Utwórz nowy rekord DNS TXT i wypełnij następujące pola:

      • Nazwa: wprowadź tylko część poddomeny elementu _dnsauth.contoso.com, na przykład _dnsauth
      • Typ: TXT
      • Wartość: na przykład 75abc123t48y2qrtsz2bvk......

      Po dodaniu rekordu DNS TXT stan walidacji w zasobie usługi Front Door ostatecznie zmieni się z Oczekujące na Zatwierdzone. Może być konieczne odświeżenie strony, aby zobaczyć zmianę.

  8. W witrynie Azure Portal Pod Skojarzeniem końcowym dla właśnie dodanej domeny wybierz Nieskojarzone.

  9. W polu Wybierz punkt końcowy, wybierz nazwę hosta z listy rozwijanej.

  10. W przypadku listy Wybierz trasy, wybierz default-route, a następnie kliknij na Skojarz.

4.3. Włącz trasę

Trasa domyślna kieruje ruch z klienta do usługi Azure Front Door. Następnie Azure Front Door korzysta z Twojej konfiguracji, aby przekierować ruch do dzierżawy zewnętrznej. Aby włączyć trasę domyślną, wykonaj następujące kroki.

  1. Wybierz pozycję Menedżer usługi Front Door.

  2. Aby włączyć trasędomyślną, najpierw rozwiń punkt końcowy z listy punktów końcowych w Menedżerze Front Door. Następnie wybierz trasę domyślną.

  3. Zaznacz pole wyboru 'Aktywna trasa'.

  4. Wybierz pozycję Aktualizuj, aby zapisać zmiany.

Testuj niestandardowe domeny URL

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

  2. Wybierz dzierżawę zewnętrzną: wybierz ikonę Ustawienia w górnym menu, a następnie przejdź do dzierżawy zewnętrznej.

  3. W obszarze Zewnętrzne tożsamości wybierz pozycję Przepływy użytkowników.

  4. Wybierz przepływ użytkownika, a następnie wybierz pozycję Uruchom przepływ użytkownika.

  5. W polu Aplikacja wybierz aplikację internetową o nazwie webapp1 , która została wcześniej zarejestrowana. Adres URL odpowiedzi powinien zawierać wartość https://jwt.ms.

  6. Skopiuj adres URL w obszarze Uruchom punkt końcowy przepływu użytkownika.

    Zrzut ekranu przedstawiający opcję uruchamiania przepływu użytkownika.

  7. Aby zasymulować logowanie przy użyciu domeny niestandardowej, otwórz przeglądarkę internetową i użyj skopiowanego adresu URL. Zastąp domenę (<nazwa-dzierżawy.ciamlogin.com>) domeną niestandardową.

    Na przykład zamiast:

    https://contoso.ciamlogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
    

    Użyj:

    https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
    
  8. Sprawdź, czy strona logowania jest poprawnie załadowana. Następnie zaloguj się przy użyciu konta lokalnego.

Konfigurowanie aplikacji

Po skonfigurowaniu i przetestowaniu niestandardowej domeny URL, zaktualizuj aplikacje, aby ładowały adres URL, używając niestandardowej domeny jako nazwy hosta zamiast domyślnej domeny.

Integracja niestandardowego adresu URL ma zastosowanie do punktów końcowych uwierzytelniania, które używają przepływów użytkowników zewnętrznych Id do uwierzytelniania użytkowników. Te punkty końcowe mają następujący format:

  • https://<custom-url-domain>/<tenant-name>/v2.0/.well-known/openid-configuration

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/authorize

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/token

Zastąpić:

  • niestandardowa domena URL z niestandardową domeną adresu URL
  • nazwa-dzierżawy z nazwą dzierżawy lub identyfikatorem dzierżawy

Metadane dostawcy usług SAML mogą wyglądać podobnie do następującego przykładu:

https://custom-url-domain-name/tenant-name/Samlp/metadata

(Opcjonalnie) Użyj identyfikatora dzierżawy

Możesz zastąpić nazwę zewnętrznego dzierżawcy w adresie URL identyfikatorem GUID dzierżawy, aby usunąć wszystkie odwołania do "onmicrosoft.com" w adresie URL. Identyfikator GUID dzierżawy można znaleźć na stronie Przegląd w portalu Azure lub w centrum administracyjnym Microsoft Entra. Na przykład zmień wartość https://account.contosobank.co.uk/contosobank.onmicrosoft.com/ na https://account.contosobank.co.uk/<tenant-ID-GUID>/.

