Поделиться через


Включение пользовательских доменов URL-адресов для приложений во внешних клиентах (предварительная версия)

Область применения: Белый круг с серым символом X. клиенты рабочей силы внешниеЗеленый круг с символом белой галочки. клиенты (дополнительные сведения)

В этой статье описывается, как включить пользовательские домены URL-адресов для Внешняя идентификация Microsoft Entra приложений во внешних клиентах. Домен пользовательского URL-адреса позволяет брендировать конечные точки входа приложения с помощью собственного домена пользовательского URL-адреса вместо доменного имени майкрософт по умолчанию.

Внимание

Эта функция в настоящее время доступна для предварительного ознакомления. Ознакомьтесь с условиями универсального лицензионного соглашения для веб-служб, которые применяются к функциям и службам Azure, которые находятся в бета-версии, предварительной версии или в противном случае недоступны.

Необходимые компоненты

Шаг 1. Добавление имени личного домена для арендатора

При создании внешнего клиента он поставляется с начальным доменным именем, <доменным именем.onmicrosoft.com>. Вы не можете изменить или удалить исходное доменное имя, но вы можете добавить собственное имя личного домена. Для выполнения этих действий обязательно войдите в конфигурацию внешнего клиента в Центре администрирования Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra, как минимум, в качестве Администратора доменных имен.

  2. Выберите внешний клиент: щелкните значок "Параметры" в верхнем меню и переключитесь на внешний клиент.

  3. Перейдите к доменным именам>параметров личных>доменных>имен.

  4. Добавьте имя личного домена в идентификатор Microsoft Entra.

  5. Настройка сведений о DNS в регистраторе доменных имен. После добавления имени личного домена в клиент создайте DNS TXT или MX запись для своего домена. Такая запись DNS создается для домена, чтобы подтвердить права владения доменным именем.

    Ниже приведены примеры записей TXT для login.contoso.com и account.contoso.com:

    Имя (имя узла) Тип Data
    Вход TXT MS=ms12345678
    организация TXT MS=ms87654321

    Запись TXT должна быть связана с поддоменом или именем узла домена (например, частью входа в домен contoso.com). Если имя узла пусто или @идентификатор Microsoft Entra не может проверить добавленное имя личного домена.

    Совет

    Вы можете управлять именем личного домена с помощью любой общедоступной службы DNS, например GoDaddy. Если у вас нет DNS-сервера, вы можете использовать зону Azure DNS или домены Службы приложений.

  6. Проверка имени личного домена. Проверьте каждое поддомен или имя узла, которые вы планируете использовать. Например, чтобы иметь возможность войти в систему по адресам login.contoso.com и account.contoso.com, необходимо проверить оба поддомена, а не только домен верхнего уровня contoso.com.

    Внимание

    После проверки домена удалите созданную запись типа TXT из DNS.

Шаг 2. Связывание имени личного домена с личным доменом URL-адреса

После добавления и проверки имени личного домена во внешнем клиенте свяжите имя личного домена с доменом личного URL-адреса.

  1. Войдите в центр администрирования Microsoft Entra.

  2. Выберите внешний клиент: щелкните значок "Параметры" в верхнем меню и переключитесь на внешний клиент.

  3. Перейдите к доменным доменам>>параметров личных>URL-адресов (предварительная версия).

  4. Выберите "Добавить личный URL-адрес".

  5. В области "Добавление личного URL-адреса" выберите имя личного домена, введенное на шаге 1.

    Снимок экрана: панель

  6. Выберите Добавить.

Шаг 3. Создание нового экземпляра Azure Front Door

Чтобы создать Azure Front Door, выполните следующие действия:

  1. Войдите на портал Azure.

  2. Выберите клиент, содержащий подписку Azure Front Door: выберите значок "Параметры " в верхнем меню, а затем перейдите в клиент, содержащий подписку Azure Front Door.

  3. Выполните действия, описанные в разделе "Создание профиля Front Door— быстрое создание Front Door для клиента" с помощью следующих параметров. Оставьте параметры политики кэширования и WAF пустыми.

    Ключ Значение
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите существующую группу ресурсов или создайте новую.
    Имя. Задайте имя профиля, например ciamazurefrontdoor.
    Уровень Выберите уровень "Стандартный" или "Премиум". Уровень "Стандартный" оптимизирован для доставки содержимого. Уровень "Премиум" основан на уровне "Стандартный" и ориентирован на безопасность. См. раздел Сравнение уровней.
    Имя конечной точки Введите уникальное на глобальном уровне имя вашей конечной точки, например, ciamazurefrontdoor. Имя узла конечной точки создается автоматически.
    Тип источника Выберите Custom.
    Имя узла источника Введите <tenant-name>.ciamlogin.com. Замените <tenant-name> именем клиента, например contoso.ciamlogin.com.
  4. После создания ресурса Azure Front Door выберите "Обзор" и скопируйте имя узла конечной точки для последующего использования. Оно будет выглядеть примерно так — ciamazurefrontdoor-ab123e.z01.azurefd.net.

