Partilhar via

Habilitar domínios de URL personalizados para aplicativos em locatários externos

  • Artigo

Aplica-se a:Círculo branco com um símbolo X cinzento.Locatários da força deCírculo verde com um símbolo de marca de verificação branco.trabalho Locatários externos (saiba mais)

Este artigo descreve como habilitar domínios de URL personalizados para aplicativos de ID Externa do Microsoft Entra em locatários externos. Um domínio de URL personalizado permite que você marque os pontos de extremidade de entrada do seu aplicativo com seu próprio domínio de URL personalizado em vez do nome de domínio padrão da Microsoft.

Pré-requisitos

Passo 1: Adicionar um nome de domínio personalizado ao seu inquilino

Quando você cria um locatário externo, ele vem com um nome de domínio inicial, <domainname.onmicrosoft.com>. Não pode alterar ou eliminar o nome de domínio inicial, mas pode adicionar o seu próprio nome de domínio personalizado. Para estas etapas, certifique-se de entrar na configuração do locatário externo no centro de administração do Microsoft Entra.

  1. Inicie sessão no centro de administração do Microsoft Entra como, pelo menos, Administrador de Nome de domínio.

  2. Escolha seu locatário externo : selecione o ícone Configurações no menu superior e alterne para seu locatário externo.

  3. Navegue até >domínio Nomes de domínio personalizados.

  4. Adicione o seu nome de domínio personalizado ao Microsoft Entra ID.

  5. Adicione suas informações de DNS ao registrador de domínios. Depois de adicionar o nome de domínio personalizado ao seu inquilino, crie um DNS TXT ou MX registo para o seu domínio. A criação deste registo DNS para o seu domínio verifica a propriedade do seu nome de domínio.

    Seguem-se exemplos de registos TXT para login.contoso.com e account.contoso.com:

    Nome (hostname) Type Dados
    início de sessão TXT MS=MS12345678
    conta TXT MS=MS87654321

    O registro TXT deve estar associado ao subdomínio ou nome de host do domínio (por exemplo, a parte de login do domínio contoso.com ). Se o nome de host estiver vazio ou @, o ID do Microsoft Entra não poderá verificar o nome de domínio personalizado que você adicionou.

    Gorjeta

    Pode gerir o seu nome de domínio personalizado com qualquer serviço DNS disponível publicamente, como a GoDaddy. Se você não tiver um servidor DNS, poderá usar a zona DNS do Azure ou domínios do Serviço de Aplicativo.

  6. Verifique o seu nome de domínio personalizado. Verifique cada subdomínio ou nome de host que você planeja usar. Por exemplo, para poder entrar com login.contoso.com e account.contoso.com, você precisa verificar ambos os subdomínios e não apenas o domínio de nível superior contoso.com.

    Importante

    Depois que o domínio for verificado, exclua o registro TXT DNS que você criou.

Passo 2: Associar o nome de domínio personalizado a um domínio de URL personalizado

Depois de adicionar e verificar o nome de domínio personalizado em seu locatário externo, associe o nome de domínio personalizado a um domínio de URL personalizado.

  1. Inicie sessão no centro de administração do Microsoft Entra.

  2. Escolha seu locatário externo : selecione o ícone Configurações no menu superior e alterne para seu locatário externo.

  3. Navegue até Identidade>Configurações>Nomes de domínio>Domínios de URL personalizados.

  4. Selecione Adicionar domínio url personalizado.

  5. No painel Adicionar domínio url personalizado, selecione o nome de domínio personalizado que você inseriu na Etapa 1.

    Captura de ecrã a mostrar o painel Adicionar domínio URL personalizado.

  6. Selecione Adicionar.

Passo 3: Criar uma nova instância do Azure Front Door

Siga estas etapas para criar uma porta frontal do Azure:

  1. Inicie sessão no portal do Azure.

  2. Escolha o locatário que contém sua assinatura do Azure Front Door: selecione o ícone Configurações no menu superior e alterne para o locatário que contém sua assinatura do Azure Front Door.

  3. Siga os passos em Criar perfil da Porta da Frente - Criação Rápida para criar uma Porta da Frente para o seu inquilino utilizando as seguintes definições. Deixe as configurações de política de Caching e WAF vazias.

