Freigeben über

Aktivieren von benutzerdefinierten Domänen in Azure Active Directory B2C

Von Bedeutung

Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.

Bevor Sie beginnen, verwenden Sie die Auswahl eines Richtlinientyps oben auf dieser Seite, um den Typ der Richtlinie auszuwählen, die Sie einrichten. Azure Active Directory B2C bietet zwei Methoden zum Definieren der Benutzerinteraktion mit Ihren Anwendungen: vordefinierte Benutzerflows oder vollständig konfigurierbare benutzerdefinierte Richtlinien. Die Schritte, die in diesem Artikel erforderlich sind, unterscheiden sich für jede Methode.

In diesem Artikel wird beschrieben, wie Sie benutzerdefinierte Domänen in Ihren Umleitungs-URLs für Azure Active Directory B2C (Azure AD B2C) aktivieren. Die Verwendung einer verifizierten benutzerdefinierten Domain hat die folgenden Vorteile:

  • Es bietet eine nahtlosere Benutzererfahrung. Aus Sicht des Benutzers verbleiben sie während des Anmeldevorgangs in Ihrer Domäne, anstatt zur Azure AD B2C-Standarddomäne <tenant-name.b2clogin.com> umgeleitet zu werden.

  • Indem Sie während der Anmeldung in derselben Domäne für Ihre Anwendung bleiben, verringern Sie die Auswirkungen der Blockierung von Cookies von Drittanbietern.

  • Sie erhöhen die Anzahl der Objekte (Benutzerkonten und Anwendungen), die Sie in Ihrem Azure AD B2C-Mandanten erstellen können, von standardmäßig 1,25 Millionen auf 5,25 Millionen.

    Screenshot eines Browserfensters, in dem der Domänenname in der Adressleiste hervorgehoben ist, um die Benutzerdefinierte Domäne anzuzeigen.

Übersicht über benutzerdefinierte Domains

Sie können benutzerdefinierte Domänen für Azure AD B2C mithilfe von Azure Front Door aktivieren. Azure Front Door ist ein globaler Einstiegspunkt, der das globale Edgenetzwerk von Microsoft verwendet, um schnelle, sichere und breit skalierbare Webanwendungen zu erstellen. Sie können Azure AD B2C-Inhalte hinter Azure Front Door rendern und dann eine Option in Azure Front Door konfigurieren, um den Inhalt über eine benutzerdefinierte Domäne in der URL Ihrer Anwendung bereitzustellen.

Sehen Sie sich dieses Video an, um mehr über die benutzerdefinierte Azure AD B2C-Domäne zu erfahren.

Die Integration in Azure Front Door wird in der Abbildung unten veranschaulicht:

  1. In einer Anwendung wählt ein Benutzer die Schaltfläche "Anmelden" aus, um zur Azure AD B2C-Anmeldeseite zu gelangen. Auf dieser Seite wird ein benutzerdefinierter Domänenname angegeben.
  2. Der benutzerdefinierte Domänenname wird im Webbrowser in die IP-Adresse von Azure Front Door aufgelöst. Während der DNS-Auflösung verweist ein CNAME-Eintrag (Canonical Name) mit einem benutzerdefinierten Domänennamen auf Ihren Front Door-Standard-Front-End-Host (z. B contoso-frontend.azurefd.net. ).
  3. Der an die benutzerdefinierte Domäne adressierte Datenverkehr (z. B login.contoso.com. ) wird an den angegebenen Front Door-Standard-Front-End-Host weitergeleitet (contoso-frontend.azurefd.net).
  4. Azure Front Door ruft Azure AD B2C-Inhalte mithilfe der Azure AD B2C-Standarddomäne <tenant-name>.b2clogin.com auf. Die Anforderung an den Azure AD B2C-Endpunkt enthält den ursprünglichen benutzerdefinierten Domänennamen.
  5. Azure AD B2C antwortet auf die Anforderung, indem der relevante Inhalt und die ursprüngliche benutzerdefinierte Domäne angezeigt werden.