Jeśli zdecydujesz się używać identyfikatora dzierżawy zamiast nazwy dzierżawy, pamiętaj, aby odpowiednio zaktualizować identyfikatory URI przekierowania OAuth dostawcy tożsamości. Jeśli używasz identyfikatora dzierżawy zamiast nazwy dzierżawy, prawidłowy adres przekierowania OAuth wygląda podobnie do poniższego przykładu:

https://login.contoso.com/00001111-aaaa-2222-bbbb-3333cccc4444/oauth2/authresp 

(Opcjonalnie) Zaawansowana konfiguracja usługi Azure Front Door

Możesz użyć zaawansowanej konfiguracji usługi Azure Front Door, na przykład zapory aplikacji internetowej Azure. Zapora aplikacji internetowych platformy Azure scentralizowanie chroni aplikacje internetowe przed typowymi atakami i lukami w zabezpieczeniach.

W przypadku korzystania z domen niestandardowych należy wziąć pod uwagę następujące kwestie:

  • Zasady zapory aplikacji internetowej muszą być na tej samej warstwie co profil usługi Azure Front Door. Aby uzyskać więcej informacji na temat tworzenia zasad zapory aplikacji internetowej do użycia z Azure Front Door, zobacz Konfigurowanie zasad zapory aplikacji internetowej.
  • Funkcja zarządzanych reguł WAF nie jest oficjalnie obsługiwana, ponieważ może powodować fałszywe alarmy i blokować legalne żądania, więc używaj niestandardowych reguł WAF tylko wtedy, gdy spełniają Twoje potrzeby.

(Opcjonalnie) Blokuj domenę domyślną

Po skonfigurowaniu niestandardowych domen URL użytkownicy nadal będą mogli uzyskać dostęp do domyślnej nazwy domeny <nazwa-dzierżawy>.ciamlogin.com. Należy zablokować dostęp do domeny domyślnej, aby osoby atakujące nie mogły ich używać do uzyskiwania dostępu do aplikacji ani uruchamiać rozproszonych ataków typu "odmowa usługi" (DDoS). Prześlij bilet pomocy technicznej, aby zażądać blokowania dostępu do domeny domyślnej.

Ostrożność

Przed żądaniem zablokowania domeny domyślnej upewnij się, że domena niestandardowa działa prawidłowo. Po zablokowaniu domeny domyślnej niektóre funkcje nie będą już działać. Zobacz Blokowanie domyślnej domeny.

Rozwiązywanie problemów

  • Komunikat "Nie znaleziono strony". Podczas próby zalogowania się przy użyciu niestandardowej domeny adresu URL zostanie wyświetlony komunikat o błędzie HTTP 404. Ten problem może być związany z konfiguracją DNS lub konfiguracją zaplecza usługi Azure Front Door. Spróbuj wykonać następujące kroki:

    • Upewnij się, że domena niestandardowego adresu URL jest zarejestrowana i pomyślnie zweryfikowana w dzierżawie.
    • Upewnij się, że domena niestandardowa jest poprawnie skonfigurowana. Rekord CNAME dla twojej niestandardowej domeny musi wskazywać na domyślnego frontend hosta usługi Azure Front Door (na przykład contoso-frontend.azurefd.net).
  • Wiadomość: Nasze usługi nie są teraz dostępne. Podczas próby zalogowania się przy użyciu niestandardowej domeny adresu URL zostanie wyświetlony komunikat o błędzie: Nasze usługi nie są teraz dostępne. Pracujemy nad jak najszybszym przywróceniem wszystkich usług. Sprawdź ponownie wkrótce. Ten problem może być związany z konfiguracją trasy usługi Azure Front Door. Sprawdź stan trasy domyślnej. Jeśli jest wyłączona, włącz trasę.

  • Zasób został usunięty, zmieniono nazwy lub jest tymczasowo niedostępny. Podczas próby zalogowania się przy użyciu niestandardowej domeny URL zostanie wyświetlony komunikat o błędzie: zasób, którego szukasz, został usunięty, jego nazwa została zmieniona lub jest tymczasowo niedostępny. Ten problem może być związany z weryfikacją domeny niestandardowej Microsoft Entra. Upewnij się, że domena niestandardowa jest zarejestrowana i pomyślnie zweryfikowana dla dzierżawcy.

  • Kod błędu 399265: RoutingFromInvalidHost. Kod błędu pojawia się, gdy właściciel dzierżawy wysyła żądanie z domeny, która nie została zweryfikowana. Pamiętaj, aby dodać szczegóły rekordu TXT w rekordach DNS. Następnie ponownie zweryfikuj własną nazwę domeny.

  • Kod błędu 399280: InvalidCustomUrlDomain. Ten kod błędu pojawia się, gdy dzierżawca wysyła żądanie ze zweryfikowanej domeny, która nie jest niestandardową domeną URL. Pamiętaj, aby skojarzyć niestandardową nazwę domeny z niestandardową domeną URL.

Następne kroki

Zobacz wszystkie nasze przykładowe przewodniki i samouczki dotyczące tworzenia aplikacji dla identyfikatora zewnętrznego.