Egyéni URL-tartományok engedélyezése külső bérlői alkalmazásokhoz (előzetes verzió)
A következőkre vonatkozik:Munkaerő-bérlők Külső bérlők (további információ)
Ez a cikk azt ismerteti, hogyan engedélyezheti az egyéni URL-tartományokat Microsoft Entra Külső ID külső bérlőkben lévő alkalmazásokhoz. Az egyéni URL-tartomány lehetővé teszi, hogy az alkalmazás bejelentkezési végpontjait saját egyéni URL-tartománnyal jelölje meg a Microsoft alapértelmezett tartományneve helyett.
Fontos
Ez a szolgáltatás jelenleg előzetes kiadásban elérhető. A bétaverzióban, előzetes verzióban vagy egyébként általánosan nem elérhető Azure-szolgáltatásokra és -szolgáltatásokra vonatkozó jogi feltételekért tekintse meg az online szolgáltatásokra vonatkozó univerzális licencfeltételeket.
Előfeltételek
- Megtudhatja, hogyan működnek az egyéni URL-tartományok a külső azonosítóban.
- Ha még nem hozott létre külső bérlőt, hozzon létre egyet most.
- Hozzon létre egy felhasználói folyamatot , hogy a felhasználók regisztrálhassák és bejelentkezhessenek az alkalmazásba.
- Webalkalmazás regisztrálása.
1. lépés: Egyéni tartománynév hozzáadása a bérlőhöz
Külső bérlő létrehozásakor a tartománynév.onmicrosoft.com kezdeti tartománynévvel <>rendelkezik. A kezdeti tartománynevet nem módosíthatja vagy törölheti, de hozzáadhatja saját egyéni tartománynevét. Ezekhez a lépésekhez mindenképpen jelentkezzen be a külső bérlő konfigurációjába a Microsoft Entra felügyeleti központban.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább Tartománynév-adminisztrátorként.
Válassza ki a külső bérlőt: Válassza a Gépház ikont a felső menüben, majd váltson a külső bérlőre.
Keresse meg az Identitás> Gépház> Tartománynevek>egyéni tartományneveket.
Adja hozzá az egyéni tartománynevet a Microsoft Entra-azonosítóhoz.
Adja hozzá a DNS-adatait a tartományregisztrálóhoz. Miután hozzáadta az egyéni tartománynevet a bérlőhöz, hozzon létre egy DNS-t
TXT
vagyMX
rekordot a tartományához. A tartomány dns-rekordjának létrehozása ellenőrzi a tartománynév tulajdonjogát.Az alábbiakban példákat talál a LOGIN.CONTOSO.COM és account.contoso.com TXT rekordjaira:
Név (állomásnév) Típus Adatok bejelentkezés TXT MS=ms12345678 account TXT MS=ms87654321 A TXT rekordot a tartomány altartományához vagy állomásnevéhez kell társítani (például a contoso.com tartomány bejelentkezési részét). Ha a gazdagépnév üres, vagy
@
a Microsoft Entra-azonosító nem tudja ellenőrizni a hozzáadott egyéni tartománynevet.Tipp.
Az egyéni tartománynevet bármely nyilvánosan elérhető DNS-szolgáltatással, például a GoDaddyvel kezelheti. Ha nem rendelkezik DNS-kiszolgálóval, használhatja az Azure DNS-zónát vagy az App Service-tartományokat.
Ellenőrizze az egyéni tartománynevet. Ellenőrizze az egyes használni kívánt altartományokat vagy gazdagépneveket. Ha például login.contoso.com és account.contoso.com szeretne bejelentkezni, mindkét altartományt ellenőriznie kell, nem csak a legfelső szintű tartományt contoso.com.
Fontos
A tartomány ellenőrzése után törölje a létrehozott DNS TXT rekordot.