Flussdiagramm, das den Ablauf des benutzerdefinierten Domänennetzwerks mit Schritten zeigt, die entsprechend den obigen Erläuterungen nummeriert sind.

Von Bedeutung

Für die Verbindung vom Browser mit Azure Front Door sollte immer IPv4 anstelle von IPv6 verwendet werden.

Beachten Sie bei der Verwendung von benutzerdefinierten Domänen Folgendes:

  • Sie können mehrere benutzerdefinierte Domänen einrichten. Informationen zur maximalen Anzahl unterstützter benutzerdefinierter Domänen finden Sie unter Microsoft Entra Dienstgrenzwerte und -einschränkungen für Azure AD B2C und Grenzwerte, Kontingente und Einschränkungen für Azure-Abonnements und -Dienste für Azure Front Door.
  • Azure Front Door ist ein separater Azure-Dienst, sodass zusätzliche Gebühren anfallen. Weitere Informationen finden Sie unter Azure Front Door – Preise.
  • Wenn Sie über mehrere Anwendungen verfügen, migrieren Sie alle Anwendungen in die benutzerdefinierte Domäne, da der Browser die Azure AD B2C-Sitzung unter dem aktuell verwendeten Domänennamen speichert.
  • Nachdem Sie benutzerdefinierte Domänen konfiguriert haben, können Benutzer weiterhin auf den Azure AD B2C-Standarddomänennamen <tenant-name.b2clogin.com> zugreifen. Sie müssen den Zugriff auf die Standarddomäne blockieren, damit Angreifer ihn nicht verwenden können, um auf Ihre Apps zuzugreifen oder verteilte Denial-of-Service-Angriffe (DDoS) auszuführen. Reichen Sie ein Support-Ticket ein , um die Sperrung des Zugriffs auf die Standarddomäne anzufordern.

Warnung

Fordern Sie die Blockierung der Standarddomäne erst an, wenn Ihre benutzerdefinierte Domäne ordnungsgemäß funktioniert.

Voraussetzungen

Schritt 1: Hinzufügen eines benutzerdefinierten Domänennamens zu Ihrem Azure AD B2C-Mandanten

Wenn Sie einen Azure AD B2C-Mandanten erstellen, <wird er mit dem anfänglichen Domänennamen domainname.onmicrosoft.com> geliefert. Sie können den ursprünglichen Domänennamen nicht ändern oder löschen, aber Sie können Ihre eigene benutzerdefinierte Domäne hinzufügen.

Führen Sie die folgenden Schritte aus, um Ihrem Azure AD B2C-Mandanten eine benutzerdefinierte Domäne hinzuzufügen:

  1. Fügen Sie Ihren benutzerdefinierten Domänennamen zur Microsoft Entra ID hinzu.

    Von Bedeutung

    Melden Sie sich für diese Schritte bei Ihrem Azure AD B2C-Mandanten an, und wählen Sie den Microsoft Entra ID-Dienst aus.

  2. Hinzufügen Ihrer DNS-Informationen in der Domänenregistrierungsstelle. Nachdem Sie Ihren benutzerdefinierten Domänennamen zu Microsoft Entra ID hinzugefügt haben, erstellen Sie einen DNS TXToder MX Eintrag für Ihre Domäne. Über die Erstellung dieses DNS-Eintrags wird der Besitz des Domänennamens bestätigt.

    Die folgenden Beispiele veranschaulichen TXT-Einträge für login.contoso.com und account.contoso.com:

    Name (Hostname) Typ Daten
    einloggen TXT MS=ms12345678 (möglicherweise in englischer Sprache)
    Konto TXT MS=ms87654321 (möglicherweise in englischer Sprache)

    Der TXT-Eintrag muss mit der Subdomain oder dem Hostnamen der Domain verknüpft sein. Zum Beispiel der Anmeldeteil der contoso.com Domäne. Wenn der Hostname leer oder ist @, kann Microsoft Entra ID die von Ihnen hinzugefügte benutzerdefinierte Domäne nicht überprüfen. In den folgenden Beispielen sind beide Datensätze falsch konfiguriert.

