Sdílet prostřednictvím

Povolení vlastních domén URL pro aplikace v externích tenantech

Platí pro: Bílý kruh se šedým symbolem X. Tenanti pracovních sil Zelený kruh s bílým symbolem zaškrtnutí. Externí tenanti (další informace)

Tento článek popisuje, jak povolit vlastní domény URL pro aplikace Microsoft Entra External ID v externích tenantech. Vlastní doména URL umožňuje označit přihlašovací koncové body vaší aplikace vlastní doménou URL místo výchozího názvu domény Microsoftu.

Požadavky

Krok 1: Přidejte vlastní název domény k vašemu tenantovi

Při vytváření externího tenanta je poskytnut počáteční název domény, <domainname>.onmicrosoft.com. Počáteční název domény nemůžete změnit ani odstranit, ale můžete přidat vlastní název domény. Pro tyto kroky se nezapomeňte přihlásit ke konfiguraci externího tenanta v Centru pro správu Microsoft Entra.

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce názvu domény.

  2. Zvolte externího tenanta: V horní nabídce vyberte ikonu Nastavení a pak přepněte na externího tenanta.

  3. Přejděte na Entra ID>Názvy domén>Vlastní názvy domén.

  4. Přidejte vlastní název domény do ID Microsoft Entra.

  5. Přidejte informace o DNS do doménového registrátora. Po přidání vlastního názvu domény do tenanta vytvořte DNS TXT nebo MX záznam pro vaši doménu. Vytvoření tohoto záznamu DNS pro vaši doménu ověřuje vlastnictví vašeho názvu domény.

    Tady jsou příklady záznamů TXT pro login.contoso.com a account.contoso.com:

    Název (název hostitele) Typ Údaje
    Přihlásit textový soubor MS=ms12345678 řekl:
    účet textový soubor MS=ms87654321 řekl:

    Záznam TXT musí být přidružený k subdoméně nebo názvu hostitele domény (například přihlašovací část domény contoso.com ). Pokud je název hostitele prázdný nebo @, ID Microsoft Entra nemůže ověřit název vlastní domény, který jste přidali.

    Návod

    Vlastní název domény můžete spravovat pomocí jakékoli veřejně dostupné služby DNS, například GoDaddy. Pokud nemáte server DNS, můžete použít zónu Azure DNS nebo domény služby App Service.

  6. Ověřte vlastní název domény. Ověřte každou subdoménu nebo název hostitele, který plánujete použít. Pokud se například chcete přihlásit pomocí login.contoso.com a account.contoso.com, musíte ověřit jak subdomény, tak nejen contoso.com domény nejvyšší úrovně.

    Důležité

    Po ověření domény odstraňte záznam DNS TXT, který jste vytvořili.

Krok 2: Přidružení vlastního názvu domény k vlastní doméně URL

Po přidání a ověření vlastního názvu domény v externím tenantovi přidružte vlastní název domény k vlastní doméně URL.

  1. Přihlaste se do Centra pro správu Microsoft Entra.

  2. Zvolte externího tenanta: V horní nabídce vyberte ikonu Nastavení a pak přepněte na externího tenanta.

  3. Přejděte na Entra ID>, domény>, vlastní URL domény.

  4. Vyberte Přidat vlastní url doménu.

  5. V podokně Přidat vlastní doménu url vyberte vlastní název domény, který jste zadali v kroku 1.

    Snímek obrazovky s podoknem Přidat vlastní doménu URL

  6. Vyberte Přidat.

Krok 3: Vytvoření nové instance služby Azure Front Door

Při vytváření služby Azure Front Door postupujte takto:

  1. Přihlaste se k portálu Azure.

  2. Zvolte tenanta obsahujícího vaše předplatné Služby Azure Front Door: V horní nabídce vyberte ikonu Nastavení a pak přepněte na tenanta, který obsahuje vaše předplatné Služby Azure Front Door.

  3. Postupujte podle kroků v Vytvoření profilu služby Front Door – Rychlé vytvoření k vytvoření služby Front Door pro vašeho tenanta pomocí následujícího nastavení. Nechte nastavení ukládání do mezipaměti a zásad WAF prázdné.

