Compartir a través de


Habilitación de dominios de dirección URL personalizados para aplicaciones en inquilinos externos (versión preliminar)

Se aplica a:Círculo blanco con un símbolo X gris. inquilinos de personal Círculo verde con un símbolo de marca de verificación blanca. inquilinos externos (más información)

En este artículo se describe cómo habilitar dominios de dirección URL personalizados para aplicaciones de Id. externa de Microsoft Entra en inquilinos externos. Los dominios URL personalizados permiten marcar los puntos de conexión del inicio de sesión de su aplicación con su propio dominio de URL personalizado, en lugar del nombre de dominio predeterminado de Microsoft’.

Importante

Esta funcionalidad actualmente está en su versión preliminar. Consulte los Términos de licencia universal para servicios en línea para conocer los términos legales que se aplican a las funciones y servicios de Azure que se encuentran en fase beta, de vista previa o que no están disponibles de forma general.

Requisitos previos

Paso 1: incorpora un nombre de dominio personalizados al inquilino

Al crear un inquilino externo, este tiene un nombre de dominio inicial, <nombreDeDominio.onmicrosoft.com>. El nombre de dominio inicial no se puede cambiar ni eliminar, pero se puede agregar un nombre de dominio propio personalizado. Para realizar estos pasos, asegúrese de iniciar sesión en su configuración del inquilino externo en el Centro de administración Microsoft Entra.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de nombres de dominio.

  2. Elija el inquilino externo: seleccione el icono Configuración en el menú superior y, después, vaya al inquilino externo.

  3. Vaya a Identidad>Configuración>Nombres de dominio>Nombres de dominio personalizados.

  4. Agregue el nombre de dominio personalizado al Microsoft Entra ID.

  5. Agregue la información de DNS al registrador de dominios. Después de agregar su nombre de dominio personalizado a su inquilino, cree un registro TXT o MX de DNS para su dominio. La creación de este registro de DNS para el dominio comprueba la propiedad del nombre de dominio.

    A continuación encontrará ejemplos de registros TXT para login.contoso.com y account.contoso.com:

    Nombre (nombre de host) Tipo Datos
    login TXT MS=ms12345678
    account TXT MS=ms87654321

    El registro TXT debe estar asociado al subdominio o al nombre de host del dominio (por ejemplo, la parte inicio de sesión del dominio de contoso.com). Si el nombre de host está vacío o es @, Microsoft Entra ID no podrá comprobar el nombre de dominio personalizado que ha agregado.

    Sugerencia

    El nombre de dominio personalizado se puede administrar con cualquier servicio DNS disponible públicamente, como GoDaddy. Si no tiene un servidor DNS, puede usar la zona DNS de Azure o los dominios de App Service.

  6. Compruebe el nombre de su dominio personalizado. Compruebe cada subdominio o nombre de host que planee utilizar. Por ejemplo, para poder iniciar sesión con login.contoso.com y account.contoso.com, debe comprobar ambos subdominios, no solo el dominio de nivel superior, contoso.com.

    Importante

    Una vez comprobado el dominio, elimine el registro TXT de DNS creado.

Paso 2: asociar el nombre de dominio personalizado a un dominio de dirección URL personalizado

Después de agregar el nombre de dominio personalizado y comprobarlo en el inquilino externo, asócielo a un dominio de URL personalizado.

  1. Inicie sesión en el centro de administración de Microsoft Entra.

  2. Elija el inquilino externo: seleccione el icono Configuración en el menú superior y, después, vaya al inquilino externo.

  3. Vaya a Identidad>Configuración>Nombres de dominio>Dominios de URL personalizados (versión preliminar).

  4. Seleccione Agregar dominio de URL personalizado.

  5. En el panel Agregar dominio de URL personalizado, seleccione el nombre de dominio personalizado que especificó en el paso 1.

    Captura de pantalla que muestra el panel Agregar dominio de URL personalizado.

  6. Seleccione Agregar.

Paso 3: crea una nueva instancia de Azure Front Door

Siga estos pasos para crear una instancia de Azure Front Door:

  1. Inicie sesión en Azure Portal.

  2. Elija el inquilino que contiene la suscripción de Azure Front Door: seleccione el icono Configuración en el menú superior y, después, cambie al inquilino que contiene la suscripción de Azure Front Door.