    Name (Hostname) Typ Daten
    TXT MS=ms12345678 (möglicherweise in englischer Sprache)
    @ TXT MS=ms12345678 (möglicherweise in englischer Sprache)

    Tipp

    Sie können Ihre benutzerdefinierte Domain mit jedem öffentlich verfügbaren DNS-Dienst verwalten, z. B. GoDaddy. Wenn Sie über keinen DNS-Server verfügen, können Sie eine Azure DNS-Zone oder App Service-Domänen verwenden.

  3. Überprüfen des benutzerdefinierten Domänennamens. Überprüfen Sie jede Subdomäne oder jeden Hostnamen, den Sie verwenden möchten. Für die Anmeldung bei login.contoso.com und account.contoso.com müssen Sie beispielsweise beide Unterdomänen und nicht nur die Domäne der obersten Ebene (contoso.com) überprüfen.

    Von Bedeutung

    Nachdem die Domäne überprüft wurde, löschen Sie den von Ihnen erstellten DNS-TXT-Eintrag.

Schritt 2: Erstellen einer neuen Azure Front Door-Instanz

Führen Sie die folgenden Schritte aus, um eine Azure Front Door-Instanz zu erstellen:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wenn Sie das Verzeichnis auswählen möchten, das das Azure-Abonnement enthält, das Sie für Azure Front Door verwenden möchten, und nicht das Verzeichnis, das Ihren Azure AD B2C-Mandanten enthält, wählen Sie im oberen Menü das Symbol Einstellungen aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.

  3. Führen Sie die Schritte unter Create Front Door profile - Quick Create aus, um ein Front Door-Profil für Ihren Azure AD B2C-Mandanten mit den folgenden Einstellungen zu erstellen:

    Schlüssel Wert
    Abonnement Wählen Sie Ihr Azure-Abonnement.
    Ressourcengruppe Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue.
    Name Geben Sie dem Profil einen Namen, z. B. b2cazurefrontdoor.
    Tarif Wählen Sie entweder die Standard- oder Premium-Ebene aus. Die Standard-Ebene ist für die Inhaltsbereitstellung optimiert. Die Premium-Ebene baut auf die Standard-Ebene auf und konzentriert sich auf die Sicherheit. Siehe Vergleich der Dienstebenen.
    Endpunktname Geben Sie einen global eindeutigen Namen für Ihren Endpunkt ein, z. B. b2cazurefrontdoor. Der Endpunkthostname wird automatisch generiert.
    Ursprungstyp Wählen Sie Customaus.
    Urspungs-Hostname Geben Sie <tenant-name>.b2clogin.com ein. Ersetzen Sie <tenant-name> durch den Namen Ihres Azure AD B2C-Mandanten wie contoso.b2clogin.com.

    Lassen Sie die Zwischenspeicherungs- und WAF-Richtlinie leer.

  4. Nachdem die Azure Front Door-Ressource erstellt wurde, wählen Sie Übersicht aus, und kopieren Sie den Hostnamen des Endpunkts. Das brauchen Sie später. Der Wert sollte etwa wie folgt aussehen: b2cazurefrontdoor-ab123e.z01.azurefd.net.

  5. Stellen Sie sicher, dass der Hostname und der Ursprungshostheader Ihres Ursprungs denselben Wert aufweisen:

    1. Wählen Sie unter Einstellungen die Option Ursprungsgruppen aus.
    2. Wählen Sie Ihre Ursprungsgruppe aus der Liste aus, z. B. default-origin-group.
    3. Wählen Sie im rechten Bereich Ihren Ursprungshostnamen aus, z. B. contoso.b2clogin.com.
    4. Aktualisieren Sie im Bereich Ursprung aktualisieren den Hostnamen und den Ursprungshostheader auf denselben Wert.

    Screenshot des Menüs

Schritt 3: Einrichten Ihrer benutzerdefinierten Domäne in Azure Front Door

In diesem Schritt fügen Sie die benutzerdefinierte Domäne, die Sie in Schritt 1 registriert haben, zu Azure Front Door hinzu.

