Поделиться через


Домены пользовательского URL-адреса во внешних клиентах (предварительная версия)

Область применения: Белый круг с серым символом X. клиенты рабочей силы внешниеЗеленый круг с символом белой галочки. клиенты (дополнительные сведения)

Домен пользовательского URL-адреса позволяет брендировать конечные точки входа приложения с помощью собственного домена пользовательского URL-адреса вместо доменного имени майкрософт по умолчанию.

Внимание

Эта функция в настоящее время доступна для предварительного ознакомления. Ознакомьтесь с условиями универсального лицензионного соглашения для веб-служб, которые применяются к функциям и службам Azure, которые находятся в бета-версии, предварительной версии или в противном случае недоступны.

Снимок экрана: взаимодействие с пользователем пользовательского домена пользовательского URL-адреса внешнего идентификатора.

Использование проверенного личного URL-домена имеет несколько преимуществ:

  • Он обеспечивает более согласованный пользовательский интерфейс. С точки зрения пользователя они остаются в домене во время входа, а не перенаправляются на домен по умолчанию <имя> клиента.ciamlogin.com.
  • Вы снижаете влияние блокировки файлов cookie сторонних производителей, оставаясь в одном домене для приложения во время входа.

Совет

Попробуйте сейчас!

Чтобы попробовать эту функцию, перейдите в демонстрационную версию Woodgrove Groceries и запустите вариант использования "Имя личного домена".

Как работает личный домен URL-адреса

Домен личного URL-адреса позволяет использовать проверенные имена личного домена в качестве конечных точек проверки подлинности входа в приложения. При добавлении нового имени личного домена его можно связать с доменом личного URL-адреса. Затем обратная прокси-служба, например Azure Front Door, может использовать личный домен URL-адреса для прямого входа в приложение.

На следующей схеме показана интеграция с Azure Front Door.

Схема интеграции Azure Front Door с внешним идентификатором.

  1. В приложении пользователь выбирает кнопку входа, которая отправляет их на страницу входа. На этой странице указывается личный домен URL-адреса.
  2. Веб-браузер разрешает личный URL-адрес в IP-адрес Azure Front Door. Во время разрешения системы доменных имен (DNS) каноническое имя (CNAME) с доменом пользовательского URL-адреса указывает на узел внешнего интерфейса Front Door по умолчанию (например, contoso-frontend.azurefd.net).
  3. Трафик, адресованный пользовательскому домену URL-адреса (например, login.contoso.com), направляется на указанный внешний узелcontoso-frontend.azurefd.net Front Door по умолчанию.
  4. Azure Front Door вызывает содержимое <tenant-name>.ciamlogin.com с помощью домена по умолчанию. Запрос к конечной точке включает исходный личный URL-адрес.
  5. Внешний идентификатор отвечает на запрос личного URL-адреса, отображая соответствующее содержимое и исходный личный URL-адрес.

Azure Front Door передает исходный IP-адрес пользователя, который является IP-адресом, который отображается в отчете аудита.

Внимание

Если клиент отправляет заголовок в Azure Front Door, внешний x-forwarded-for идентификатор будет использовать источник x-forwarded-for в качестве IP-адреса пользователя для оценки условного доступа и сопоставителя утверждений {Context:IPAddress} .

Рекомендации и ограничения

При использовании доменов настраиваемых URL-адресов:

  • Можно настроить несколько личных доменов. Максимальное количество поддерживаемых пользовательских доменов см. в разделе об ограничениях и ограничениях службы Microsoft Entra для Microsoft Entra, а также для подписки Azure и ограничений служб, квот и ограничений для Azure Front Door.
  • Вы можете использовать Azure Front Door, которая является отдельной службой Azure, которая взимает дополнительные расходы. Дополнительные сведения см. в статье Цены на Azure Front Door. Экземпляр Azure Front Door можно разместить в подписке, отличной от внешнего клиента.
  • После настройки пользовательских доменов URL-адресов пользователи по-прежнему смогут получить доступ к имени клиента-имени> домена <по умолчанию.ciamlogin.com.
  • Если у вас несколько приложений, перенесите их все в домен личного URL-адреса, так как браузер хранит сеанс под доменным именем, используемым в данный момент.

Внимание

  • При подключении браузера к Azure Front Door всегда должен использоваться протокол IPv4, а не IPv6.
  • Домены личного URL-адреса в настоящее время не поддерживают поставщиков удостоверений социальных сетей. Пользователям, которые хотят зарегистрироваться или войти с помощью поставщика удостоверений социальных сетей, необходимо использовать конечную точку по умолчанию, <имя> клиента.ciamlogin.com вместо конечной точки личного домена URL-адреса.

Следующие шаги

Включите пользовательские домены URL-адресов для Внешняя идентификация Microsoft Entra.