Sdílet prostřednictvím

Povolení vlastních domén URL pro aplikace v externích tenantech (Preview)

  • Článek

Platí pro: Bílý kruh se šedým symbolem X. Tenanti pracovních sil – externí tenanti Zelený kruh s bílým symbolem zaškrtnutí (další informace)

Tento článek popisuje, jak povolit vlastní domény url pro Microsoft Entra Externí ID aplikace v externích tenantech. Vlastní doména URL umožňuje označit přihlašovací koncové body vaší aplikace vlastní doménou URL místo výchozího názvu domény Microsoftu.

Důležité

Tato funkce je aktuálně dostupná jako ukázková verze. Informace o právních podmínkách, které se vztahují na funkce a služby Azure, které jsou v beta verzi, preview nebo jinak nejsou obecně dostupné, najdete v licenčních podmínkách pro online služby .

Požadavky

Krok 1: Přidání vlastního názvu domény do vašeho tenanta

Při vytváření externího tenanta se dodává s počátečním názvem domény, <názvem> domény.onmicrosoft.com. Počáteční název domény nemůžete změnit ani odstranit, ale můžete přidat vlastní název domény. Pro tyto kroky se nezapomeňte přihlásit ke konfiguraci externího tenanta v Centru pro správu Microsoft Entra.

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce názvu domény.

  2. Zvolte externího tenanta: V horní nabídce vyberte ikonu Nastavení a pak přepněte na externího tenanta.

  3. Přejděte na Identity> Nastavení Doménové> názvy>vlastních názvů domén.

  4. Přidejte vlastní název domény do ID Microsoft Entra.

  5. Přidejte informace o DNS do doménového registrátora. Po přidání vlastního názvu domény do tenanta vytvořte DNS TXT nebo MX záznam pro vaši doménu. Vytvoření tohoto záznamu DNS pro vaši doménu ověřuje vlastnictví vašeho názvu domény.

    Tady jsou příklady záznamů TXT pro login.contoso.com a account.contoso.com:

    Název (název hostitele) Typ Data
    Přihlásit TXT MS=ms12345678
    account TXT MS=ms87654321

    Záznam TXT musí být přidružený k subdoméně nebo názvu hostitele domény (například přihlašovací část domény contoso.com ). Pokud je název hostitele prázdný nebo @, ID Microsoft Entra nemůže ověřit název vlastní domény, který jste přidali.

    Tip

    Vlastní název domény můžete spravovat pomocí jakékoli veřejně dostupné služby DNS, například GoDaddy. Pokud nemáte server DNS, můžete použít zónu Azure DNS nebo domény služby App Service.

  6. Ověřte vlastní název domény. Ověřte každou subdoménu nebo název hostitele, který plánujete použít. Pokud se například chcete přihlásit pomocí login.contoso.com a account.contoso.com, musíte ověřit jak subdomény, tak nejen contoso.com domény nejvyšší úrovně.

    Důležité

    Po ověření domény odstraňte záznam DNS TXT, který jste vytvořili.

Krok 2: Přidružení vlastního názvu domény k vlastní doméně URL

Po přidání a ověření vlastního názvu domény v externím tenantovi přidružte vlastní název domény k vlastní doméně URL.

  1. Přihlaste se do Centra pro správu Microsoft Entra.

  2. Zvolte externího tenanta: V horní nabídce vyberte ikonu Nastavení a pak přepněte na externího tenanta.

  3. Přejděte na Identity> Nastavení Doménové> názvy>vlastních domén URL (Preview).

  4. Vyberte Přidat vlastní doménu url.

  5. V podokně Přidat vlastní doménu url vyberte vlastní název domény, který jste zadali v kroku 1.

    Snímek obrazovky s podoknem Přidat vlastní doménu URL

  6. Vyberte Přidat.

Krok 3: Vytvoření nové instance služby Azure Front Door

Při vytváření služby Azure Front Door postupujte takto:

  1. Přihlaste se k portálu Azure.

  2. Zvolte tenanta obsahujícího vaše předplatné Služby Azure Front Door: V horní nabídce vyberte ikonu Nastavení a pak přepněte na tenanta, který obsahuje vaše předplatné Služby Azure Front Door.