3.1. Erstellen eines CNAME-DNS-Eintrags

Um die benutzerdefinierte Domäne hinzuzufügen, erstellen Sie einen CNAME-Eintrag (Canonical Name) bei Ihrem Domänenanbieter. Ein CNAME-Eintrag ist eine Art von DNS-Eintrag, mit dem ein Quelldomänenname einem Zieldomänennamen zugeordnet wird (Alias). Für Azure Front Door ist der Quelldomänenname der Name des benutzerdefinierten Domänennamens, und der Zieldomänenname ist der Standardhostname von Front Door, den Sie in Schritt 2 konfiguriert haben. Erstellen Sie eine neue Azure Front Door-Instanz. Beispiel: b2cazurefrontdoor-ab123e.z01.azurefd.net.

Nachdem Front Door den von Ihnen erstellten CNAME-Eintrag überprüft hat, wird der an die benutzerdefinierte Quelldomäne (z. B login.contoso.com. ) adressierte Datenverkehr an den angegebenen Front Door-Standard-Front-End-Zielhost weitergeleitet, z. B contoso-frontend.azurefd.net. . . Weitere Informationen finden Sie unter Hinzufügen einer benutzerdefinierten Domäne zu Front Door.

Erstellen Sie wie folgt einen CNAME-Eintrag für Ihre benutzerdefinierten Domäne:

  1. Melden Sie sich an der Website des Domänenanbieters für Ihre benutzerdefinierte Domäne an.

  2. Suchen Sie die Seite für die Verwaltung von DNS-Einträgen mithilfe der Dokumentation des Anbieters, oder suchen Sie nach Bereichen der Website mit der Bezeichnung Domänennamen, DNS, oder Namensserververwaltung.

  3. Erstellen Sie einen CNAME-Eintrag für Ihre benutzerdefinierte Domäne und füllen Sie die Felder wie in der folgenden Tabelle gezeigt aus (Feldnamen können variieren):

    Quelle Typ Bestimmungsort
    <login.contoso.com> CNAME contoso-frontend.azurefd.net

    • Quelle: Geben Sie Ihren benutzerdefinierten Domänennamen ein (z. B. login.contoso.com).

    • Typ: Geben Sie CNAME ein.

    • Ziel: Geben Sie Ihren standardmäßigen Front Door-Front-End-Host ein, den Sie in Schritt 2 erstellt haben. Der Host muss im folgenden Format angegeben werden: <hostname> .azurefd.net. Beispiel: contoso-frontend.azurefd.net.

  4. Speichern Sie Ihre Änderungen.

3.2. Zuordnen der benutzerdefinierten Domäne zu Ihrer Azure Front Door Service-Konfiguration

  1. Suchen Sie auf der Startseite im Azure-Portal nach der Azure Front Door-Ressource myb2cazurefrontdoor, und wählen Sie sie aus, um sie zu öffnen.

  2. Wählen Sie im Menü links unter Einstellungen die Option Domänen aus.

  3. Wählen Sie Domäne hinzufügen aus.

  4. Wählen Sie für DNS-Verwaltung die Option Alle anderen DNS-Dienste aus.

  5. Geben Sie für Benutzerdefinierte Domäne Ihre benutzerdefinierte Domäne ein, z. B. login.contoso.com.

  6. Behalten Sie für die anderen Werte die Standardwerte bei, und wählen Sie dann Hinzufügen aus. Ihre benutzerdefinierte Domäne wird der Liste hinzugefügt.

  7. Wählen Sie unter Überprüfungsstatus der Domäne, die Sie gerade hinzugefügt haben, die Option Ausstehend aus. Ein Bereich mit einem TXT-Datensatz mit Informationen wird geöffnet.

    1. Melden Sie sich an der Website des Domänenanbieters für Ihre benutzerdefinierte Domäne an.

    2. Suchen Sie die Seite für die Verwaltung von DNS-Einträgen mithilfe der Dokumentation des Anbieters, oder suchen Sie nach Bereichen der Website mit der Bezeichnung Domänennamen, DNS, oder Namensserververwaltung.

