Megosztás a következőn keresztül:

Egyéni URL-tartományok engedélyezése külső bérlői alkalmazásokhoz (előzetes verzió)

  • Cikk

A következőkre vonatkozik:Fehér kör szürke X szimbólummal.Munkaerő-bérlők Zöld kör fehér pipa jellel. Külső bérlők (további információ)

Ez a cikk azt ismerteti, hogyan engedélyezheti az egyéni URL-tartományokat Microsoft Entra Külső ID külső bérlőkben lévő alkalmazásokhoz. Az egyéni URL-tartomány lehetővé teszi, hogy az alkalmazás bejelentkezési végpontjait saját egyéni URL-tartománnyal jelölje meg a Microsoft alapértelmezett tartományneve helyett.

Fontos

Ez a szolgáltatás jelenleg előzetes kiadásban elérhető. A bétaverzióban, előzetes verzióban vagy egyébként általánosan nem elérhető Azure-szolgáltatásokra és -szolgáltatásokra vonatkozó jogi feltételekért tekintse meg az online szolgáltatásokra vonatkozó univerzális licencfeltételeket.

Előfeltételek

1. lépés: Egyéni tartománynév hozzáadása a bérlőhöz

Külső bérlő létrehozásakor a tartománynév.onmicrosoft.com kezdeti tartománynévvel <>rendelkezik. A kezdeti tartománynevet nem módosíthatja vagy törölheti, de hozzáadhatja saját egyéni tartománynevét. Ezekhez a lépésekhez mindenképpen jelentkezzen be a külső bérlő konfigurációjába a Microsoft Entra felügyeleti központban.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább Tartománynév-adminisztrátorként.

  2. Válassza ki a külső bérlőt: Válassza a Gépház ikont a felső menüben, majd váltson a külső bérlőre.

  3. Keresse meg az Identitás> Gépház> Tartománynevek>egyéni tartományneveket.

  4. Adja hozzá az egyéni tartománynevet a Microsoft Entra-azonosítóhoz.

  5. Adja hozzá a DNS-adatait a tartományregisztrálóhoz. Miután hozzáadta az egyéni tartománynevet a bérlőhöz, hozzon létre egy DNS-t TXT vagy MX rekordot a tartományához. A tartomány dns-rekordjának létrehozása ellenőrzi a tartománynév tulajdonjogát.

    Az alábbiakban példákat talál a LOGIN.CONTOSO.COM és account.contoso.com TXT rekordjaira:

    Név (állomásnév) Típus Adatok
    bejelentkezés TXT MS=ms12345678
    account TXT MS=ms87654321

    A TXT rekordot a tartomány altartományához vagy állomásnevéhez kell társítani (például a contoso.com tartomány bejelentkezési részét). Ha a gazdagépnév üres, vagy @a Microsoft Entra-azonosító nem tudja ellenőrizni a hozzáadott egyéni tartománynevet.

    Tipp.

    Az egyéni tartománynevet bármely nyilvánosan elérhető DNS-szolgáltatással, például a GoDaddyvel kezelheti. Ha nem rendelkezik DNS-kiszolgálóval, használhatja az Azure DNS-zónát vagy az App Service-tartományokat.

  6. Ellenőrizze az egyéni tartománynevet. Ellenőrizze az egyes használni kívánt altartományokat vagy gazdagépneveket. Ha például login.contoso.com és account.contoso.com szeretne bejelentkezni, mindkét altartományt ellenőriznie kell, nem csak a legfelső szintű tartományt contoso.com.

    Fontos

    A tartomány ellenőrzése után törölje a létrehozott DNS TXT rekordot.

2. lépés: Az egyéni tartománynév társítása egyéni URL-tartománnyal

Miután hozzáadta és ellenőrizte az egyéni tartománynevet a külső bérlőben, társítsa az egyéni tartománynevet egy egyéni URL-tartományhoz.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központjába.

  2. Válassza ki a külső bérlőt: Válassza a Gépház ikont a felső menüben, majd váltson a külső bérlőre.

  3. Lépjen az Identitás> Gépház> Tartománynevek>egyéni URL-tartományokra (előzetes verzió).

  4. Válassza az Egyéni URL-tartomány hozzáadása lehetőséget.

  5. Az Egyéni URL-cím hozzáadása panelen válassza ki az 1. lépésben megadott egyéni tartománynevet.

    Képernyőkép az Egyéni URL-tartomány hozzáadása panelről.

  6. Válassza a Hozzáadás lehetőséget.

3. lépés: Új Azure Front Door-példány létrehozása

Azure Front Door létrehozásához kövesse az alábbi lépéseket:

  1. Jelentkezzen be az Azure Portalra.

  2. Válassza ki az Azure Front Door-előfizetést tartalmazó bérlőt: Válassza a Gépház ikont a felső menüben, majd váltson az Azure Front Door-előfizetést tartalmazó bérlőre.