    Klíč Hodnota
    Předplatné Vyberte své předplatné Azure.
    Skupina zdrojů Vyberte existující skupinu prostředků nebo vytvořte novou.
    Název Zadejte název profilu, například ciamazurefrontdoor.
    Úroveň Vyberte úroveň Standard nebo Premium. Úroveň Standard je optimalizovaná pro doručování obsahu. Úroveň Premium vychází z úrovně Standard a zaměřuje se na zabezpečení. Viz porovnání vrstev.
    Název koncového bodu Zadejte globálně jedinečný název koncového bodu, například ciamazurefrontdoor. Název hostitele koncového bodu se vygeneruje automaticky.
    Typ původu Vyberte možnost Custom.
    Název hostitele původu Zadejte <tenant-name>.ciamlogin.com. Nahraďte <tenant-name> názvem vašeho tenanta, například contoso.ciamlogin.com.

  4. Po vytvoření prostředku Služby Azure Front Door vyberte Přehled a zkopírujte hostitelské jméno koncového bodu pro použití v pozdějším kroku. Vypadá to jako ciamazurefrontdoor-ab123e.z01.azurefd.net.

  5. Ujistěte se, že název hostitele a hlavička Origin hostitele vašeho původu mají stejnou hodnotu:

    1. V části Nastavení vyberte Skupiny původu.
    2. Ze seznamu vyberte svoji skupinu původu, například výchozí skupinu původu.
    3. V pravém podokně vyberte název hostitele Origin, například contoso.ciamlogin.com.
    4. V podokně Aktualizovat zdroj aktualizujte název hostitele a hlavičku hostitele origin tak, aby měly stejnou hodnotu.

    Snímek obrazovky zobrazující pole hlavičky hostitele a počátečního hostitele

Krok 4: Nastavení vlastní domény URL ve službě Azure Front Door

V tomto kroku přidáte vlastní doménu URL, kterou jste zaregistrovali v kroku 1 , do služby Azure Front Door.

4.1. Vytvoření záznamu DNS CNAME

Pokud chcete přidat vlastní doménu URL, vytvořte záznam CNAME (Canonical Name) u svého poskytovatele domény. Záznam CNAME je typ záznamu DNS, který mapuje zdrojový název domény na cílový název domény (alias). Pro Azure Front Door je zdrojovým názvem domény váš vlastní název domény URL a cílovým názvem domény je výchozí název hostitele služby Front Door, který jste nakonfigurovali v kroku 2, ciamazurefrontdoor-ab123e.z01.azurefd.netnapříklad .

Po ověření záznamu CNAME, který jste vytvořili, se provoz adresovaný zdrojové vlastní doméně URL (například login.contoso.com) směruje na zadaného cílového výchozího hostitele front-endu služby Front Door, například contoso-frontend.azurefd.net. Další informace najdete v tématu Přidání vlastní domény do služby Front Door.

Vytvoření záznamu CNAME pro vlastní doménu:

  1. Přihlaste se k webu poskytovatele vaší vlastní domény.

  2. Vyhledejte stránku pro správu záznamů DNS – projděte si dokumentaci poskytovatele nebo hledejte oblasti webu označené jako Domain Name (Název domény), DNS nebo Name Server Management (Správa názvových serverů).

  3. Vytvořte záznam CNAME pro vlastní doménu URL a vyplňte pole, jak je znázorněno v následující tabulce.

    Zdroj Typ Cíl
    <login.contoso.com> CNAME contoso-frontend.azurefd.net

    • Zdroj: Zadejte vlastní doménu URL (například login.contoso.com).

    • Typ: Zadejte CNAME.

    • Cíl: Zadejte výchozího hostitele front-endu služby Front Door, který vytvoříte v kroku 2. Musí být v následujícím formátu: <názevhostitele>.azurefd.net, například contoso-frontend.azurefd.net.

  4. Uložte provedené změny.

4.2. Připojte vlastní doménu URL ke službě Front Door

  1. Na úvodní stránce portálu Azure vyhledejte a vyberte prostředek Azure Front Door a otevřete ho.

  2. V nabídce vlevo v části Nastavení vyberte Domény.

  3. Vyberte Přidat doménu.

  4. Pro správu DNS vyberte Všechny ostatní služby DNS.

  5. Jako vlastní doménu zadejte vlastní doménu, například login.contoso.com.

  6. Ponechte ostatní hodnoty jako výchozí hodnoty a pak vyberte Přidat. Do seznamu se přidá vaše vlastní doména.

  7. V části Stav ověření domény, kterou jste právě přidali, vyberte Čeká na vyřízení. Otevře se podokno s informacemi o záznamu TXT.

