Habilitar domínios de URL personalizados para aplicativos em locatários externos (versão prévia)
Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)
Este artigo descreve como habilitar domínios de URL personalizados para aplicativos de ID externa do Microsoft Entra em locatários externos. Um domínio de URL personalizado permite que você marque os pontos de extremidade de entrada do aplicativo com seu próprio domínio de URL personalizado em vez do nome de domínio padrão da Microsoft.
Importante
Esse recurso está atualmente na visualização. Consulte os Termos de Licença Universais para Serviços Online para obter os termos legais que se aplicam aos recursos e serviços do Azure que estão em versão beta, versão prévia ou não estão disponíveis de outra forma.
Pré-requisitos
- Saiba como os domínios de URL personalizados funcionam na ID Externa.
- Se você ainda não criou um locatário externo, crie um agora.
- Criar um fluxo do usuário para que os usuários podem se registrar e entrar no seu aplicativo.
- Registrar um aplicativo Web.
Etapa 1: adicionar um nome de domínio personalizado ao seu locatário
Quando você cria um locatário externo, ele vem com um nome de domínio inicial, <domainname>.onmicrosoft.com. Você não pode alterar ou excluir o nome de domínio inicial, mas pode adicionar seu próprio nome de domínio personalizado. Para estas etapas, certifique-se de entrar na configuração de locatário externo no centro de administração do Microsoft Entra.
Entre no centro de administração do Microsoft Entra como, pelo menos, um Administrador de Nomes de Domínio.
Escolha seu locatário externo: selecione o ícone Configurações no menu superior e alterne para o locatário externo.
Navegue até Identidade>Configurações>Nomes de domínio>Nomes de domínio personalizados.
Adicionar o nome de domínio personalizado ao Microsoft Entra ID.
Adicione suas informações de DNS ao registrador de domínios. Depois de adicionar seu nome de domínio personalizado ao seu locatário, crie um registro DNS
TXT
ouMX
para seu domínio. A criação desse registro DNS para o domínio verifica a propriedade do nome de domínio.Veja a seguir exemplos de registros TXT para login.contoso.com e account.contoso.com:
Nome (nome do host) Tipo Dados login TXT MS=ms12345678 account TXT MS=ms87654321 O registro TXT deve ser associado ao subdomínio ou nome do host do domínio (por exemplo, a parte de logon do domínio contoso.com). Se o nome do host estiver vazio ou
@
, o Microsoft Entra ID não poderá verificar o nome de domínio personalizado que você adicionou.Dica
Você pode gerenciar seu nome de domínio personalizado com qualquer serviço DNS disponível publicamente, como o GoDaddy. Se você não tiver um servidor DNS, poderá usar a zona DNS do Azureou domínios do Serviço de Aplicativo.
Verifique seu nome de domínio personalizado. Verifique cada subdomínio ou nome do host que você planeja usar. Por exemplo, para poder entrar com login.contoso.com e account.contoso.com, você precisa verificar ambos os subdomínios, e não apenas o domínio primário contoso.com.
Importante
Depois que o domínio for verificado, exclua o registro TXT do DNS que você criou.
Etapa 2: Associar o nome de domínio personalizado a um domínio de URL personalizado
Depois de adicionar e verificar o nome de domínio personalizado em seu locatário externo, associe o nome de domínio personalizado a um domínio de URL personalizado.
Escolha seu locatário externo: selecione o ícone Configurações no menu superior e alterne para o locatário externo.
Navegue até Identidade>Configurações>Nomes de domínio>Domínios de URL personalizados (Versão prévia).
Selecione Adicionar domínio de URL personalizado.
No painel Adicionar domínio de URL personalizado, selecione o nome de domínio personalizado inserido na Etapa 1.
Selecione Adicionar.
Etapa 3: criar uma nova instância do Azure Front Door
Siga estas etapas para criar um Azure Front Door:
Entre no portal do Azure.