  3. Kövesse a Front Door-profil létrehozása – Gyors létrehozás című témakörben leírt lépéseket, hogy létrehozhasson egy Front Doort a bérlő számára az alábbi beállításokkal. Hagyja üresen a gyorsítótárazás és a WAF-házirend beállításait.

    Kulcs Érték
    Előfizetés Válassza ki az Azure-előfizetését.
    Erőforráscsoport Válasszon ki egy meglévő erőforráscsoportot, vagy hozzon létre egy újat.
    Név Adjon nevet a profiljának, például ciamazurefrontdoor: .
    Szint Válassza a Standard vagy a Premium szintet. A standard szint az optimalizált tartalomkézbesítés. A prémium szint a Standard szintre épül, és a biztonságra összpontosít. Lásd a réteg összehasonlítása című témakört.
    Végpont neve Adjon meg egy globálisan egyedi nevet a végpontnak, például ciamazurefrontdoor. A végpont gazdagépneve automatikusan létrejön.
    Eredet típusa Válassza ki Custom.
    Eredeti állomás neve Írja be <tenant-name>.ciamlogin.com. Cserélje le <tenant-name> például a bérlő contoso.ciamlogin.comnevét.

  4. Az Azure Front Door-erőforrás létrehozása után válassza az Áttekintés lehetőséget, és másolja ki a végpont gazdagépnevét egy későbbi lépésben való használatra. Úgy néz ki, mint ciamazurefrontdoor-ab123e.z01.azurefd.net.

  5. Győződjön meg arról, hogy a forrás állomásneve és Forrás állomásfejléce ugyanazzal az értékkel rendelkezik:

    1. A Gépház csoportban válassza az Origin-csoportokat.
    2. Válassza ki a forráscsoportot a listából, például az alapértelmezett forráscsoportot.
    3. A jobb oldali panelen válassza ki az Origin gazdagép nevét , például contoso.ciamlogin.com.
    4. A Forrás frissítése panelen frissítse a gazdagép nevét és az Origin állomásfejlécet, hogy ugyanazzal az értékkel rendelkezzen.

    Képernyőkép a gazdagépnév és a forrás állomásfejlécmezőiről.

4. lépés: Egyéni URL-tartomány beállítása az Azure Front Dooron

Ebben a lépésben hozzáadja az 1. lépésben regisztrált egyéni URL-tartományt az Azure Front Doorhoz.

4.1. CNAME DNS-rekord létrehozása

Az egyéni URL-tartomány hozzáadásához hozzon létre egy canonical name (CNAME) rekordot a tartományszolgáltatójával. A CNAME rekord olyan DNS-rekordtípus, amely egy forrástartománynevet egy céltartománynévre (alias) képez le. Az Azure Front Door esetében a forrástartománynév az egyéni URL-címtartomány neve, a céltartomány neve pedig a Front Door alapértelmezett állomásneve, amelyet például ciamazurefrontdoor-ab123e.z01.azurefd.neta 2. lépésben konfigurált.

Miután a Front Door ellenőrizte a létrehozott CNAME rekordot, a rendszer átirányítja a forrás egyéni URL-tartományára (például login.contoso.com) irányuló forgalmat a megadott célként megadott front door alapértelmezett előtér-gazdagépre, például contoso-frontend.azurefd.net. További információ: Egyéni tartomány hozzáadása a Front Doorhoz.

CNAME rekord létrehozása az egyéni tartományhoz:

  1. Jelentkezzen be az egyéni tartomány tartományszolgáltatójának webhelyére.

  2. Keresse meg a DNS-rekordok kezelésére szolgáló oldal helyét a szolgáltató dokumentációjának segítségével, vagy a webhely Tartománynév, DNS vagy Névkiszolgáló kezelése területeinek áttekintésével.

  3. Hozzon létre egy CNAME rekordbejegyzést az egyéni URL-tartományhoz, és töltse ki a mezőket az alábbi táblázatban látható módon.

    Forrás Típus Cél
    <login.contoso.com> CNAME contoso-frontend.azurefd.net

    • Forrás: Adja meg az egyéni URL-tartományt (például login.contoso.com).

    • Típus: Írja be a CNAME szöveget.

    • Cél: Adja meg a 2. lépésben létrehozott alapértelmezett Front Door előtér-gazdagépet. A következő formátumban kell lennie: <hostname.azurefd.net>, például contoso-frontend.azurefd.net.

  4. Mentse a módosításokat.

4.2. Az egyéni URL-tartomány társítása a Front Doorhoz

  1. Az Azure Portal kezdőlapján keresse meg és válassza ki az ciamazurefrontdoor Azure Front Door-erőforrást a megnyitásához.