    1. Přihlaste se k webu poskytovatele vaší vlastní domény.

    2. Vyhledejte stránku pro správu záznamů DNS – projděte si dokumentaci poskytovatele nebo hledejte oblasti webu označené jako Domain Name (Název domény), DNS nebo Name Server Management (Správa názvových serverů).

    3. Vytvořte nový záznam TXT DNS a vyplňte následující pole:

      • Název: Zadejte pouze subdoménu části _dnsauth.contoso.com, například _dnsauth
      • Typ: TXT
      • Hodnota: Příklad: 75abc123t48y2qrtsz2bvk......

      Po přidání záznamu TXT DNS se stav ověření v prostředku služby Front Door nakonec změní z Čekající na Schváleno. Možná budete muset stránku aktualizovat, aby se změna zobrazila.

  8. Na webu Azure Portal: V části Přidružení koncového bodu domény, kterou jste právě přidali, vyberte Nepřidruženo.

  9. Pro Vybrat koncový bod vyberte hostitelský koncový bod z rozevíracího seznamu.

  10. V seznamu Vybrat trasy vyberte výchozí trasu a pak vyberte Přidružit.

4.3. Aktivovat trasu

Výchozí trasa směruje provoz z klienta do služby Azure Front Door. Azure Front Door pak použije vaši konfiguraci k odeslání provozu do externího tenanta. Pokud chcete povolit výchozí trasu, postupujte takto.

  1. Vyberte správce služby Front Door.

  2. Pokud chcete povolit výchozí trasu, nejprve rozbalte koncový bod ze seznamu koncových bodů ve Správci služby Front Door. Pak vyberte výchozí trasu.

  3. Zaškrtněte políčko Povolenou trasu.

  4. Výběrem možnosti Aktualizovat uložte změny.

Testování vlastních domén URL

  1. Přihlaste se do Centra pro správu Microsoft Entra.

  2. Zvolte externího tenanta: V horní nabídce vyberte ikonu Nastavení a pak přepněte na externího tenanta.

  3. V části Externí identity vyberte Toky uživatelů.

  4. Vyberte tok uživatele a pak vyberte Spustit tok uživatele.

  5. V případě aplikace vyberte webovou aplikaci s názvem webapp1 , kterou jste předtím zaregistrovali. Adresa URL odpovědi by se měla zobrazit https://jwt.ms.

  6. Zkopírujte adresu URL v části Spustit koncový bod toku uživatele.

    Snímek obrazovky znázorňující možnost spuštění uživatelského toku

  7. Pokud chcete simulovat přihlášení pomocí vlastní domény, otevřete webový prohlížeč a použijte zkopírovanou adresu URL. Nahraďte doménu (<název>_tenanta.ciamlogin.com) vlastní doménou.

    Například místo:

    https://contoso.ciamlogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login

    použijte:

    https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login

  8. Ověřte, že se přihlašovací stránka správně nahrála. Pak se přihlaste pomocí místního účtu.

Konfigurace aplikací

Po konfiguraci a otestování vlastní domény URL aktualizujte aplikace tak, aby místo výchozí domény načetly adresu URL s vlastní doménou URL jako název hostitele.

Integrace vlastního doménového URL se vztahuje na koncové body ověřování, které používají toky uživatelů externího ID pro ověřování uživatelů. Tyto koncové body mají následující formát:

  • https://<custom-url-domain>/<tenant-name>/v2.0/.well-known/openid-configuration

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/authorize

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/token

Nahrazení:

  • custom-url-domain s vaší vlastní doménou URL
  • tenant-name s vaším názvem tenanta nebo ID tenanta

Metadata zprostředkovatele služeb SAML můžou vypadat jako v následující ukázce:

https://custom-url-domain-name/tenant-name/Samlp/metadata

(Volitelné) Použití ID tenanta

Název externího tenanta v adrese URL můžete nahradit identifikátorem GUID ID vašeho tenanta a odebrat tak všechny odkazy na "onmicrosoft.com" v adrese URL. Identifikátor GUID ID tenanta najdete na stránce Přehled na webu Azure Portal nebo v Centru pro správu Microsoft Entra. Například změňte https://account.contosobank.co.uk/contosobank.onmicrosoft.com/ na https://account.contosobank.co.uk/<tenant-ID-GUID>/.