  5. Убедитесь, что имя узла и заголовок узла источника имеют одинаковое значение:

    1. В разделе Параметры выберите Группы источников.
    2. Выберите группу источника из списка, например default-origin-group.
    3. На правой панели выберите свое имя узла источника, например contoso.ciamlogin.com.
    4. На панели Обновление источника обновите имя узла и заголовок узла источника, задав для них одинаковое значение.

    Снимок экрана: поля заголовка узла и источника.

Шаг 4. Настройка личного домена URL-адреса в Azure Front Door

На этом шаге вы добавите домен личного URL-адреса, зарегистрированный на шаге 1, в Azure Front Door.

4.1. Создание записи DNS CNAME

Чтобы добавить домен личного URL-адреса, создайте каноническое имя (CNAME) с поставщиком домена. Запись CNAME (псевдоним) — это тип записи DNS, позволяющий сопоставить исходное и целевое доменные имена. Для Azure Front Door исходное доменное имя — это имя личного URL-адреса, а целевое доменное имя — имя узла Front Door по умолчанию, настроенное на шаге 2, например ciamazurefrontdoor-ab123e.z01.azurefd.net.

После проверки созданной записи CNAME трафик, адресованный исходному домену пользовательского URL-адреса (например login.contoso.com, ) направляется на указанный узел contoso-frontend.azurefd.netвнешнего интерфейса Front Door по умолчанию. Дополнительные сведения см. в руководстве Добавление личного домена в Front Door.

Чтобы создать запись CNAME для личного домена, сделайте следующее.

  1. Войдите на веб-сайт поставщика своего личного домена.

  2. Найдите страницу для управления записями DNS. Для этого ознакомьтесь с документацией поставщика или поищите области веб-сайта, обозначенные как Доменное имя, DNS или Name Server Management (Управление сервером доменных имен).

  3. Создайте запись CNAME для личного домена URL-адреса и заполните поля, как показано в следующей таблице.

    Исходный код Тип Назначение
    <login.contoso.com> CNAME contoso-frontend.azurefd.net
    • Источник: введите личный ДОМЕН URL-адреса (например, login.contoso.com).

    • Тип. Введите CNAME.

    • Назначение. Введите узел переднего интерфейса Front Door по умолчанию, который вы создаете на шаге 2. Он должен быть в следующем формате: hostname.azurefd.net>, напримерcontoso-frontend.azurefd.net.<

  4. Сохранение изменений.

4.2. Связывание личного ДОМЕНА URL-адреса с Front Door

  1. На домашней странице портала Azure найдите и выберите ресурс Azure Front Door ciamazurefrontdoor, чтобы открыть его.

  2. В меню слева в разделе Параметры выберите Домены.

  3. Нажмите Добавить домен.

  4. Для Управления DNS выберите Все остальные службы DNS.

  5. Для Личного домена введите личный домен, например, login.contoso.com.

  6. Сохраните другие значения в качестве значений по умолчанию и нажмите кнопку Добавить. Личный домен добавляется в список.

  7. В разделе Состояние проверки домена, который вы только что добавили, выберите Ожидание. Откроется панель с информацией о записи TXT.

    1. Войдите на веб-сайт поставщика своего личного домена.

    2. Найдите страницу для управления записями DNS. Для этого ознакомьтесь с документацией поставщика или поищите области веб-сайта, обозначенные как Доменное имя, DNS или Name Server Management (Управление сервером доменных имен).

    3. Создайте запись DNS TXT и заполните следующие поля:

      • Имя: введите только часть _dnsauth.contoso.comподдомена, например _dnsauth
      • Тип: TXT
      • Значение: например, 75abc123t48y2qrtsz2bvk......

      После добавления записи DNS TXT состояние проверки в ресурсе Front Door в конечном итоге изменится с Ожидание на Утверждено. Чтобы увидеть изменение, может потребоваться обновить страницу.

  8. на портале Azure; В разделе Связь конечной точки только что добавленного домена, выберите опцию Не связана.

  9. В разделе Выбор конечной точки выберите конечную точку имени узла в раскрывающемся списке.

  10. В списке Выбор маршрутов выберите default-route (маршрут по умолчанию), а затем нажмите Связать.

4.3. Включение маршрута

default-route направляет трафик от клиента в Azure Front Door. Затем Azure Front Door использует конфигурацию для отправки трафика внешнему клиенту. Чтобы включить маршрут по умолчанию, выполните следующие действия.

  1. Выберите Диспетчер Front Door.

  2. Чтобы включить маршрут по умолчанию, сначала разверните конечную точку из списка конечных точек в диспетчере Front Door. Затем выберите default-route.

  3. Установите флажок "Включенный маршрут ".

  4. Для сохранения изменений нажмите Обновить.

Проверка личных доменов URL-адресов

  1. Войдите в центр администрирования Microsoft Entra.

  2. Выберите внешний клиент: щелкните значок "Параметры" в верхнем меню и переключитесь на внешний клиент.

  3. В разделе "Внешние удостоверения" выберите потоки пользователей.

  4. Выберите поток пользователя, а затем выберите Выполнение потока пользователя.