  2. A bal oldali menü Gépház területén válassza a Tartományok lehetőséget.

  3. Válassza a Tartomány hozzáadása lehetőséget.

  4. A DNS-kezeléshez válassza az Összes többi DNS-szolgáltatás lehetőséget.

  5. Egyéni tartomány esetén adja meg az egyéni tartományt, példáullogin.contoso.com.

  6. Tartsa a többi értéket alapértelmezettként, majd válassza a Hozzáadás lehetőséget. Az egyéni tartomány hozzá lesz adva a listához.

  7. Az imént hozzáadott tartomány érvényesítési állapota alatt válassza a Függőben lehetőséget. Megnyílik egy TXT rekordadatokat tartalmazó panel.

    1. Jelentkezzen be az egyéni tartomány tartományszolgáltatójának webhelyére.

    2. Keresse meg a DNS-rekordok kezelésére szolgáló oldal helyét a szolgáltató dokumentációjának segítségével, vagy a webhely Tartománynév, DNS vagy Névkiszolgáló kezelése területeinek áttekintésével.

    3. Hozzon létre egy új TXT DNS-rekordot, és töltse ki a következő mezőket:

      • Név: Adja meg például a résztartománynak csak az altartományát _dnsauth.contoso.com_dnsauth
      • Típus: TXT
      • Érték: Például: 75abc123t48y2qrtsz2bvk......

      A TXT DNS-rekord hozzáadása után a Front Door-erőforrás érvényesítési állapota végül függőben lévőről jóváhagyottra változik. Előfordulhat, hogy frissítenie kell a lapot a módosítás megtekintéséhez.

  8. Az Azure Portalon. Az imént hozzáadott tartomány végponttársításában válassza a Társítás nélküli lehetőséget.

  9. A Végpont kiválasztása beállításnál válassza ki a gazdagépnév végpontot a legördülő listából.

  10. Az Útvonalak kiválasztása lista esetében válassza az alapértelmezett útvonalat, majd válassza a Társítás lehetőséget.

4.3. Az útvonal engedélyezése

Az alapértelmezett útvonal az ügyfélről az Azure Front Doorra irányítja a forgalmat. Ezután az Azure Front Door az Ön konfigurációja alapján küldi el a forgalmat a külső bérlőnek. Az alapértelmezett útvonal engedélyezéséhez kövesse az alábbi lépéseket.

  1. Válassza a Front Door kezelőjét.

  2. Az alapértelmezett útvonal engedélyezéséhez először bontsa ki a végpontokat a Front Door manager végpontjainak listájából. Ezután válassza ki az alapértelmezett útvonalat.

  3. Jelölje be az Engedélyezett útvonal jelölőnégyzetet.

  4. A módosítások mentéséhez válassza a Frissítés lehetőséget.

Egyéni URL-tartományok tesztelése

  1. Jelentkezzen be a Microsoft Entra felügyeleti központjába.

  2. Válassza ki a külső bérlőt: Válassza a Gépház ikont a felső menüben, majd váltson a külső bérlőre.

  3. A Külső identitások csoportban válassza a Felhasználói folyamatok lehetőséget.

  4. Jelöljön ki egy felhasználói folyamatot, majd válassza a Felhasználói folyamat futtatása lehetőséget.

  5. Alkalmazás esetén válassza ki a webapp1 nevű webalkalmazást, amelyet korábban regisztrált. A Válasz URL-címnek meg kell jelennie https://jwt.ms.

  6. Másolja ki az URL-címet a Felhasználói folyamat futtatása végpont alatt.

    Képernyőkép a felhasználói folyamat futtatásáról.

  7. Ha egyéni tartományával szeretne bejelentkezni, nyisson meg egy webböngészőt, és használja a másolt URL-címet. Cserélje le a tartományt (<tenant-name.ciamlogin.com>) az egyéni tartományra.

    Például a következő helyett:

    https://contoso.ciamlogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login

    használat:

    https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login

  8. Ellenőrizze, hogy a bejelentkezési oldal megfelelően van-e betöltve. Ezután jelentkezzen be egy helyi fiókkal.

Az alkalmazások konfigurálása

Miután konfigurálta és tesztelte az egyéni URL-tartományt, frissítse az alkalmazásokat úgy, hogy az alapértelmezett tartomány helyett az egyéni URL-címtartományt használja gazdagépnévként.