Pokud se rozhodnete místo názvu tenanta použít ID tenanta, nezapomeňte odpovídajícím způsobem aktualizovat adresy URI přesměrování OAuth zprostředkovatele identity. Pokud použijete ID tenanta místo jeho názvu, platný identifikátor URI pro přesměrování OAuth vypadá následovně:

https://login.contoso.com/00001111-aaaa-2222-bbbb-3333cccc4444/oauth2/authresp

(Volitelné) Pokročilá konfigurace služby Azure Front Door

Můžete použít pokročilou konfiguraci služby Azure Front Door, jako je Azure Web Application Firewall (WAF). Azure WAF poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení.

Při používání vlastních domén zvažte následující body:

  • Zásady WAF musí být stejné jako profil služby Azure Front Door. Další informace o tom, jak vytvořit zásadu WAF pro použití se službou Azure Front Door, najdete v tématu Konfigurace zásad WAF.
  • Funkce spravovaných pravidel WAF není oficiálně podporovaná, protože může způsobit falešně pozitivní výsledky a zabránit legitimním žádostem v předávání, takže používejte vlastní pravidla WAF jenom v případě, že vyhovují vašim potřebám.

(Volitelné) Blokování výchozí domény

Po konfiguraci vlastních domén URL budou mít uživatelé stále přístup k výchozímu názvu domény <název tenanta>.ciamlogin.com. Potřebujete zablokovat přístup k výchozí doméně, aby ho útočníci nemohli použít pro přístup k vašim aplikacím ani ke spouštění distribuovaných útoků DDoS (Denial of-Service). Odešlete podpůrný lístek a požadujte blokování přístupu k výchozí doméně.

Opatrnost

Před vyžádáním blokování výchozí domény se ujistěte, že vaše vlastní doména funguje správně. Po zablokování výchozí domény přestanou některé funkce fungovat. Vizte Blokování výchozí domény.

Řešení problému

  • Zpráva nebyla nalezena. Když se pokusíte přihlásit pomocí vlastní domény URL, zobrazí se chybová zpráva HTTP 404. Tento problém může souviset s konfigurací DNS nebo konfigurací back-endu služby Azure Front Door. Vyzkoušejte následující kroky:

    • Ujistěte se, že je doména vlastní URL zaregistrována a úspěšně ověřena ve vašem nájemním prostředí.
    • Ujistěte se, že je vlastní doména správně nakonfigurovaná. Záznam CNAME pro vaši vlastní doménu musí odkazovat na výchozího hostitele front-endu služby Azure Front Door (například contoso-frontend.azurefd.net).

  • Naše služby momentálně nejsou k dispozici. Když se pokusíte přihlásit pomocí vlastní domény URL, zobrazí se chybová zpráva: Naše služby teď nejsou dostupné. Pracujeme na co nejrychlejším obnovení všech služeb. Brzy se prosím vraťte. Tento problém může souviset s konfigurací trasy služby Azure Front Door. Zkontrolujte stav výchozí trasy. Pokud je zakázaná, povolte trasu.

  • Prostředek se odebral, změnil názvy nebo je dočasně nedostupný. Když se pokusíte přihlásit pomocí vlastní domény URL, zobrazí se chybová zpráva , kterou prostředek, který hledáte, byl odebrán, změnil se jeho název nebo je dočasně nedostupný. Tento problém může souviset s ověřením vlastní domény Microsoft Entra. Ujistěte se, že je vlastní doména zaregistrovaná a úspěšně ověřená ve vašem tenantovi.

  • Kód chyby 399265: RoutingFromInvalidHost. Tento kód chyby se zobrazí, když tenant vytváří požadavek z domény, která není ověřená. Nezapomeňte do záznamů DNS přidat podrobnosti záznamu TXT. Potom znovu ověřte název vlastní domény.

  • Kód chyby 399280: InvalidCustomUrlDomain. Tento kód chyby se zobrazí, když tenant vytváří požadavek z ověřené domény, která není vlastní doménou URL. Nezapomeňte přidružit vlastní název domény k vlastní URL doméně.

Další kroky

Podívejte se na všechny naše ukázkové příručky a kurzy pro vytváření aplikací pro externí ID.