    3. Erstellen Sie einen neuen TXT-DNS-Eintrag und füllen Sie die Felder wie unten gezeigt aus:

      1. Name: _dnsauth.login.contoso.com, aber Sie müssen nur _dnsautheingeben.
      2. Typ: TXT
      3. Wert: So etwas wie 75abc123t48y2qrtsz2bvk.......

      Nachdem Sie den TXT-DNS-Eintrag hinzugefügt haben, ändert sich der Überprüfungsstatus der Front Door-Ressource schließlich von Ausstehend in Genehmigt. Möglicherweise müssen Sie Ihre Seite neu laden, damit die Änderung wirksam wird.

  8. Kehren Sie zu Ihrem Azure-Portal zurück. Wählen Sie unter Endpunktzuordnung für die Domäne, die Sie gerade hinzugefügt haben, die Option Nicht zugeordnet aus.

  9. Wählen Sie für Endpunkt auswählen den Hostnamenendpunkt in der Dropdownliste aus.

  10. Wählen Sie für die Liste Routen auswählen die Standardroute und dann Zuordnen aus.

3.3. Aktivieren der Route

Die Standardroute leitet den Datenverkehr vom Client an Azure Front Door weiter. Anschließend verwendet Azure Front Door Ihre Konfiguration, um den Datenverkehr an Azure AD B2C zu senden. Führen Sie die folgenden Schritte aus, um die default-route zu aktivieren.

  1. Wählen Sie Front Door-Manager aus.

  2. Um die Standardroute zu aktivieren, erweitern Sie im Front Door-Manager zunächst einen Endpunkt in der Liste der Endpunkte. Wählen Sie dann die Standardroute aus.

    Der folgende Screenshot zeigt, wie Sie die Standardroute auswählen.

    Screenshot der Front Door-Managerseite aus dem Azure-Portal, auf der die Standardroute hervorgehoben ist.

  3. Aktivieren Sie das Kontrollkästchen Route aktivieren .

  4. Wählen Sie Aktualisieren aus, um die Änderung zu speichern.

Schritt 4: Konfigurieren von CORS

Wenn Sie eine benutzerdefinierte HTML-Vorlage zum Anpassen der Azure AD B2C-Benutzeroberfläche verwenden, müssen Sie CORS mit Ihrer benutzerdefinierten Domäne konfigurieren.

Führen Sie die folgenden Schritte aus, um Azure Blob Storage für die Ressourcenfreigabe zwischen verschiedenen Ursprüngen (Cross-Origin Resource Sharing, CORS) zu konfigurieren:

  1. Navigieren Sie im Azure-Portal zu Ihrem Speicherkonto.
  2. Wählen Sie im Menü Cors aus.
  3. Geben Sie für zulässige Ursprünge ein https://your-domain-name. Ersetzen Sie your-domain-name durch Ihren Domainnamen. Beispiel: https://login.contoso.com. Verwenden Sie beim Eingeben des Mandantennamens alle Kleinbuchstaben.
  4. Wählen Sie für zulässige Methoden beide GET und OPTIONS.
  5. Geben Sie für zulässige Kopfzeilen ein Sternchen (*) ein.
  6. Geben Sie für verfügbar gemachte Kopfzeilen ein Sternchen (*) ein.
  7. Geben Sie für max. Alter 200 ein.
  8. Wählen Sie Speichern aus.

Testen Ihrer benutzerdefinierten Domäne

  1. Melden Sie sich beim Azure-Portal an.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.

  3. Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.

  4. Wählen Sie unter "Richtlinien" die Option "Benutzerflüsse (Richtlinien)" aus.

  5. Wählen Sie einen Benutzerflow und dann Benutzerflow ausführen aus.

  6. Wählen Sie für Anwendung die Webanwendung webapp1 aus, die Sie zuvor registriert haben. Als Antwort-URL sollte https://jwt.ms angezeigt werden.

  7. Kopieren Sie die URL unter Benutzerflow-Endpunkt ausführen.

    Screenshot der Seite

  8. Um eine Anmeldung mit Ihrer benutzerdefinierten Domäne zu simulieren, öffnen Sie einen Webbrowser und verwenden die kopierte URL. Ersetzen Sie die Azure AD B2C-Domäne (<tenant-name.b2clogin.com>) durch Ihre benutzerdefinierte Domäne.