Az egyéni URL-tartományintegráció olyan hitelesítési végpontokra vonatkozik, amelyek külső azonosítójú felhasználói folyamatokat használnak a felhasználók hitelesítéséhez. A végpontok formátuma a következő:

  • https://<custom-url-domain>/<tenant-name>/v2.0/.well-known/openid-configuration

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/authorize

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/token

Csere:

  • custom-url-domain with your custom URL domain
  • bérlőnév a bérlő nevével vagy bérlőazonosítójával

Az SAML-szolgáltató metaadatai a következő példához hasonlóan nézhetnek ki:

https://custom-url-domain-name/tenant-name/Samlp/metadata

(Nem kötelező) A bérlőazonosító használata

Az URL-címben lévő külső bérlő nevét lecserélheti a bérlőazonosító GUID azonosítójával, hogy eltávolítsa az URL-cím "onmicrosoft.com" hivatkozásait. A bérlőazonosító GUID azonosítóját az Azure Portal Áttekintés lapján vagy a Microsoft Entra felügyeleti központban találja. Például váltson a https://account.contosobank.co.uk/contosobank.onmicrosoft.com/ következőre https://account.contosobank.co.uk/<tenant-ID-GUID>/: .

Ha bérlőnév helyett bérlőazonosítót használ, mindenképpen frissítse az identitásszolgáltató OAuth átirányítási URI-jait . Ha bérlőnév helyett a bérlőazonosítót használja, egy érvényes OAuth-átirányítási URI az alábbi példához hasonlóan néz ki:

https://login.contoso.com/00001111-aaaa-2222-bbbb-3333cccc4444/oauth2/authresp

(Nem kötelező) Az Azure Front Door speciális konfigurációja

Az Azure Front Door speciális konfigurációját használhatja, például az Azure Web Application Firewallt (WAF). Az Azure WAF központi védelmet nyújt a webalkalmazásoknak a gyakori biztonsági rések és biztonsági rések ellen.

Egyéni tartományok használatakor vegye figyelembe a következő szempontokat:

  • A WAF-szabályzatnak ugyanazzal a szinttel kell rendelkeznie, mint az Azure Front Door-profil. Az Azure Front Doorlal használható WAF-szabályzatok létrehozásáról további információt a WAF-szabályzat konfigurálása című témakörben talál.
  • A WAF által felügyelt szabályok funkció hivatalosan nem támogatott, mivel hamis pozitív eredményeket okozhat, és megakadályozhatja a jogos kérések továbbítását, ezért csak akkor használja a WAF egyéni szabályait, ha megfelelnek az igényeinek.

Hibaelhárítás

  • A lap nem található üzenet. Amikor megpróbál bejelentkezni az egyéni URL-tartománnyal, egy HTTP 404-hibaüzenet jelenik meg. Ez a probléma a DNS-konfigurációval vagy az Azure Front Door háttérkonfigurációval kapcsolatos lehet. Próbálja meg a következőket:

    • Győződjön meg arról, hogy az egyéni URL-tartomány regisztrálva van, és sikeresen ellenőrizve van a bérlőben.
    • Győződjön meg arról, hogy az egyéni tartomány megfelelően van konfigurálva. Az CNAME egyéni tartomány rekordjának az Azure Front Door alapértelmezett előtér-gazdagépére kell mutatnia (például contoso-frontend.azurefd.net).

  • Szolgáltatásaink jelenleg nem érhetők el. Amikor megpróbál bejelentkezni az egyéni URL-tartománnyal, a következő hibaüzenet jelenik meg: Szolgáltatásaink jelenleg nem érhetők el. Dolgozunk azon, hogy a lehető leghamarabb visszaállítsuk az összes szolgáltatást. Kérjük, látogasson vissza hamarosan. Ez a probléma az Azure Front Door útvonalkonfigurációjához kapcsolódhat. Ellenőrizze az alapértelmezett útvonal állapotát. Ha le van tiltva, engedélyezze az útvonalat.

  • Az erőforrás el lett távolítva, módosította a neveket, vagy ideiglenesen nem érhető el. Amikor az egyéni URL-tartománnyal próbál bejelentkezni, hibaüzenet jelenik meg, hogy a keresett erőforrás el lett távolítva, a neve megváltozott, vagy ideiglenesen nem érhető el. Ez a probléma a Microsoft Entra egyéni tartományellenőrzésével kapcsolatos lehet. Győződjön meg arról, hogy az egyéni tartomány regisztrálva van, és sikeresen ellenőrizve van a bérlőben.

  • Hibakód 399265: RoutingFromInvalidHost. Ez a hibakód akkor jelenik meg, ha egy bérlő nem ellenőrzött tartományból kér kérelmet. Adja hozzá a TXT rekord adatait a DNS-rekordokhoz. Ezután ellenőrizze ismét az egyéni tartománynevet .

  • Hibakód: 399280: InvalidCustomUrlDomain. Ez a hibakód akkor jelenik meg, ha egy bérlő olyan ellenőrzött tartományból kér kérelmet, amely nem egyéni URL-tartomány. Mindenképpen társítsa az egyéni tartománynevet egy egyéni URL-tartományhoz.

Következő lépések

Tekintse meg a külső azonosítóhoz készült alkalmazások készítéséhez szükséges összes minta útmutatót és oktatóanyagot.