2. lépés: Az egyéni tartománynév társítása egyéni URL-tartománnyal
Miután hozzáadta és ellenőrizte az egyéni tartománynevet a külső bérlőben, társítsa az egyéni tartománynevet egy egyéni URL-tartományhoz.
Jelentkezzen be a Microsoft Entra felügyeleti központjába.
Válassza ki a külső bérlőt: Válassza a Gépház ikont a felső menüben, majd váltson a külső bérlőre.
Lépjen az Identitás> Gépház> Tartománynevek>egyéni URL-tartományokra (előzetes verzió).
Válassza az Egyéni URL-tartomány hozzáadása lehetőséget.
Az Egyéni URL-cím hozzáadása panelen válassza ki az 1. lépésben megadott egyéni tartománynevet.
Válassza a Hozzáadás lehetőséget.
3. lépés: Új Azure Front Door-példány létrehozása
Azure Front Door létrehozásához kövesse az alábbi lépéseket:
Jelentkezzen be az Azure Portalra.
Válassza ki az Azure Front Door-előfizetést tartalmazó bérlőt: Válassza a Gépház ikont a felső menüben, majd váltson az Azure Front Door-előfizetést tartalmazó bérlőre.
Kövesse a Front Door-profil létrehozása – Gyors létrehozás című témakörben leírt lépéseket, hogy létrehozhasson egy Front Doort a bérlő számára az alábbi beállításokkal. Hagyja üresen a gyorsítótárazás és a WAF-házirend beállításait.
Kulcs Érték Előfizetés Válassza ki az Azure-előfizetését. Erőforráscsoport Válasszon ki egy meglévő erőforráscsoportot, vagy hozzon létre egy újat. Név Adjon nevet a profiljának, például ciamazurefrontdoor
: .Szint Válassza a Standard vagy a Premium szintet. A standard szint az optimalizált tartalomkézbesítés. A prémium szint a Standard szintre épül, és a biztonságra összpontosít. Lásd a réteg összehasonlítása című témakört. Végpont neve Adjon meg egy globálisan egyedi nevet a végpontnak, például ciamazurefrontdoor
. A végpont gazdagépneve automatikusan létrejön.Eredet típusa Válassza ki Custom
.Eredeti állomás neve Írja be <tenant-name>.ciamlogin.com
. Cserélje le<tenant-name>
például a bérlőcontoso.ciamlogin.com
nevét.Az Azure Front Door-erőforrás létrehozása után válassza az Áttekintés lehetőséget, és másolja ki a végpont gazdagépnevét egy későbbi lépésben való használatra. Úgy néz ki, mint
ciamazurefrontdoor-ab123e.z01.azurefd.net
.Győződjön meg arról, hogy a forrás állomásneve és Forrás állomásfejléce ugyanazzal az értékkel rendelkezik:
- A Gépház csoportban válassza az Origin-csoportokat.
- Válassza ki a forráscsoportot a listából, például az alapértelmezett forráscsoportot.
- A jobb oldali panelen válassza ki az Origin gazdagép nevét , például
contoso.ciamlogin.com
. - A Forrás frissítése panelen frissítse a gazdagép nevét és az Origin állomásfejlécet, hogy ugyanazzal az értékkel rendelkezzen.
4. lépés: Egyéni URL-tartomány beállítása az Azure Front Dooron
Ebben a lépésben hozzáadja az 1. lépésben regisztrált egyéni URL-tartományt az Azure Front Doorhoz.
4.1. CNAME DNS-rekord létrehozása
Az egyéni URL-tartomány hozzáadásához hozzon létre egy canonical name (CNAME) rekordot a tartományszolgáltatójával. A CNAME rekord olyan DNS-rekordtípus, amely egy forrástartománynevet egy céltartománynévre (alias) képez le. Az Azure Front Door esetében a forrástartománynév az egyéni URL-címtartomány neve, a céltartomány neve pedig a Front Door alapértelmezett állomásneve, amelyet például ciamazurefrontdoor-ab123e.z01.azurefd.net
a 2. lépésben konfigurált.