  3. Postupujte podle pokynů v části Vytvoření profilu služby Front Door – Rychlé vytvoření a vytvoření služby Front Door pro vašeho tenanta pomocí následujícího nastavení. Nastavení zásad Ukládání do mezipaměti a WAF nechte prázdné.

    Key Hodnota
    Předplatné Vyberte své předplatné Azure.
    Skupina zdrojů Vyberte existující skupinu prostředků nebo vytvořte novou.
    Název Zadejte název profilu, například ciamazurefrontdoor.
    Úroveň Vyberte úroveň Standard nebo Premium. Úroveň Standard je optimalizovaná pro doručování obsahu. Úroveň Premium vychází z úrovně Standard a zaměřuje se na zabezpečení. Viz porovnání vrstev.
    Název koncového bodu Zadejte globálně jedinečný název koncového bodu, například ciamazurefrontdoor. Název hostitele koncového bodu se vygeneruje automaticky.
    Typ původu Vyberte možnost Custom.
    Název hostitele původu Zadejte <tenant-name>.ciamlogin.com. Nahraďte <tenant-name> názvem vašeho tenanta, například contoso.ciamlogin.com.

  4. Po vytvoření prostředku Služby Azure Front Door vyberte Přehled a zkopírujte název hostitele koncového bodu pro použití v pozdějším kroku. Vypadá to jako ciamazurefrontdoor-ab123e.z01.azurefd.net.

  5. Ujistěte se, že název hostitele a hlavička hostitele Origin vašeho původu mají stejnou hodnotu:

    1. V části Nastavení vyberte Skupiny původu.
    2. Ze seznamu vyberte svoji skupinu původu, například výchozí skupinu původu.
    3. V pravém podokně vyberte název hostitele Origin, například contoso.ciamlogin.com.
    4. V podokně Aktualizovat zdroj aktualizujte název hostitele a hlavičku hostitele origin tak, aby měly stejnou hodnotu.

    Snímek obrazovky zobrazující pole hlavičky hostitele a počátečního hostitele

Krok 4: Nastavení vlastní domény URL ve službě Azure Front Door

V tomto kroku přidáte vlastní doménu URL, kterou jste zaregistrovali v kroku 1 , do služby Azure Front Door.

4.1. Vytvoření záznamu DNS CNAME

Pokud chcete přidat vlastní doménu URL, vytvořte záznam CNAME (Canonical Name) u svého poskytovatele domény. Záznam CNAME je typ záznamu DNS, který mapuje zdrojový název domény na cílový název domény (alias). Pro Azure Front Door je zdrojovým názvem domény váš vlastní název domény URL a cílovým názvem domény je výchozí název hostitele služby Front Door, který jste nakonfigurovali v kroku 2, ciamazurefrontdoor-ab123e.z01.azurefd.netnapříklad .

Po ověření záznamu CNAME, který jste vytvořili, se provoz adresovaný zdrojové vlastní doméně URL (například login.contoso.com) směruje na zadaného cílového výchozího hostitele front-endu služby Front Door, například contoso-frontend.azurefd.net. Další informace najdete v tématu Přidání vlastní domény do služby Front Door.

Vytvoření záznamu CNAME pro vlastní doménu:

  1. Přihlaste se k webu poskytovatele vaší vlastní domény.

  2. Vyhledejte stránku pro správu záznamů DNS – projděte si dokumentaci poskytovatele nebo hledejte oblasti webu označené jako Domain Name (Název domény), DNS nebo Name Server Management (Správa názvových serverů).

  3. Vytvořte záznam CNAME pro vlastní doménu URL a vyplňte pole, jak je znázorněno v následující tabulce.

    Zdroj Typ Cíl
    <login.contoso.com> CNAME contoso-frontend.azurefd.net

    • Zdroj: Zadejte vlastní doménu URL (například login.contoso.com).

    • Typ: Zadejte CNAME.

    • Cíl: Zadejte výchozího hostitele front-endu služby Front Door, který vytvoříte v kroku 2. Musí být v následujícím formátu: <název> hostitele.azurefd.net, contoso-frontend.azurefd.netnapříklad .

  4. Uložte provedené změny.

4.2. Přidružení vlastní domény URL ke službě Front Door

  1. Na domovské stránce webu Azure Portal vyhledejte a vyberte ciamazurefrontdoor prostředek Služby Azure Front Door a otevřete ho.