    Key valor
    Subscrição Selecione a subscrição do Azure.
    Grupo de recursos Selecione um grupo de recursos existente ou crie um novo.
    Nome Dê ao seu perfil um nome como ciamazurefrontdoor.
    Escalão de serviço Selecione o nível Standard ou Premium. A camada padrão é a entrega de conteúdo otimizada. O nível Premium baseia-se no nível Standard e é focado na segurança. Consulte Comparação de camadas.
    Nome do ponto final Insira um nome globalmente exclusivo para seu ponto de extremidade, como ciamazurefrontdoor. O nome do host do ponto de extremidade é gerado automaticamente.
    Tipo de origem Selecione Custom.
    Nome do anfitrião de origem Introduzir <tenant-name>.ciamlogin.com. Substitua <tenant-name> pelo nome do seu inquilino, por exemplo contoso.ciamlogin.com.

  4. Depois que o recurso Azure Front Door for criado, selecione Visão geral e copie o nome do host do Ponto de Extremidade para uso em uma etapa posterior. Parece algo como ciamazurefrontdoor-ab123e.z01.azurefd.net.

  5. Verifique se o nome do host e o cabeçalho do host de origem da sua origem têm o mesmo valor:

    1. Em Configurações, selecione Grupos de origem.
    2. Selecione seu grupo de origem na lista, como default-origin-group.
    3. No painel direito, selecione o nome do host Origin, como contoso.ciamlogin.com.
    4. No painel Atualizar origem, atualize o nome do host e o cabeçalho do host Origin para que tenham o mesmo valor.

    Captura de tela mostrando os campos de cabeçalho do host name e origin.

Passo 4: Configurar o domínio de URL personalizado no Azure Front Door

Nesta etapa, você adiciona o domínio de URL personalizado registrado na Etapa 1 à sua Porta da Frente do Azure.

4.1. Criar um registo DNS CNAME

Para adicionar o domínio de URL personalizado, crie um registro de nome canônico (CNAME) com seu provedor de domínio. Um registro CNAME é um tipo de registro DNS que mapeia um nome de domínio de origem para um nome de domínio de destino (alias). Para o Azure Front Door, o nome de domínio de origem é seu nome de domínio de URL personalizado e o nome de domínio de destino é seu nome de host padrão da Front Door que você configurou na Etapa 2, por exemplo, ciamazurefrontdoor-ab123e.z01.azurefd.net.

Depois que o Front Door verifica o registro CNAME que você criou, o tráfego endereçado ao domínio de URL personalizado de origem (como login.contoso.com) é roteado para o host frontend padrão de destino especificado, como contoso-frontend.azurefd.net. Para obter mais informações, consulte Adicionar um domínio personalizado à sua porta da frente.

Para criar um registo CNAME para o domínio personalizado:

  1. Inicie sessão no Web site do fornecedor do domínio do seu domínio personalizado.

  2. Encontre a página de gestão dos registos DNS ao consultar a documentação do fornecedor ou ao procurar áreas do Web site com o nome Domain Name (Nome de domínio), DNS ou Name server management (Gestão de servidores de nomes).

  3. Crie uma entrada de registro CNAME para seu domínio de URL personalizado e preencha os campos conforme mostrado na tabela a seguir.

    Origem Type Destino
    <login.contoso.com> CNAME contoso-frontend.azurefd.net

    • Fonte: insira seu domínio de URL personalizado (por exemplo, login.contoso.com).

    • Type (Tipo): introduza CNAME.

    • Destino: Insira o host frontend padrão da Front Door que você cria na Etapa 2. Ele deve estar no seguinte formato: >, por exemplo, .contoso-frontend.azurefd.net

  4. Guardar as suas alterações.

4.2. Associe o domínio de URL personalizado à sua porta da frente

  1. Na página inicial do portal do Azure, procure e selecione o ciamazurefrontdoor recurso Azure Front Door para abri-lo.

  2. No menu à esquerda, em Configurações, selecione Domínios.

  3. Selecione Adicionar um domínio.

  4. Para Gerenciamento de DNS, selecione Todos os outros serviços DNS.

  5. Em Domínio personalizado, insira seu domínio personalizado, como login.contoso.com.

  6. Mantenha os outros valores como padrão e selecione Adicionar. Seu domínio personalizado é adicionado à lista.

  7. Em Estado de validação do domínio que acabou de adicionar, selecione Pendente. Um painel com informações de registro TXT é aberto.