  5. В разделе Приложение выберите зарегистрированное ранее веб-приложение с именем webapp1. В поле URL-адрес ответа должно содержаться значение https://jwt.ms.

  6. Скопируйте URL-адрес в разделе Конечная точка выполнения потока пользователя.

    Снимок экрана: параметр запуска пользовательского потока.

  7. Чтобы сымитировать вход с использованием личного домена, откройте окно веб-браузера и вставьте в адресную строку скопированный URL-адрес. Замените домен (<имя> клиента.ciamlogin.com) личным доменом.

    Например, вместо:

    https://contoso.ciamlogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
    

    используйте:

    https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
    
  8. Убедитесь, что страница входа загружена правильно. Затем выполните вход с локальной учетной записью.

Настройка приложений

После настройки и тестирования личного домена URL-адреса обновите приложения, чтобы загрузить URL-адрес с доменом личного URL-адреса в качестве имени узла вместо домена по умолчанию.

Интеграция личного домена URL-адресов применяется к конечным точкам проверки подлинности, используюющим потоки пользователей внешнего идентификатора для проверки подлинности пользователей. Эти конечные точки имеют следующий формат:

  • https://<custom-url-domain>/<tenant-name>/v2.0/.well-known/openid-configuration

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/authorize

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/token

Замена:

  • пользовательский url-домен с доменом личного URL-адреса
  • tenant-name на свое имя клиента или его идентификатор

Метаданные поставщика услуг SAML могут выглядеть следующим образом:

https://custom-url-domain-name/tenant-name/Samlp/metadata

(Необязательно) Использование идентификатора клиента

Вы можете заменить имя внешнего клиента в URL-адресе ИДЕНТИФИКАТОРом клиента, чтобы удалить все ссылки на "onmicrosoft.com" в URL-адресе. Идентификатор клиента можно найти на странице обзора в портал Azure или Центре администрирования Microsoft Entra. Например, измените https://account.contosobank.co.uk/contosobank.onmicrosoft.com/ на https://account.contosobank.co.uk/<tenant-ID-GUID>/.

Если решено использовать идентификатор клиента вместо имени клиента, обязательно обновите URI перенаправления OAuth поставщика удостоверений оответствующим образом. При использовании идентификатора клиента вместо имени клиента допустимый URI перенаправления OAuth выглядит следующим образом:

https://login.contoso.com/00001111-aaaa-2222-bbbb-3333cccc4444/oauth2/authresp 

(Необязательно) Расширенная настройка Azure Front Door

Можно использовать расширенную конфигурацию Azure Front Door, например Брандмауэр веб-приложения (WAF). Azure WAF обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей.

При использовании личных доменов необходимо учитывать следующее:

  • Политика WAF должна быть того же уровня, что и профиль Azure Front Door. Дополнительные сведения о создании политики WAF для использования с Azure Front Door см. в статье Настройка политики WAF.
  • Функция управляемых правил WAF официально не поддерживается, так как она может привести к ложноположительным результатам и помешать передаче допустимых запросов, поэтому используйте настраиваемые правила WAF, только если они соответствуют вашим потребностям.

Устранение неполадок

  • Страница не найдена. При попытке войти с помощью личного домена URL-адреса вы получите сообщение об ошибке HTTP 404. Эта проблема может быть связана с конфигурацией DNS или конфигурацией серверной части Azure Front Door. Попробуйте сделать следующее.

    • Убедитесь, что личный ДОМЕН URL-адреса зарегистрирован и успешно проверен в клиенте.
    • Убедитесь, что личный домен настроен правильно. Запись CNAME для личного домена должна указывать на узел внешнего интерфейса Azure Front Door по умолчанию (например, contoso-frontend.azurefd.net).
  • Наши службы недоступны прямо сейчас. При попытке войти с помощью личного домена URL-адреса вы получите сообщение об ошибке: наши службы недоступны прямо сейчас. Мы работаем над восстановлением всех служб как можно скорее. Пожалуйста, проверьте в ближайшее время. Эта проблема может быть связана с конфигурацией маршрута Azure Front Door. Проверьте состояние маршрута по умолчанию. Если он отключен, включите маршрут.

  • Ресурс был удален, изменен или временно недоступен. При попытке войти с помощью личного домена URL-адреса вы получите сообщение об ошибке, которое вы ищете, удалены ресурсы, изменены его имя или временно недоступны. Эта проблема может быть связана с проверкой личного домена Microsoft Entra. Убедитесь, что личный домен зарегистрирован и успешно проверен в клиенте.

  • Код ошибки 399265: RoutingFromInvalidHost. Этот код ошибки появляется, когда клиент выполняет запрос из домена, который не проверен. Обязательно добавьте сведения о записи TXT в записи DNS. Затем снова проверьте имя личного домена.

  • Код ошибки 399280: InvalidCustomUrlDomain. Этот код ошибки появляется, когда клиент выполняет запрос из проверенного домена, который не является пользовательским доменом URL-адреса. Обязательно свяжите имя личного домена с доменом личного URL-адреса.

Следующие шаги

Ознакомьтесь со всеми нашими примерами руководств и учебниками по созданию приложений для внешнего идентификатора.