  3. Siga los pasos que se describen en el apartado Creación de un perfil de Front Door: Creación rápida para crear una instancia de Front Door para el inquilino mediante la siguiente configuración. Deje vacía la configuración de Almacenamiento en caché y Directiva WAF.

    Key Value
    Subscription Seleccione su suscripción a Azure.
    Resource group Seleccione un grupo de recursos existente, o bien cree uno.
    Nombre Asigne un nombre al perfil, como por ejemplo ciamazurefrontdoor.
    Nivel Seleccione el nivel de servicio Estándar o Premium. El nivel Estándar está optimizado para la entrega de contenido. El nivel Premium se fundamenta en el nivel Estándar y su enfoque es la seguridad. Consulte el artículo en que se comparan los distintos niveles.
    El nombre del punto de conexión Escriba un nombre globalmente único para el punto de conexión, como por ejemplo ciamazurefrontdoor. El nombre de host del punto de conexión se genera automáticamente.
    Tipo de origen Seleccione Custom.
    Nombre de host del origen Escriba <tenant-name>.ciamlogin.com. Reemplace <tenant-name> por el nombre de su inquilino, por ejemplo contoso.ciamlogin.com.
  4. Una vez que se cree el recurso de Azure Front Door, seleccione Información general y copie el valor de Nombre de host del punto de conexión para usarlo más adelante. Tiene un aspecto similar a ciamazurefrontdoor-ab123e.z01.azurefd.net.

  5. Asegúrese de que el nombre de host y el encabezado host del origen del origen tienen el mismo valor:

    1. En Configuración, seleccione Grupos de origen.
    2. Seleccione el grupo de origen de la lista, como default-origin-group.
    3. En el panel derecho, seleccione el nombre de host del origen, como contoso.ciamlogin.com.
    4. En el panel Actualizar origen, actualice el nombre de host y el encabezado del host del origen para que tengan el mismo valor.

    Captura de pantalla que muestra los campos de nombre de host y encabezado host de origen.

Paso 4: configura el dominio URL personalizado en Azure Front Door

En este paso, agregará a Azure Front Door el dominio de URL personalizado que registró en el paso 1.

4.1. Creación de un registro DNS de CNAME

Para agregar el dominio de URL personalizado, cree un registro CNAME (nombre canónico) con su proveedor de dominios. Un registro CNAME es un tipo de registro de DNS que asigna un nombre de dominio de origen a un nombre de dominio de destino (alias). En el caso de Azure Front Door, el nombre del dominio de origen es su nombre de dominio de URL personalizado, mientras que el nombre del dominio de destino es el nombre de host predeterminado de Front Door que configuró en el paso 2, por ejemplo, ciamazurefrontdoor-ab123e.z01.azurefd.net.

Una vez que Front Door compruebe el registro CNAME que ha creado, el tráfico dirigido al dominio de URL personalizado de origen (como login.contoso.com) se enruta al host del front-end predeterminado de Front Door de destino especificado, como contoso-frontend.azurefd.net. Para más información, consulte Adición de un dominio personalizado a una instancia de Front Door.

Para crear un registro CNAME para un dominio personalizado:

  1. Inicie sesión en el sitio web del proveedor de dominios de su dominio personalizado.

  2. Para encontrar la página de administración de los registros DNS, consulte la documentación del proveedor o busque las áreas del sitio web con la etiqueta Nombre de dominio, DNS o Name Server Management (Administración del servidor de nombres).

  3. Cree una entrada de registro CNAME para el dominio de URL personalizado y rellene los campos como se muestra en la tabla siguiente.

    Source Tipo Destination
    <login.contoso.com> CNAME contoso-frontend.azurefd.net
    • Origen: escriba el dominio de URL personalizado (por ejemplo, login.contoso.com).

    • Escriba: Escriba CNAME.

    • Destino: escriba el host de front-end de Front Door predeterminado que ha creado en el paso 2. Debe tener el siguiente formato:<nombreDeHost>.azurefd.net, por ejemplo, contoso-frontend.azurefd.net.

  4. Guarde los cambios.

4.2. Asociación del dominio de URL personalizado a Front Door

  1. En la página principal de Azure Portal, busque y seleccione el recurso de Azure Front Door ciamazurefrontdoor para abrirlo.