Miután a Front Door ellenőrizte a létrehozott CNAME rekordot, a rendszer átirányítja a forrás egyéni URL-tartományára (például login.contoso.com
) irányuló forgalmat a megadott célként megadott front door alapértelmezett előtér-gazdagépre, például contoso-frontend.azurefd.net
. További információ: Egyéni tartomány hozzáadása a Front Doorhoz.
CNAME rekord létrehozása az egyéni tartományhoz:
Jelentkezzen be az egyéni tartomány tartományszolgáltatójának webhelyére.
Keresse meg a DNS-rekordok kezelésére szolgáló oldal helyét a szolgáltató dokumentációjának segítségével, vagy a webhely Tartománynév, DNS vagy Névkiszolgáló kezelése területeinek áttekintésével.
Hozzon létre egy CNAME rekordbejegyzést az egyéni URL-tartományhoz, és töltse ki a mezőket az alábbi táblázatban látható módon.
Forrás Típus Cél <login.contoso.com>
CNAME contoso-frontend.azurefd.net
Forrás: Adja meg az egyéni URL-tartományt (például login.contoso.com).
Típus: Írja be a CNAME szöveget.
Cél: Adja meg a 2. lépésben létrehozott alapértelmezett Front Door előtér-gazdagépet. A következő formátumban kell lennie: <hostname.azurefd.net>, például
contoso-frontend.azurefd.net
.
Mentse a módosításokat.
4.2. Az egyéni URL-tartomány társítása a Front Doorhoz
Az Azure Portal kezdőlapján keresse meg és válassza ki az
ciamazurefrontdoor
Azure Front Door-erőforrást a megnyitásához.A bal oldali menü Gépház területén válassza a Tartományok lehetőséget.
Válassza a Tartomány hozzáadása lehetőséget.
A DNS-kezeléshez válassza az Összes többi DNS-szolgáltatás lehetőséget.
Egyéni tartomány esetén adja meg az egyéni tartományt, például
login.contoso.com
.Tartsa a többi értéket alapértelmezettként, majd válassza a Hozzáadás lehetőséget. Az egyéni tartomány hozzá lesz adva a listához.
Az imént hozzáadott tartomány érvényesítési állapota alatt válassza a Függőben lehetőséget. Megnyílik egy TXT rekordadatokat tartalmazó panel.
Jelentkezzen be az egyéni tartomány tartományszolgáltatójának webhelyére.
Keresse meg a DNS-rekordok kezelésére szolgáló oldal helyét a szolgáltató dokumentációjának segítségével, vagy a webhely Tartománynév, DNS vagy Névkiszolgáló kezelése területeinek áttekintésével.
Hozzon létre egy új TXT DNS-rekordot, és töltse ki a következő mezőket:
- Név: Adja meg például a résztartománynak csak az altartományát
_dnsauth.contoso.com
_dnsauth
- Típus:
TXT
- Érték: Például:
75abc123t48y2qrtsz2bvk......
A TXT DNS-rekord hozzáadása után a Front Door-erőforrás érvényesítési állapota végül függőben lévőről jóváhagyottra változik. Előfordulhat, hogy frissítenie kell a lapot a módosítás megtekintéséhez.
- Név: Adja meg például a résztartománynak csak az altartományát
Az Azure Portalon. Az imént hozzáadott tartomány végponttársításában válassza a Társítás nélküli lehetőséget.
A Végpont kiválasztása beállításnál válassza ki a gazdagépnév végpontot a legördülő listából.
Az Útvonalak kiválasztása lista esetében válassza az alapértelmezett útvonalat, majd válassza a Társítás lehetőséget.
4.3. Az útvonal engedélyezése
Az alapértelmezett útvonal az ügyfélről az Azure Front Doorra irányítja a forgalmat. Ezután az Azure Front Door az Ön konfigurációja alapján küldi el a forgalmat a külső bérlőnek. Az alapértelmezett útvonal engedélyezéséhez kövesse az alábbi lépéseket.
