外部租户中的自定义 URL 域(预览)
适用于:
员工租户 
外部租户(了解详细信息)
自定义 URL 域让你可以使用自定义 URL 域(而不是 Microsoft 的默认域名)对应用程序的登录终结点进行品牌打造。
重要
此功能目前以预览版提供。 有关适用于 beta 版本、预览版或尚未正式发布版本的 Azure 功能和服务的法律条款,请参阅联机服务的通用许可条款。
使用经过验证的自定义 URL 域有以下几个好处:
- 更统一的用户体验。 从用户角度来看,他们在登录过程中会留在你的域中,而不是被重定向到默认域 <tenant-name>.ciamlogin.com。
- 通过在登录期间使应用程序停留在同一域中,可以减轻第三方 Cookie 阻止的影响。
提示
若要试用此功能,请转到 Woodgrove Groceries 演示,并启动“自定义域名”用例。
自定义 URL 域的原理
使用自定义 URL 域,可以将已验证的自定义域名用作应用程序的登录身份验证终结点。 添加新的自定义域名时,可以将其与自定义 URL 域关联。 然后反向代理服务(例如 Azure Front Door)就可以使用自定义 URL 域导向应用程序的登录。
下图说明了 Azure Front Door 的集成方式:
- 用户在应用程序中选择“登录”按钮后将被转到登录页。 此页指定自定义 URL 域。
- Web 浏览器将自定义 URL 域解析到 Azure Front Door IP 地址。 在域名系统 (DNS) 解析过程中,一个带有自定义URL 域的规范名称 (CNAME) 记录将指向 Front Door 的默认前端主机(例如
contoso-frontend.azurefd.net)。 - 发至自定义 URL 域(例如
login.contoso.com)的流量将被路由到指定的 Front Door 默认前端主机 (contoso-frontend.azurefd.net)。 - Azure Front Door 使用
<tenant-name>.ciamlogin.com默认域调用内容。 对终结点的请求包含原始的自定义 URL 域。 - 外部 ID 通过显示相关内容和原始自定义 URL 域来响应请求。
Azure Front Door 传递用户的原始 IP 地址,即审核报告中看到的 IP 地址。
重要
如果客户端将 x-forwarded-for 标头发送到 Azure Front Door,外部 ID 则会将发起方的 x-forwarded-for 作为用户的 IP 地址用于条件访问评估和 {Context:IPAddress} 声明解析程序。
注意事项和限制
使用自定义 URL 域时:
- 可以设置多个自定义域。 有关支持的自定义域数上限,请参阅 Microsoft Entra 的 Microsoft Entra 服务限制和约束以及 Azure Front Door 的 Azure 订阅和服务限制、配额和约束。
- 可以使用 Azure Front Door,这是一项单独的 Azure 服务,会产生额外费用。 有关详细信息,请参阅 Front Door 定价。 Azure Front Door 实例可以托管在非外部租户的订阅中。
- 配置好自定义 URL 域后,用户仍能够访问默认域名<tenant-name>.ciamlogin.com。
- 如果有多个应用程序,请将它们全部迁移到自定义 URL 域,因为浏览器会在当前使用的域名下存储会话。
重要
- 从浏览器到 Azure Front Door 的连接应始终使用 IPv4,而不是 IPv6。
- 自定义 URL 域目前不支持社交标识提供者。 想要使用社交标识提供者注册或登录的用户需要使用默认终结点,<tenant-name>.ciamlogin.com,不能使用自定义 URL 域终结点。