  2. En el menú de la izquierda, en Configuración, seleccione Dominios.

  3. Seleccione Agregar un dominio.

  4. En Administración de DNS, seleccione Los restantes servicios DNS.

  5. En Dominio personalizado, escriba un dominio personalizado, como login.contoso.com.

  6. Mantenga los valores predeterminados en las restantes opciones y seleccione Agregar. El dominio personalizado se agrega a la lista.

  7. En el campo Estado de validación del dominio que acaba de agregar, seleccione Pendiente. Se abre un panel con un información de un registro TXT.

    1. Inicie sesión en el sitio web del proveedor de dominios de su dominio personalizado.

    2. Para encontrar la página de administración de los registros DNS, consulte la documentación del proveedor o busque las áreas del sitio web con la etiqueta Nombre de dominio, DNS o Name Server Management (Administración del servidor de nombres).

    3. Cree un registro DNS TXT y complete los siguientes campos:

      • Nombre: escriba solo la parte del subdominio de _dnsauth.contoso.com, por ejemplo _dnsauth
      • Tipo: TXT
      • Valor: por ejemplo, 75abc123t48y2qrtsz2bvk......

      Después de agregar el registro DNS TXT, el estado validación del recurso de Front Door cambiará de Pendiente a Aprobado. Es posible que tenga que actualizar la página para ver el cambio.

  8. En Azure Portal. En el campo Asociación de punto de conexión del dominio que acaba de agregar, seleccione Sin asociar.

  9. En Seleccionar punto de conexión, seleccione el punto de conexión del nombre de host en la lista desplegable.

  10. En la lista Seleccionar rutas, seleccione ruta predeterminada y, después, seleccione Asociar.

4.3. Habilitación de la ruta

La ruta predeterminada enruta el tráfico desde el cliente a Azure Front Door. Luego, Azure Front Door usa su configuración para enviar el tráfico al inquilino externo. Para habilitar la ruta predeterminada, siga estos pasos.

  1. Seleccione Administrador de Front Door.

  2. Para habilitar la ruta predeterminada, expanda primero un punto de conexión de la lista en el administrador de Front Door. Luego, seleccione la ruta predeterminada.

  3. Active la casilla Ruta habilitada.

  4. Seleccione Actualizar para guardar los cambios.

Prueba de los dominios de dirección URL personalizados

  1. Inicie sesión en el centro de administración de Microsoft Entra.

  2. Elija el inquilino externo: seleccione el icono Configuración en el menú superior y, después, vaya al inquilino externo.

  3. En Identidades externas, seleccione Flujos de usuario.

  4. Seleccione un flujo de usuario y luego Ejecutar flujo de usuario.

  5. En Aplicación, seleccione la aplicación web denominada webapp1 que registró anteriormente. La dirección URL de respuesta debe mostrar https://jwt.ms.

  6. Copie la dirección URL de Ejecutar punto de conexión de flujo de usuario.

    Captura de pantalla que la opción Ejecutar flujo de usuario.

  7. Para simular un inicio de sesión con su dominio personalizado, abra un explorador web y use la dirección URL que copió. Reemplace el dominio (<nombreDeInquilino.ciamlogin.com>) por su dominio personalizado.

    Por ejemplo, en lugar de:

    https://contoso.ciamlogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
    

    utilice:

    https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
    
  8. Compruebe que la página de inicio de sesión se ha cargado correctamente. Después, inicie sesión con una cuenta local.

Configuración de las aplicaciones

Después de configurar y probar el dominio de URL personalizado, actualice sus aplicaciones para que carguen una dirección URL con su dominio de URL personalizado como nombre de host, en lugar del dominio predeterminado.

La integración de dominios de URL personalizados se aplica a los puntos de conexión de autenticación que utilizan flujos de usuarios de Id. externa para autenticar a los usuarios. Estos puntos de conexión tienen el siguiente formato:

  • https://<custom-url-domain>/<tenant-name>/v2.0/.well-known/openid-configuration

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/authorize

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/token

Sustituya:

  • custom-url-domain por el dominio de URL personalizado
  • nombre-de-inquilino por el nombre o el identificador de inquilino.

