Compartilhar via

Domínios de URL personalizados em locatários externos

  • Artigo

Aplica-se a: Círculo branco com um símbolo X cinza. Locatários da força de trabalho Círculo verde com um símbolo de marca de seleção branco. Locatários externos (saiba mais)

Um domínio de URL personalizado permite que você marque os pontos de extremidade de entrada do aplicativo com seu próprio domínio de URL personalizado em vez do nome de domínio padrão da Microsoft.

A captura de tela demonstra a experiência do usuário com um domínio de URL personalizada de ID externa.

O uso de um domínio de URL personalizado verificado tem vários benefícios:

  • Ele fornece uma experiência de usuário mais consistente. Da perspectiva do usuário, ele permanece em seu domínio durante o processo de entrada em vez de redirecionar para o domínio padrão <nome-locatário>.ciamlogin.com.
  • Você atenua o efeito de bloqueio de cookies de terceiros mantendo-se no mesmo domínio de seu aplicativo durante o logon.

Dica

Teste agora

Para experimentar esse recurso, acesse a demonstração "Woodgrove Groceries" e inicie a funcionalidade "nome de domínio de URL personalizado".

Como funciona um domínio de URL personalizado

Um domínio personalizado de URL permite que você use seus nomes de domínio personalizados verificados como pontos finais de autenticação para o acesso dos seus aplicativos. Ao adicionar um novo nome de domínio de URL personalizado, você pode associá-lo a um domínio de URL personalizado. Em seguida, um serviço de proxy reverso, como o Azure Front Door, pode usar o domínio de URL personalizado para direcionar as entradas para seu aplicativo.

O diagrama a seguir ilustra a integração do Azure Front Door:

Diagrama mostrando a integração do Azure Front Door com a ID externa.

  1. Em um aplicativo, um usuário seleciona o botão de entrada, que o leva para a página de entrada. Esta página especifica um domínio de URL personalizado.
  2. O navegador da Web resolve o domínio de URL personalizado para o endereço IP do Azure Front Door. Durante a resolução do DNS (Sistema de Nomes de Domínio), um nome canônico (registro CNAME) com um domínio de URL personalizado aponta para o host de front-end padrão do Front Door (por exemplo, contoso-frontend.azurefd.net).
  3. O tráfego endereçado para o domínio de URL personalizado (por exemplo, login.contoso.com) é roteado para o host de front-end padrão do Front Door especificado (contoso-frontend.azurefd.net).
  4. O Azure Front Door invoca conteúdo usando o domínio padrão <tenant-name>.ciamlogin.com. A solicitação para o ponto de extremidade inclui o domínio de URL personalizado original.
  5. A ID externa responde à solicitação de domínio de URL personalizado exibindo o conteúdo relevante e o domínio de URL personalizado original.

O Azure Front Door passa o endereço IP original do usuário, que é o endereço IP que você vê no relatório de auditoria.

Importante

Se o cliente enviar um cabeçalho x-forwarded-for para o Azure Front Door, a ID externa usará o x-forwarded-for do originador como o endereço IP do usuário para a avaliação de acesso condicional e o resolvedor de declarações {Context:IPAddress}.

Considerações e limitações

Ao usar domínios de URL personalizados:

  • Você pode configurar vários domínios de URL personalizados. Para obter o número máximo de domínios de URL personalizados com suporte, consulte limites e restrições de serviço do Microsoft Entra para o Microsoft Entra e limites de assinatura e serviço do Azure, cotas e restrições para o Azure Front Door.
  • Você pode usar o Azure Front Door, que é um serviço separado do Azure que incorre em encargos extras. Para obter mais informações, consulte Preço do Front Door. Sua instância do Azure Front Door pode ser hospedada em uma assinatura diferente do locatário externo.
  • Se você tiver vários aplicativos, migre todos eles para o URL de domínio personalizado, pois o navegador armazena a sessão sob o nome de domínio que está sendo usado no momento.

