Поделиться через

Домены пользовательского URL-адреса во внешних клиентах

  • Статья

Область применения: Белый круг с серым символом X. клиенты рабочей силы внешниеЗеленый круг с символом белой галочки.клиенты (дополнительные сведения)

Домен пользовательского URL-адреса позволяет брендировать конечные точки входа приложения с помощью собственного домена пользовательского URL-адреса вместо доменного имени майкрософт по умолчанию.

Снимок экрана: взаимодействие с пользователем пользовательского домена пользовательского URL-адреса внешнего идентификатора.

Использование проверенного личного URL-домена имеет несколько преимуществ:

  • Он обеспечивает более согласованный пользовательский интерфейс. С точки зрения пользователя они остаются в домене во время входа, а не перенаправляются на домен по умолчанию <имя> клиента.ciamlogin.com.
  • Вы снижаете влияние блокировки файлов cookie сторонних производителей, оставаясь в одном домене для приложения во время входа.

Совет

Попробуйте сейчас!

Чтобы попробовать эту функцию, перейдите в демонстрационную версию Woodgrove Groceries и запустите вариант использования "пользовательское доменное имя URL".

Как работает личный домен URL-адреса

Домен пользовательского URL позволяет использовать проверенные пользовательские доменные имена URL в качестве точек входа для аутентификации приложений. При добавлении нового имени домена для личного URL-адреса его можно ассоциировать с существующим доменом личного URL-адреса. Затем обратная прокси-служба, например Azure Front Door, может использовать личный домен URL-адреса для прямого входа в приложение.

На следующей схеме показана интеграция с Azure Front Door.

Схема интеграции Azure Front Door с внешним идентификатором.

  1. В приложении пользователь выбирает кнопку входа, которая отправляет их на страницу входа. На этой странице указывается личный домен URL-адреса.
  2. Веб-браузер разрешает личный URL-адрес в IP-адрес Azure Front Door. Во время разрешения системы доменных имен (DNS) каноническое имя (CNAME) с доменом пользовательского URL-адреса указывает на узел внешнего интерфейса Front Door по умолчанию (например, contoso-frontend.azurefd.net).
  3. Трафик, адресованный пользовательскому домену URL-адреса (например, login.contoso.com), направляется на указанный внешний узелcontoso-frontend.azurefd.net Front Door по умолчанию.
  4. Azure Front Door вызывает содержимое <tenant-name>.ciamlogin.com с помощью домена по умолчанию. Запрос к конечной точке включает исходный личный URL-адрес.
  5. Внешний идентификатор отвечает на запрос личного URL-адреса, отображая соответствующее содержимое и исходный личный URL-адрес.

Azure Front Door передает исходный IP-адрес пользователя, который является IP-адресом, который отображается в отчете аудита.

Внимание

Если клиент отправляет заголовок в Azure Front Door, внешний x-forwarded-for идентификатор будет использовать источник x-forwarded-for в качестве IP-адреса пользователя для оценки условного доступа и сопоставителя утверждений {Context:IPAddress} .

Рекомендации и ограничения

При использовании доменов настраиваемых URL-адресов:

  • Можно настроить несколько доменов пользовательского URL-адреса. Максимальное количество поддерживаемых пользовательских доменов URL-адресов см. в ограничениях и лимитах службы Microsoft Entra, а также в лимитах подписки и обслуживания Azure, квотах и ограничениях для Azure Front Door.
  • Вы можете использовать Azure Front Door, которая является отдельной службой Azure, которая взимает дополнительные расходы. Дополнительные сведения см. в статье Цены на Azure Front Door. Экземпляр Azure Front Door можно разместить в подписке, отличной от внешнего клиента.
  • Если у вас несколько приложений, перенесите их все в домен личного URL-адреса, так как браузер хранит сеанс под доменным именем, используемым в данный момент.

Внимание

  • Azure Front Door: подключение из браузера к Azure Front Door всегда должно использовать IPv4 вместо IPv6.
  • Поставщики удостоверений социальных сетей: домены пользовательских URL-адресов поддерживают Apple. Однако Google и Facebook в настоящее время не поддерживаются. Пользователи, которые хотят зарегистрироваться или войти с помощью Google или Facebook, должны использовать конечную точку по умолчанию, <имя клиента>.ciamlogin.com, а не конечную точку личного URL-адреса.

Блокировка домена по умолчанию

Для дополнительной безопасности рекомендуется блокировать домен по умолчанию. После настройки пользовательских доменов URL-адресов пользователи по-прежнему смогут получить доступ к имени клиента-имени< домена >по умолчанию.ciamlogin.com. Необходимо заблокировать доступ к домену по умолчанию, чтобы злоумышленники не могли использовать его для доступа к приложениям или запуска распределенных атак типа "отказ в обслуживании" (DDoS). Чтобы заблокировать доступ к домену по умолчанию, отправьте заявку в службу поддержки и сделайте запрос.

Осторожность

Перед отправкой запроса на блокировку домена по умолчанию убедитесь, что личный домен URL-адреса работает правильно.

Влияние функций и обходные пути

Блокировка домена по умолчанию отключает определенные функции, зависящие от него. Однако вы можете поддерживать функциональные возможности функций, описанных в следующей таблице, путем настройки их с помощью личного домена URL-адреса.

Особенность Обходное решение
Запустите сейчас В Центре администрирования Microsoft Entra обновите URL-адрес, используемый функцией "Запустить сейчас" в руководстве по началу работы и в панели управления потоком пользователей вашим пользовательским URL-доменом. В URL-адресе браузера замените {your_domain}.ciamlogin.com на домен вашего собственного URL {your_custom_URL_domain}/{your_tenant_ID}.
Примеры для начала Настройте примеры в руководстве по началу работы с вашим собственным доменом URL. Подробные инструкции см. в документации по каждому образцу. Например, см. раздел "Использовать пользовательский домен URL" в руководстве по Vanilla JavaScript для одностраничных приложений.
Power Pages с внешним идентификатором При использовании внешнего идентификатора с сайтом Power Pagesобновите параметры сайта на ваш пользовательский домен URL. На странице конфигурации поставщика удостоверений Power Pages замените поле URL-адреса органа удостоверений, которое содержит {your_domain}.ciamlogin.com, вашим пользовательским доменом URL {your_custom_URL_domain}/{your_tenant_ID}.
Служба приложений Azure с внешним идентификатором При использовании внешнего идентификатора со службой приложений Azureотредактируйте поставщика удостоверений и поменяйте поле URL издателя с {your_domain}.ciamlogin.com на собственный домен URL {your_custom_URL_domain}/{your_tenant_ID}.
Расширение Visual Studio Code В расширении Visual Studio Codeдобавьте пользовательский домен URL в конфигурацию MSAL приложения, чтобы приложение и функция "Запустить его сейчас" работали правильно. Поменяйте полномочия в файле authconfig с {your_domain}.ciamlogin.com на {your_custom_URL_domain}/{your_tenant_ID}и добавьте известные полномочия с вашим собственным URL-доменом.
Visual Studio с внешним идентификатором В файле appsettings.json добавьте настраиваемый домен URL-адреса, за которым следует идентификатор арендатора, и добавьте известные полномочия с вашим настраиваемым доменом URL-адреса.
Примеры GitHub Для некоторых примеров, таких как приложение OpenAI Chat спроверки подлинности Microsoft Entra Authentication (Python), требуется личный домен URL-адреса. При настройке примера установите AZURE_AUTH_LOGIN_ENDPOINT на настраиваемый домен URL.

Следующие шаги

Включите пользовательские домены URL-адресов для Внешняя идентификация Microsoft Entra.