Los metadatos del proveedor de servicios de SAML pueden tener un aspecto similar al siguiente:

https://custom-url-domain-name/tenant-name/Samlp/metadata

(Opcional) Uso del identificador del inquilino

Puede reemplazar el nombre del inquilino externo en la dirección URL por el GUID del identificador de inquilino, con el fin de quitar todas las referencias a "onmicrosoft.com" en la dirección URL. El GUID del identificador de inquilino se puede encontrar en la página Información general de Azure Portal o en el Centro de administración de Microsoft Entra. Por ejemplo, cambia https://account.contosobank.co.uk/contosobank.onmicrosoft.com/ a https://account.contosobank.co.uk/<tenant-ID-GUID>/.

Si decide utilizar el identificador de inquilino en lugar del nombre de inquilino, asegúrese de actualizar los URI de redirección de OAuth del proveedor de identidades en consecuencia. Si se usa el identificador de inquilino en lugar del nombre del inquilino, un URI de redireccionamiento de OAuth válido es similar al ejemplo siguiente:

https://login.contoso.com/00001111-aaaa-2222-bbbb-3333cccc4444/oauth2/authresp 

(Opcional) Configuración avanzada de Azure Front Door

Puede usar la configuración avanzada de Azure Front Door, como Azure Web Application Firewall (WAF). Azure WAF ofrece una protección centralizada de las aplicaciones web contra las vulnerabilidades de seguridad comunes.

Al utilizar dominios personalizados, tenga en cuenta lo siguiente:

  • La directiva de WAF debe ser del mismo nivel que el perfil de Azure Front Door. Para obtener más información sobre cómo crear una directiva WAF para usarla con Azure Front Door, consulte Configuración de la directiva WAF.
  • La característica de reglas administradas de WAF no se admite oficialmente, ya que no solo puede provocar falsos positivos, sino también evitar que pasen solicitudes legítimas pasen, por lo que solo debe usar las reglas personalizadas de WAF si cubren sus necesidades.

Solución de problemas

  • Mensaje de página no encontrado. Al intentar iniciar sesión con el dominio de URL personalizado, recibirá un mensaje de error HTTP 404. Este problema puede estar relacionado con la configuración de DNS o la configuración de back-end de Azure Front Door. Realice estos pasos:

    • Asegúrese de que el dominio de URL personalizado esté registrado y se haya comprobado correctamente en el inquilino.
    • Asegúrese de que el dominio personalizado esté correctamente configurado. El registro CNAME del dominio personalizado debe apuntar al host de front-end predeterminado de Azure Front Door (por ejemplo, contoso-frontend.azurefd.net).
  • Mensaje de que nuestros servicios no están disponibles en este momento. Al intentar iniciar sesión con el dominio de URL personalizado, recibirá el siguiente mensaje de error: Nuestros servicios no están disponibles en este momento. Estamos trabajando para restaurar todos los servicios lo antes posible. Vuelva consultarlo pronto. Este problema puede estar relacionado con la configuración de la ruta de Azure Front Door. Compruebe el estado de la ruta predeterminada. Si está deshabilitada, habilítela.

  • El recurso se quitó, se han cambiado los nombres o no está disponible temporalmente. Al intentar iniciar sesión con el dominio de URL personalizado, aparece el siguiente mensaje de error: el recurso que busca se ha quitado, se le ha cambiado el nombre o no está disponible temporalmente. Este problema podría estar relacionado con la comprobación del dominio personalizado de Microsoft Entra. Asegúrese de que el dominio personalizado esté registrado y comprobado correctamente en el inquilino.

  • Código de error 399265: RoutingFromInvalidHost. Este código de error aparece cuando un inquilino realiza una solicitud desde un dominio que no se comprueba. Asegúrese de agregar los detalles del registro TXT en los registros DNS. Luego, vuelva a comprobar el nombre de dominio personalizado.

  • Código de error 399280: InvalidCustomUrlDomain. Este código de error aparece cuando un inquilino realiza una solicitud desde un dominio comprobado que no es un dominio de URL personalizado. Asegúrese de asociar el nombre de dominio personalizado a un dominio de URL personalizado.

Pasos siguientes

Consulte todas nuestras guías de ejemplo y tutoriales para compilar aplicaciones para la Id. externa.