    1. Inicie sessão no Web site do fornecedor do domínio do seu domínio personalizado.

    2. Encontre a página de gestão dos registos DNS ao consultar a documentação do fornecedor ou ao procurar áreas do Web site com o nome Domain Name (Nome de domínio), DNS ou Name server management (Gestão de servidores de nomes).

    3. Crie um novo registo TXT DNS e preencha os seguintes campos:

      • Nome: insira apenas a parte do subdomínio do _dnsauth.contoso.com, por exemplo _dnsauth
      • Tipo: TXT
      • Valor: Por exemplo, 75abc123t48y2qrtsz2bvk......

      Depois de adicionar o registo DNS TXT, o estado de Validação no recurso Front Door acabará por mudar de Pendente para Aprovado. Talvez seja necessário atualizar a página para ver a alteração.

  8. No portal do Azure, Em Associação de ponto de extremidade do domínio que você acabou de adicionar, selecione Não associado.

  9. Para Select endpoint, selecione o ponto de extremidade do nome do host na lista suspensa.

  10. Para a lista Selecionar rotas , selecione rota padrão e, em seguida, selecione Associar.

4.3. Ativar a rota

A rota padrão roteia o tráfego do cliente para a Porta da Frente do Azure. Em seguida, o Azure Front Door usa sua configuração para enviar o tráfego para o locatário externo. Para habilitar a rota padrão, siga estas etapas.

  1. Selecione Front Door manager.

  2. Para habilitar a rota padrão, primeiro expanda um ponto de extremidade da lista de pontos de extremidade no gerenciador Front Door. Em seguida, selecione a rota padrão.

  3. Marque a caixa de seleção Rota habilitada.

  4. Selecione Atualizar para salvar as alterações.

Testar os domínios de URL personalizados

  1. Inicie sessão no centro de administração do Microsoft Entra.

  2. Escolha seu locatário externo : selecione o ícone Configurações no menu superior e alterne para seu locatário externo.

  3. Em Identidades Externas, selecione Fluxos de usuário.

  4. Selecione um fluxo de usuário e, em seguida, selecione Executar fluxo de usuário.

  5. Em Aplicativo, selecione o aplicativo Web chamado webapp1 que você registrou anteriormente. O URL de resposta deve mostrar https://jwt.ms.

  6. Copie a URL em Executar ponto de extremidade de fluxo do usuário.

    Captura de tela mostrando a opção de fluxo de usuário de execução.

  7. Para simular um início de sessão com o seu domínio personalizado, abra um browser e utilize o URL que copiou. Substitua o domínio (<tenant-name.ciamlogin.com>) pelo seu domínio personalizado.

    Por exemplo, em vez de:

    https://contoso.ciamlogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login

    utilize:

    https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login

  8. Verifique se a página de início de sessão está carregada corretamente. Em seguida, inicie sessão com uma conta local.

Configurar a sua aplicação

Depois de configurar e testar o domínio de URL personalizado, atualize seus aplicativos para carregar uma URL com seu domínio de URL personalizado como o nome do host em vez do domínio padrão.

A integração de domínio de URL personalizada aplica-se a pontos de extremidade de autenticação que usam fluxos de usuário de ID externa para autenticar usuários. Esses pontos de extremidade têm o seguinte formato:

  • https://<custom-url-domain>/<tenant-name>/v2.0/.well-known/openid-configuration

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/authorize

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/token

Substituir:

  • custom-url-domain com seu domínio de URL personalizado
  • tenant-name com seu nome de locatário ou ID de locatário

Os metadados do provedor de serviços SAML podem se parecer com o exemplo a seguir:

https://custom-url-domain-name/tenant-name/Samlp/metadata

(Opcional) Usar a ID do locatário

Pode substituir o nome do inquilino externo no URL pelo GUID do ID do inquilino para remover todas as referências a "onmicrosoft.com" no URL. Você pode encontrar o GUID da ID do locatário na página Visão geral no portal do Azure ou no centro de administração do Microsoft Entra. Por exemplo, altere https://account.contosobank.co.uk/contosobank.onmicrosoft.com/ para https://account.contosobank.co.uk/<tenant-ID-GUID>/.