Importante

  • Azure Front Door: a conexão do navegador com o Azure Front Door deve sempre usar IPv4 em vez de IPv6.
  • Provedores de identidade social: os domínios de URL personalizados dão suporte à Apple. No entanto, o Google e o Facebook não têm suporte no momento. Os usuários que desejam se inscrever ou entrar usando o Google ou o Facebook devem usar o ponto de extremidade padrão, <tenant-name>.ciamlogin.com, em vez do ponto de extremidade de domínio de URL personalizado.

Bloquear o domínio padrão

Para adicionar segurança, recomendamos bloquear o domínio padrão. Depois de configurar domínios de URL personalizados, os usuários ainda poderão acessar o nome de domínio padrão <nome-locatário>.ciamlogin.com. Você precisa bloquear o acesso ao domínio padrão para que os invasores não possam usá-lo para acessar seus aplicativos ou executar ataques de DDoS (negação de serviço distribuído). Para bloquear o acesso ao domínio padrão, abra um tíquete de suporte e envie uma solicitação.

Cuidado

Verifique se seu domínio de URL personalizado funciona corretamente antes de enviar uma solicitação para bloquear o domínio padrão.

Impacto do recurso e soluções alternativas

Bloquear o domínio padrão desabilitará determinados recursos que dependem dele. No entanto, você pode manter a funcionalidade para os recursos descritos na tabela a seguir configurando-os com seu domínio de URL personalizado.

Característica Solução alternativa
Executar agora No Centro de administração do Microsoft Entra, atualize a URL usada pelo recurso "Executar agora" no guia de introdução e no painel de fluxo do usuário com seu domínio de URL personalizado. Na URL do navegador, substitua {your_domain}.ciamlogin.com pelo domínio de URL personalizado {your_custom_URL_domain}/{your_tenant_ID}.
Exemplos para começar Configure os exemplos no guia de introdução com seu domínio de URL personalizado. Para obter instruções detalhadas, consulte a documentação de cada exemplo. Por exemplo, consulte a seção "Usar domínio de URL personalizado" no tutorial de aplicativo de página única do JavaScript Vanilla.
Power Pages com ID Externa Ao usar ID Externa com site do Power Pages, atualize as configurações do site com o domínio personalizado da URL. Na página de configuração do provedor de identidade do Power Pages, substitua o campo URL da Autoridade, que contém {your_domain}.ciamlogin.com, pelo domínio de URL personalizado {your_custom_URL_domain}/{your_tenant_ID}.
Serviço de Aplicativo do Azure com ID Externo Ao usar ID Externo com o Serviço de Aplicativo do Azure, edite o provedor de identidade e altere o campo URL do emissor de {your_domain}.ciamlogin.com para seu domínio de URL personalizado {your_custom_URL_domain}/{your_tenant_ID}.
Extensão do Visual Studio Code Em extensão do Visual Studio Code, adicione seu domínio de URL personalizado à configuração da MSAL do aplicativo para que o aplicativo e o recurso "Executar agora" funcionem corretamente. Altere a autoridade no arquivo authconfig de {your_domain}.ciamlogin.com para {your_custom_URL_domain}/{your_tenant_ID}e adicione as autoridades conhecidas ao seu domínio de URL personalizado.
Visual Studio com ID Externa No arquivo appsettings.json, adicione seu domínio de URL personalizado seguido pela ID do locatário e adicione as autoridades conhecidas ao seu domínio de URL personalizado.
Exemplos do GitHub Determinados exemplos, como Aplicativo de conversa OpenAI com autenticação do Microsoft Entra (Python), precisam de um domínio de URL personalizado. Ao configurar o exemplo, defina o AZURE_AUTH_LOGIN_ENDPOINT para o seu domínio de URL personalizado.

Próximas etapas

Habilite domínios de URL personalizados para a ID Externa do Microsoft Entra.