    Verwenden Sie anstelle von

    https://contoso.b2clogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login

    sondern:

    https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login

  9. Stellen Sie sicher, dass Azure AD B2C ordnungsgemäß geladen ist. Melden Sie sich dann mit einem lokalen Konto an.

  10. Wiederholen Sie den Test mit den restlichen Richtlinien.

Konfigurieren Ihres Identitätsanbieters

Wenn sich ein Benutzer für die Anmeldung bei einem Identitätsanbieter für soziale Netzwerke entscheidet, initiiert Azure AD B2C eine Autorisierungsanforderung und leitet den Benutzer zum ausgewählten Identitätsanbieter weiter, um den Anmeldevorgang abzuschließen. In der Autorisierungsanforderung wird redirect_uri mit dem Azure AD B2C-Standarddomänennamen angegeben:

https://<tenant-name>.b2clogin.com/<tenant-name>/oauth2/authresp

Wenn Sie Ihre Richtlinie so konfiguriert haben, dass die Anmeldung mit einem externen Identitätsanbieter zulässig ist, aktualisieren Sie die OAuth-Umleitungs-URIs mit der benutzerdefinierten Domäne. Bei den meisten Identitätsanbietern können Sie mehrere Umleitungs-URIs registrieren. Es wird empfohlen, Umleitungs-URIs hinzuzufügen, anstatt sie zu ersetzen, damit Sie Ihre benutzerdefinierte Richtlinie testen können, ohne dass sich dies auf Anwendungen auswirkt, die den Azure AD B2C-Standarddomänennamen verwenden.

Gehen Sie beim folgenden Umleitungs-URI wie folgt vor:

https://<custom-domain-name>/<tenant-name>/oauth2/authresp
  • Ersetzen Sie <custom-domain-name> durch Ihren benutzerdefinierten Domainnamen.
  • Ersetzen Sie <tenant-name> durch den Namen Ihres Mandanten oder Ihre Mandanten-ID.

Das folgende Beispiel zeigt einen gültigen OAuth-Umleitungs-URI:

https://login.contoso.com/contoso.onmicrosoft.com/oauth2/authresp

Die Metadaten des SAML-Identitätsanbieters würden wie im folgenden Beispiel aussehen:

https://<custom-domain-name>.b2clogin.com/<tenant-name>/<your-policy>/samlp/metadata?idptp=<your-technical-profile>

Konfigurieren der Anwendung

Nachdem Sie die benutzerdefinierte Domäne konfiguriert und getestet haben, können Sie Ihre Anwendungen aktualisieren, um die URL zu laden, die Ihre benutzerdefinierte Domäne als Hostnamen anstelle der Azure AD B2C-Domäne angibt.

Die Integration benutzerdefinierter Domänen gilt für Authentifizierungsendpunkte, die Azure AD B2C-Richtlinien (Benutzerflows oder benutzerdefinierte Richtlinien) verwenden, um Benutzer zu authentifizieren. Diese Endpunkte können wie im folgenden Beispiel aussehen:

  • https://<custom-domain>/<tenant-name>/<policy-name>/v2.0/.well-known/openid-configuration

  • https://<custom-domain>/<tenant-name>/<policy-name>/oauth2/v2.0/authorize

  • https://<custom-domain>/<tenant-name>/<policy-name>/oauth2/v2.0/token

Ersetzen:

  • < custom-domain > mit Ihrer benutzerdefinierten Domain
  • < tenant-name > mit Ihrem Mieternamen oder Ihrer Mieter-ID
  • < policy-name > mit dem Namen Ihrer Richtlinie ersetzen.

Die Metadaten des SAML-Dienstanbieters können wie im folgenden Beispiel aussehen:

https://custom-domain-name/tenant-name/policy-name/Samlp/metadata

(Fakultativ) Mandanten-ID verwenden

Sie können Ihren B2C-Mandantennamen in der URL durch Ihre Mandanten-ID-GUID ersetzen, um alle Verweise auf "b2c" in der URL zu entfernen. Sie finden Ihre Mandanten-ID-GUID auf der B2C-Übersichtsseite im Azure-Portal. Ändern Sie zum Beispiel https://account.contosobank.co.uk/contosobank.onmicrosoft.com/ in https://account.contosobank.co.uk/<tenant ID GUID>/.