Se você optar por usar ID de locatário em vez de nome de locatário, certifique-se de atualizar os URIs de redirecionamento OAuth do provedor de identidade de acordo. Quando você usa sua ID de locatário em vez do nome do locatário, um URI de redirecionamento OAuth válido é semelhante ao exemplo a seguir:

https://login.contoso.com/00001111-aaaa-2222-bbbb-3333cccc4444/oauth2/authresp

(Opcional) Configuração avançada do Azure Front Door

Você pode usar a configuração avançada do Azure Front Door, como o Azure Web Application Firewall (WAF). O Azure WAF fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns.

Ao usar domínios personalizados, considere os seguintes pontos:

  • A política WAF deve ser a mesma camada que o perfil do Azure Front Door. Para obter mais informações sobre como criar uma política WAF para usar com o Azure Front Door, consulte Configurar a política WAF.
  • O recurso de regras gerenciadas do WAF não é oficialmente suportado, pois pode causar falsos positivos e impedir a passagem de solicitações legítimas, portanto, use apenas regras personalizadas do WAF se elas atenderem às suas necessidades.

(Opcional) Bloquear o domínio padrão

Depois de configurar domínios de URL personalizados, os utilizadores ainda poderão aceder ao nome de domínio padrão <nome do locatário>.ciamlogin.com. Você precisa bloquear o acesso ao domínio padrão para que os invasores não possam usá-lo para acessar seus aplicativos ou executar ataques distribuídos de negação de serviço (DDoS). Submeta um pedido de suporte para solicitar o bloqueio de acesso ao domínio padrão.

Atenção

Verifique se o domínio personalizado funciona corretamente antes de solicitar que o domínio padrão seja bloqueado. Depois que o domínio padrão for bloqueado, determinados recursos não funcionarão mais. Consulte Bloquear o domínio predefinido.

Resolução de Problemas

  • Página não encontrada mensagem. Quando tenta iniciar sessão com o domínio de URL personalizado, recebe uma mensagem de erro HTTP 404. Esse problema pode estar relacionado à configuração de DNS ou à configuração de back-end do Azure Front Door. Experimente os passos seguintes:

    • Certifique-se de que o domínio de URL personalizado está registado e verificado com êxito no seu inquilino.
    • Verifique se o domínio personalizado está configurado corretamente. O CNAME registro para seu domínio personalizado deve apontar para seu host frontend padrão do Azure Front Door (por exemplo, contoso-frontend.azurefd.net).

  • Nossos serviços não estão disponíveis no momento. Quando tenta iniciar sessão com o domínio de URL personalizado, recebe a mensagem de erro: Os nossos serviços não estão disponíveis neste momento. Estamos trabalhando para restaurar todos os serviços o mais rápido possível. Por favor, volte em breve. Esse problema pode estar relacionado à configuração de rota do Azure Front Door. Verifique o status da rota padrão. Se estiver desativado, ative a rota.

  • O recurso foi removido, alterou nomes ou está temporariamente indisponível. Quando tenta iniciar sessão com o domínio de URL personalizado, recebe a mensagem de erro que o recurso que procura foi removido, teve o seu nome alterado ou está temporariamente indisponível. Esse problema pode estar relacionado à verificação de domínio personalizado do Microsoft Entra. Certifique-se de que o domínio personalizado está registado e verificado com êxito no seu inquilino.

  • Código de erro 399265: RoutingFromInvalidHost. Esse código de erro aparece quando um locatário está fazendo uma solicitação de um domínio que não foi verificado. Certifique-se de adicionar detalhes do registro TXT em seus registros DNS. Em seguida, verifique seu nome de domínio personalizado novamente.

  • Código de erro 399280: InvalidCustomUrlDomain. Esse código de erro aparece quando um locatário está fazendo uma solicitação de um domínio verificado que não é um domínio de URL personalizado. Certifique-se de associar o nome de domínio personalizado a um domínio de URL personalizado.

Próximos passos

Veja todos os nossos guias e tutoriais de exemplo para criar aplicativos para ID Externa.