Escolha o locatário que contém sua assinatura do Azure Front Door: selecione o ícone Configurações no menu superior e alterne para o locatário que contém sua assinatura do Azure Front Door.
Siga as etapas em Criar perfil do Front Door – Criação Rápida para criar um Front Door para seu locatário usando as seguintes configurações. Deixe as configurações de Cache e Política do WAF vazias.
Chave Valor Subscription Selecione sua assinatura do Azure. Resource group Selecione um grupo de recursos existente ou crie um. Nome Dê um nome ao perfil, como ciamazurefrontdoor
.Camada Selecione a camada Standard ou Premium. A camada Standard é otimizada para entrega de conteúdo. A camada Premium se baseia na camada Standard com o foco voltado para a segurança. Confira Comparação de camadas. Nome do ponto de extremidade Insira um nome exclusivo globalmente para o ponto de extremidade, como ciamazurefrontdoor
. O Nome do host do ponto de extremidade é gerado automaticamente.Tipo de origem Selecione Custom
.Nome do host de origem Digite <tenant-name>.ciamlogin.com
. Substitua<tenant-name>
pelo nome do seu locatário, por exemplocontoso.ciamlogin.com
.Depois que o recurso do Azure Front Door for criado, selecione Visão geral e copie o nome do host do Ponto de Extremidade para uso em uma etapa posterior. É algo semelhante a
ciamazurefrontdoor-ab123e.z01.azurefd.net
.Verifique se o nome do host e o cabeçalho do host de origem de sua origem têm o mesmo valor:
- Em Configurações, selecione Grupos de Origem.
- Selecione seu grupo de origem na lista, como default-origin-group.
- No painel direito, selecione o nome do host de origem, como
contoso.ciamlogin.com
. - No painel Atualizar origem, atualize o Nome do host e o Cabeçalho do host de origem para ter o mesmo valor.
Etapa 4: configurar seu domínio personalizado no Azure Front Door
Nesta etapa, você adicionará o domínio de URL personalizado registrado na Etapa 1 ao Azure Front Door.
4.1. Criar um registro DNS CNAME
Para adicionar o domínio de URL personalizado, crie um registro CNAME (nome canônico) com seu provedor de domínio. Um registro CNAME é um tipo de registro DNS que mapeia um nome de domínio de origem para um nome de domínio de destino (alias). Para o Azure Front Door, o nome de domínio de origem é o nome de domínio de URL personalizado e o nome de domínio de destino é o nome de host padrão do Front Door configurado na Etapa 2, por exemplo ciamazurefrontdoor-ab123e.z01.azurefd.net
.
Depois que o Front Door verifica o registro CNAME que você criou, o tráfego endereçado ao domínio de URL personalizado de origem (como login.contoso.com
) é roteado para o host de front-end padrão do Front Door de destino especificado, como contoso-frontend.azurefd.net
. Para saber mais, consulte adicionar um domínio personalizado ao Front Door.
Para criar um registro CNAME para seu domínio personalizado:
Entre no site do provedor de domínio relativo ao seu domínio personalizado.
Localize a página de gerenciamento de registros DNS consultando a documentação do provedor ou procurando áreas do site rotuladas como Nome de Domínio, DNS ou Gerenciamento do Servidor de Nome.
Crie uma entrada de registro CNAME para seu domínio de URL personalizado e conclua os campos, conforme mostrado na tabela a seguir.
Origem Type Destino <login.contoso.com>
CNAME contoso-frontend.azurefd.net
Origem: insira seu domínio de URL personalizado (por exemplo, login.contoso.com).
Tipo: Insira CNAME.
Destino: insira o host de front-end padrão do Front Door criado na Etapa 2. Ele deve estar no seguinte formato: <hostname>.azurefd.net, por exemplo,
contoso-frontend.azurefd.net
.
Salve suas alterações.