  2. V nabídce vlevo v části Nastavení vyberte Domény.

  3. Vyberte Přidat doménu.

  4. Pro správu DNS vyberte Všechny ostatní služby DNS.

  5. Jako vlastní doménu zadejte vlastní doménu, například login.contoso.com.

  6. Ponechte ostatní hodnoty jako výchozí hodnoty a pak vyberte Přidat. Do seznamu se přidá vaše vlastní doména.

  7. V části Stav ověření domény, kterou jste právě přidali, vyberte Čeká na vyřízení. Otevře se podokno s informacemi o záznamu TXT.

    1. Přihlaste se k webu poskytovatele vaší vlastní domény.

    2. Vyhledejte stránku pro správu záznamů DNS – projděte si dokumentaci poskytovatele nebo hledejte oblasti webu označené jako Domain Name (Název domény), DNS nebo Name Server Management (Správa názvových serverů).

    3. Vytvořte nový záznam TXT DNS a vyplňte následující pole:

      • Název: Zadejte pouze subdoménu části _dnsauth.contoso.com, například _dnsauth
      • Typ: TXT
      • Hodnota: Příklad: 75abc123t48y2qrtsz2bvk......

      Po přidání záznamu TXT DNS se stav ověření v prostředku služby Front Door nakonec změní z čeká naschválení. Možná budete muset stránku aktualizovat, aby se změna zobrazila.

  8. Na webu Azure Portal: V části Přidružení koncového bodu domény, kterou jste právě přidali, vyberte Nepřidruženo.

  9. V části Vybrat koncový bod vyberte koncový bod názvu hostitele z rozevíracího seznamu.

  10. V seznamu Vybrat trasy vyberte výchozí trasu a pak vyberte Přidružit.

4.3. Povolení trasy

Výchozí trasa směruje provoz z klienta do služby Azure Front Door. Azure Front Door pak použije vaši konfiguraci k odeslání provozu do externího tenanta. Pokud chcete povolit výchozí trasu, postupujte takto.

  1. Vyberte správce služby Front Door.

  2. Pokud chcete povolit výchozí trasu, nejprve rozbalte koncový bod ze seznamu koncových bodů ve Správci služby Front Door. Pak vyberte výchozí trasu.

  3. Zaškrtněte políčko Povolenou trasu.

  4. Výběrem možnosti Aktualizovat uložte změny.

Testování vlastních domén URL

  1. Přihlaste se do Centra pro správu Microsoft Entra.

  2. Zvolte externího tenanta: V horní nabídce vyberte ikonu Nastavení a pak přepněte na externího tenanta.

  3. V části Externí identity vyberte Toky uživatelů.

  4. Vyberte tok uživatele a pak vyberte Spustit tok uživatele.

  5. V případě aplikace vyberte webovou aplikaci s názvem webapp1 , kterou jste předtím zaregistrovali. Adresa URL odpovědi by se měla zobrazit https://jwt.ms.

  6. Zkopírujte adresu URL v části Spustit koncový bod toku uživatele.

    Snímek obrazovky znázorňující možnost spustit tok uživatele

  7. Pokud chcete simulovat přihlášení pomocí vlastní domény, otevřete webový prohlížeč a použijte zkopírovanou adresu URL. Nahraďte doménu (<název>_tenanta.ciamlogin.com) vlastní doménou.

    Například místo:

    https://contoso.ciamlogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login

    použijte:

    https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login

  8. Ověřte, že se přihlašovací stránka správně načetla. Pak se přihlaste pomocí místního účtu.

Konfigurace aplikací

Po konfiguraci a otestování vlastní domény URL aktualizujte aplikace tak, aby místo výchozí domény načetly adresu URL s vlastní doménou URL jako název hostitele.