Wenn Sie die Mandanten-ID anstelle des Mandantennamens verwenden, müssen Sie die OAuth-Umleitungs-URIs des Identitätsanbieters entsprechend aktualisieren. Wenn Sie Ihre Mandanten-ID anstelle des Mandantennamens verwenden, würde ein gültiger OAuth-Umleitungs-URI wie im folgenden Beispiel aussehen:

https://login.contoso.com/11111111-1111-1111-1111-111111111111/oauth2/authresp

Weitere Informationen finden Sie unter Konfigurieren Ihres Identitätsanbieters.

Ausgabe von Token

Der Anspruch auf den Namen des Tokenausstellers (iss) ändert sich basierend auf der verwendeten benutzerdefinierten Domäne. Beispiel:

https://<domain-name>/11111111-1111-1111-1111-111111111111/v2.0/

(Optional:) Erweiterte Azure Front Door-Konfiguration

Sie können die erweiterte Azure Front Door-Konfiguration verwenden, z. B. Azure Web Application Firewall (WAF). Azure WAF bietet zentralisierten Schutz Ihrer Webanwendungen vor allgemeinen Exploits und Sicherheitsrisiken.

Bei der Verwendung von benutzerdefinierten Domänen ist Folgendes zu beachten:

  • Die WAF-Richtlinie muss sich auf der gleichen Ebene wie das Azure Front Door-Profil befinden. Weitere Informationen zum Erstellen einer WAF-Richtlinie für die Verwendung mit Azure Front Door finden Sie unter Konfigurieren einer WAF-Richtlinie.
  • Das Feature für verwaltete WAF-Regeln wird nicht offiziell unterstützt, da es zu False Positive-Ergebnissen führen und verhindern kann, dass legitime Anforderungen übergeben werden, sodass benutzerdefinierte WAF-Regeln nur verwendet werden, wenn sie Ihre Anforderungen erfüllen.

Problembehandlung

Azure AD B2C gibt den Fehler "Seite nicht gefunden" zurück

  • Symptom : Sie konfigurieren eine benutzerdefinierte Domäne, aber wenn Sie versuchen, sich mit der benutzerdefinierten Domäne anzumelden, erhalten Sie eine HTTP 404-Fehlermeldung.
  • Mögliche Ursachen : Dieses Problem kann mit der DNS-Konfiguration oder der Azure Front Door-Back-End-Konfiguration zusammenhängen.
  • Lösung:
    • Stellen Sie sicher, dass die benutzerdefinierte Domäne in Ihrem Azure AD B2C-Mandanten registriert und erfolgreich überprüft wurde.
    • Vergewissern Sie sich, dass die benutzerdefinierte Domäne ordnungsgemäß konfiguriert ist. Der CNAME-Eintrag für die benutzerdefinierte Domäne muss auf den standardmäßigen Azure Front Door-Front-End-Host zeigen (z. B. contoso.azurefd.net).

Unsere Dienstleistungen sind derzeit nicht verfügbar

  • Symptom : Sie konfigurieren eine benutzerdefinierte Domäne, aber wenn Sie versuchen, sich mit der benutzerdefinierten Domäne anzumelden, erhalten Sie die folgende Fehlermeldung: Unsere Dienste sind derzeit nicht verfügbar. Wir arbeiten daran, alle Dienste so schnell wie möglich wiederherzustellen. Bitte schauen Sie bald wieder vorbei.

  • Mögliche Ursachen : Dieses Problem kann mit der Azure Front Door-Routenkonfiguration zusammenhängen.

  • Lösung: Überprüfen Sie den Status der default-route. Wenn sie deaktiviert ist, aktivieren Sie die Route. Der folgende Screenshot zeigt, wie die default-route aussehen sollte:

    Screenshot der Front Door-Manager-Seite aus dem Azure-Portal, auf der die Elemente Standardroute, Status und Bereitstellungsstatus hervorgehoben sind.