4.2. Associar o domínio de URL personalizado ao Front Door
Na página inicial do portal do Azure, procure e selecione o recurso do Azure Front Door
ciamazurefrontdoor
para abri-lo.No menu esquerdo, em Configurações, selecione Domínios.
Selecione Adicionar um domínio.
Para Gerenciamento de DNS, selecione Todos os outros serviços DNS.
Para Domínio personalizado, insira seu domínio personalizado, como
login.contoso.com
.Mantenha os outros valores como padrão e selecione Adicionar. Seu domínio personalizado é adicionado à lista.
Em Estado de validação do domínio que você acabou de adicionar, selecione Pendente. Um painel com informações de registro TXT é aberto.
Entre no site do provedor de domínio relativo ao seu domínio personalizado.
Localize a página de gerenciamento de registros DNS consultando a documentação do provedor ou procurando áreas do site rotuladas como Nome de Domínio, DNS ou Gerenciamento do Servidor de Nome.
Crie um novo registro DNS TXT e conclua os seguintes campos:
- Nome: insira apenas a parte de subdomínio de
_dnsauth.contoso.com
, por exemplo_dnsauth
- Tipo:
TXT
- Valor: por exemplo,
75abc123t48y2qrtsz2bvk......
Depois de adicionar o registro TXT DNS, o Estado da validação no recurso do Front Door eventualmente será alterado de Pendente para Aprovado. Talvez seja necessário atualizar a página para ver a alteração.
- Nome: insira apenas a parte de subdomínio de
No portal do Azure. Em Associação de ponto de extremidade do domínio que você acabou de adicionar, selecione Não associado.
Para Selecionar ponto de extremidade, selecione o ponto de extremidade nome do host na lista suspensa.
Para a lista Selecionar rotas, selecione rota padrão e Associar.
4.3. Habilitar a rota
A rota padrão roteia o tráfego do cliente para o Azure Front Door. Em seguida, o Azure Front Door usa sua configuração para enviar o tráfego para o locatário externo. Para habilitar a rota padrão, siga estas etapas.
Selecione Gerenciador do Front Door.
Para habilitar a rota padrão, primeiro expanda um ponto de extremidade da lista de pontos de extremidade no gerenciador do Front Door. Selecione a rota padrão.
Selecione a caixa de seleção rota habilitada.
Selecione Atualizar para salvar as alterações.
Testar seus domínios de URL personalizados
Escolha seu locatário externo: selecione o ícone Configurações no menu superior e alterne para o locatário externo.
Em Identidades Externas, selecione Fluxos de usuário.
Selecione um fluxo do usuário e, em seguida, selecione Executar fluxo do usuário.
Para Aplicativo, selecione o aplicativo Web denominado webapp1 que você registrou anteriormente. A URL de resposta deve mostrar
https://jwt.ms
.Copie a URL em Executar ponto de extremidade de fluxo de usuário.
Para simular uma entrada com o domínio personalizado, abra um navegador da Web e use a URL copiada. Substitua o domínio (<tenant-name>.ciamlogin.com) pelo domínio personalizado.
Por exemplo, em vez de:
https://contoso.ciamlogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
use:
https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
Verifique se a página de entrada está carregada corretamente. Entre com uma conta local.
Configurar seus aplicativos
Depois de configurar e testar o domínio de URL personalizado, atualize seus aplicativos para carregar uma URL com seu domínio de URL personalizado como o nome do host em vez do domínio padrão.