Integrace domény vlastní adresy URL se vztahuje na koncové body ověřování, které používají toky uživatelů externího ID k ověřování uživatelů. Tyto koncové body mají následující formát:

  • https://<custom-url-domain>/<tenant-name>/v2.0/.well-known/openid-configuration

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/authorize

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/token

Nahrazení:

  • custom-url-domain with your custom URL domain
  • název tenanta s názvem tenanta nebo ID tenanta

Metadata zprostředkovatele služeb SAML můžou vypadat jako v následující ukázce:

https://custom-url-domain-name/tenant-name/Samlp/metadata

(Volitelné) Použití ID tenanta

Název externího tenanta v adrese URL můžete nahradit identifikátorem GUID ID vašeho tenanta a odebrat tak všechny odkazy na "onmicrosoft.com" v adrese URL. Identifikátor GUID ID tenanta najdete na stránce Přehled na webu Azure Portal nebo v Centru pro správu Microsoft Entra. Například změňte https://account.contosobank.co.uk/contosobank.onmicrosoft.com/ na https://account.contosobank.co.uk/<tenant-ID-GUID>/.

Pokud se rozhodnete místo názvu tenanta použít ID tenanta, nezapomeňte odpovídajícím způsobem aktualizovat identifikátory URI přesměrování OAuth zprostředkovatele identity. Pokud místo názvu tenanta použijete ID tenanta, platný identifikátor URI přesměrování OAuth vypadá podobně jako v následující ukázce:

https://login.contoso.com/00001111-aaaa-2222-bbbb-3333cccc4444/oauth2/authresp

(Volitelné) Pokročilá konfigurace služby Azure Front Door

Můžete použít pokročilou konfiguraci služby Azure Front Door, jako je Azure Web Application Firewall (WAF). Azure WAF poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení.

Při používání vlastních domén zvažte následující body:

  • Zásady WAF musí být stejné jako profil služby Azure Front Door. Další informace o tom, jak vytvořit zásadu WAF pro použití se službou Azure Front Door, najdete v tématu Konfigurace zásad WAF.
  • Funkce spravovaných pravidel WAF není oficiálně podporovaná, protože může způsobit falešně pozitivní výsledky a zabránit legitimním žádostem v předávání, takže používejte vlastní pravidla WAF jenom v případě, že vyhovují vašim potřebám.

Řešení problému

  • Zpráva nebyla nalezena. Když se pokusíte přihlásit pomocí vlastní domény URL, zobrazí se chybová zpráva HTTP 404. Tento problém může souviset s konfigurací DNS nebo konfigurací back-endu služby Azure Front Door. Vyzkoušejte následující kroky:

    • Ujistěte se, že je doména vlastní adresy URL zaregistrovaná a úspěšně ověřená ve vašem tenantovi.
    • Ujistěte se, že je vlastní doména správně nakonfigurovaná. Záznam CNAME pro vaši vlastní doménu musí odkazovat na výchozího hostitele front-endu služby Azure Front Door (například contoso-frontend.azurefd.net).

  • Naše služby momentálně nejsou k dispozici. Když se pokusíte přihlásit pomocí vlastní domény URL, zobrazí se chybová zpráva: Naše služby teď nejsou dostupné. Pracujeme na co nejrychlejším obnovení všech služeb. Brzy se prosím vraťte. Tento problém může souviset s konfigurací trasy služby Azure Front Door. Zkontrolujte stav výchozí trasy. Pokud je zakázaná, povolte trasu.

  • Prostředek se odebral, změnil názvy nebo je dočasně nedostupný. Když se pokusíte přihlásit pomocí vlastní domény URL, zobrazí se chybová zpráva , kterou prostředek, který hledáte, byl odebrán, změnil se jeho název nebo je dočasně nedostupný. Tento problém může souviset s ověřením vlastní domény Microsoft Entra. Ujistěte se, že je vlastní doména zaregistrovaná a úspěšně ověřená ve vašem tenantovi.

  • Kód chyby 399265: RoutingFromInvalidHost. Tento kód chyby se zobrazí, když tenant vytváří požadavek z domény, která není ověřená. Nezapomeňte do záznamů DNS přidat podrobnosti záznamu TXT. Potom znovu ověřte název vlastní domény.

  • Kód chyby 399280: InvalidCustomUrlDomain. Tento kód chyby se zobrazí, když tenant vytváří požadavek z ověřené domény, která není vlastní doménou URL. Nezapomeňte přidružit vlastní název domény k vlastní doméně URL.

Další kroky

Podívejte se na všechny naše ukázkové příručky a kurzy pro vytváření aplikací pro externí ID.