Azure AD B2C gibt zurück, dass die gesuchte Ressource entfernt wurde, ihr Name geändert wurde oder vorübergehend nicht verfügbar ist.

  • Symptom : Sie konfigurieren eine benutzerdefinierte Domäne, aber wenn Sie versuchen, sich mit der benutzerdefinierten Domäne anzumelden, erhalten Sie die Fehlermeldung , dass die gesuchte Ressource entfernt wurde, ihr Name geändert wurde oder vorübergehend nicht verfügbar ist .
  • Mögliche Ursachen – Dieses Problem könnte mit der Überprüfung der benutzerdefinierten Domäne von Microsoft Entra zusammenhängen.
  • Lösung: Stellen Sie sicher, dass die benutzerdefinierte Domäne in Ihrem Azure AD B2C-Mandanten registriert und erfolgreich überprüft wurde.

Der Identitätsanbieter gibt einen Fehler zurück

  • Symptom : Nachdem Sie eine benutzerdefinierte Domäne konfiguriert haben, können Sie sich mit lokalen Konten anmelden. Wenn Sie sich jedoch mit Anmeldeinformationen von externen Identitätsanbietern für soziale Netzwerke oder Unternehmen anmelden, zeigt der Identitätsanbieter eine Fehlermeldung an.
  • Mögliche Ursachen : Wenn Azure AD B2C den Benutzer dazu bringt, sich bei einem Verbundidentitätsanbieter anzumelden, wird der Umleitungs-URI angegeben. Der Umleitungs-URI ist der Endpunkt, an den der Identitätsanbieter das Token zurückgibt. Der Umleitungs-URI ist die gleiche Domäne, die Ihre Anwendung mit der Autorisierungsanforderung verwendet. Wenn der Umleitungs-URI noch nicht beim Identitätsanbieter registriert ist, kann es sein, dass er dem neuen Umleitungs-URI nicht vertraut, was zu einer Fehlermeldung führt.
  • Lösung : Führen Sie die Schritte unter Konfigurieren Ihres Identitätsanbieters aus, um den neuen Umleitungs-URI hinzuzufügen.

Häufig gestellte Fragen

Warum kann ich die benutzerdefinierte Domäne nicht sehen, wenn ich "Jetzt ausführen" verwende, um zu versuchen, meine Richtlinie auszuführen?

Kopieren Sie die URL, ändern Sie den Domainnamen manuell, und fügen Sie ihn dann wieder in Ihren Browser ein.

Welche IP-Adresse wird Azure AD B2C angezeigt? Die IP-Adresse des Benutzers oder die IP-Adresse von Azure Front Door?

Azure Front Door übergibt die ursprüngliche IP-Adresse des Benutzers. Dies ist die IP-Adresse, die Sie in den Überwachungsberichten oder in Ihrer benutzerdefinierten Richtlinie sehen.

Von Bedeutung

Wenn der Client einen x-forwarded-for Header an Azure Front Door sendet, verwendet Azure AD B2C die x-forwarded-for IP-Adresse des Absenders als IP-Adresse des Benutzers für die Auswertung des bedingten Zugriffs und den {Context:IPAddress}Anspruchskonfliktlöser.

Kann ich eine Web Application Firewall (WAF) eines Drittanbieters mit B2C verwenden?

Ja, Azure AD B2C unterstützt BYO-WAF (Bring Your Own Web Application Firewall). Sie müssen jedoch WAF testen, um sicherzustellen, dass legitime Anforderungen an Azure AD B2C-Benutzerflows oder benutzerdefinierte Richtlinien nicht blockiert oder gemeldet werden. Erfahren Sie, wie Sie Akamai WAF und Cloudflare WAF mit Azure AD B2C konfigurieren.

Kann meine Azure Front Door-Instanz in einem anderen Abonnement als mein Azure AD B2C-Mandant gehostet werden?

Ja, Azure Front Door kann sich in einem anderen Abonnement befinden.

Verwandte Inhalte