A integração de domínio de URL personalizada aplica-se a pontos de extremidade de autenticação que usam fluxos de usuário de ID externa para autenticar usuários. Esses pontos de extremidade têm o seguinte formato:
https://<custom-url-domain>/<tenant-name>/v2.0/.well-known/openid-configuration
https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/authorize
https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/token
Substitua:
- custom-url-domain com seu domínio de URL personalizado
- tenant-name pelo nome do locatário ou ID do locatário
Os metadados do provedor de serviços SAML podem ser semelhantes ao seguinte exemplo:
https://custom-url-domain-name/tenant-name/Samlp/metadata
(Opcional) Usar a ID do locatário
Você pode substituir o nome do locatário externo na URL pelo GUID da ID do locatário para remover todas as referências a "onmicrosoft.com" na URL. Você pode encontrar o GUID da ID do locatário na página Visão geral no portal do Azure ou no centro de administração do Microsoft Entra. Por exemplo, altere https://account.contosobank.co.uk/contosobank.onmicrosoft.com/
para https://account.contosobank.co.uk/<tenant-ID-GUID>/
.
Se você optar por usar a ID do locatário em vez do nome do locatário, certifique-se de atualizar os URIs de redirecionamento do OAuth do provedor de identidade corretamente. Quando você usa sua ID de locatário em vez do nome do locatário, um URI de redirecionamento OAuth válido é semelhante ao exemplo a seguir:
https://login.contoso.com/00001111-aaaa-2222-bbbb-3333cccc4444/oauth2/authresp
(Opcional) Configuração avançada do Azure Front Door
Você pode usar a configuração avançada do Azure Front Door, como WAF (Firewall de Aplicativo Web) do Azure. O Azure WAF fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns.
Ao usar domínios personalizados, considere os seguintes pontos:
- A política de WAF deve ser da mesma camada que o perfil do Azure Front Door. Para obter mais informações sobre como criar uma política de WAF a ser usada com o Azure Front Door, confira Configurar política de WAF.
- O recurso de regras gerenciadas do WAF não tem suporte oficial, pois pode causar falsos positivos e impedir a passagem de solicitações legítimas. Portanto, use apenas regras personalizadas do WAF se atenderem às suas necessidades.
Solução de problemas
Mensagem não encontrada na página. Ao tentar entrar com o domínio de URL personalizado, você recebe uma mensagem de erro HTTP 404. Esse problema pode estar relacionado à configuração de DNS ou à configuração de back-end do Azure Front Door. Experimente as etapas a seguir:
- Verifique se o domínio de URL personalizado está registrado e verificado com êxito em seu locatário.
- Verifique se o domínio personalizado está configurado corretamente. O registro
CNAME
do seu domínio personalizado deve apontar para o host de front-end padrão do Azure Front Door (por exemplo, contoso-frontend.azurefd.net).
Mensagem Nossos serviços não estão disponíveis no momento. Ao tentar entrar com o domínio de URL personalizado, você recebe a mensagem de erro: Nossos serviços não estão disponíveis no momento. Estamos trabalhando para restaurar todos os serviços o mais rápido possível. Verifique novamente em breve. Esse problema pode estar relacionado à configuração de rota do Azure Front Door. Verifique o status da rota padrão. Se estiver desabilitado, habilite a rota.
O recurso foi removido, alterou nomes ou está temporariamente indisponível. Ao tentar entrar com o domínio de URL personalizado, você recebe a mensagem de erro o recurso que está procurando foi removido, teve seu nome alterado ou está temporariamente indisponível. Esse problema pode estar relacionado à verificação de domínio personalizado do Microsoft Entra. Verifique se o domínio personalizado está registrado e verificado com êxito em seu locatário.
Código de erro 399265: RoutingFromInvalidHost. Esse código de erro é exibido quando um locatário está fazendo uma solicitação de um domínio que não é verificado. Certifique-se de adicionar detalhes do registro TXT em seus registros DNS. Em seguida, verifique o nome de domínio personalizado novamente.
Código de erro 399280: InvalidCustomUrlDomain. Esse código de erro aparece quando um locatário está fazendo solicitação de um domínio verificado que não é um domínio de URL personalizado. Certifique-se de associar o nome de domínio personalizado a um domínio de URL personalizado.
Próximas etapas
Consulte todos os nossos guias de exemplo e tutoriais para criar aplicativos para ID Externa.