Válassza a Front Door kezelőjét.
Az alapértelmezett útvonal engedélyezéséhez először bontsa ki a végpontokat a Front Door manager végpontjainak listájából. Ezután válassza ki az alapértelmezett útvonalat.
Jelölje be az Engedélyezett útvonal jelölőnégyzetet.
A módosítások mentéséhez válassza a Frissítés lehetőséget.
Egyéni URL-tartományok tesztelése
Jelentkezzen be a Microsoft Entra felügyeleti központjába.
Válassza ki a külső bérlőt: Válassza a Gépház ikont a felső menüben, majd váltson a külső bérlőre.
A Külső identitások csoportban válassza a Felhasználói folyamatok lehetőséget.
Jelöljön ki egy felhasználói folyamatot, majd válassza a Felhasználói folyamat futtatása lehetőséget.
Alkalmazás esetén válassza ki a webapp1 nevű webalkalmazást, amelyet korábban regisztrált. A Válasz URL-címnek meg kell jelennie
https://jwt.ms
.Másolja ki az URL-címet a Felhasználói folyamat futtatása végpont alatt.
Ha egyéni tartományával szeretne bejelentkezni, nyisson meg egy webböngészőt, és használja a másolt URL-címet. Cserélje le a tartományt (<tenant-name.ciamlogin.com>) az egyéni tartományra.
Például a következő helyett:
https://contoso.ciamlogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
használat:
https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
Ellenőrizze, hogy a bejelentkezési oldal megfelelően van-e betöltve. Ezután jelentkezzen be egy helyi fiókkal.
Az alkalmazások konfigurálása
Miután konfigurálta és tesztelte az egyéni URL-tartományt, frissítse az alkalmazásokat úgy, hogy az alapértelmezett tartomány helyett az egyéni URL-címtartományt használja gazdagépnévként.
Az egyéni URL-tartományintegráció olyan hitelesítési végpontokra vonatkozik, amelyek külső azonosítójú felhasználói folyamatokat használnak a felhasználók hitelesítéséhez. A végpontok formátuma a következő:
https://<custom-url-domain>/<tenant-name>/v2.0/.well-known/openid-configuration
https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/authorize
https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/token
Csere:
- custom-url-domain with your custom URL domain
- bérlőnév a bérlő nevével vagy bérlőazonosítójával
Az SAML-szolgáltató metaadatai a következő példához hasonlóan nézhetnek ki:
https://custom-url-domain-name/tenant-name/Samlp/metadata
(Nem kötelező) A bérlőazonosító használata
Az URL-címben lévő külső bérlő nevét lecserélheti a bérlőazonosító GUID azonosítójával, hogy eltávolítsa az URL-cím "onmicrosoft.com" hivatkozásait. A bérlőazonosító GUID azonosítóját az Azure Portal Áttekintés lapján vagy a Microsoft Entra felügyeleti központban találja. Például váltson a https://account.contosobank.co.uk/contosobank.onmicrosoft.com/
következőre https://account.contosobank.co.uk/<tenant-ID-GUID>/
: .
Ha bérlőnév helyett bérlőazonosítót használ, mindenképpen frissítse az identitásszolgáltató OAuth átirányítási URI-jait . Ha bérlőnév helyett a bérlőazonosítót használja, egy érvényes OAuth-átirányítási URI az alábbi példához hasonlóan néz ki:
https://login.contoso.com/00001111-aaaa-2222-bbbb-3333cccc4444/oauth2/authresp
(Nem kötelező) Az Azure Front Door speciális konfigurációja
Az Azure Front Door speciális konfigurációját használhatja, például az Azure Web Application Firewallt (WAF). Az Azure WAF központi védelmet nyújt a webalkalmazásoknak a gyakori biztonsági rések és biztonsági rések ellen.
Egyéni tartományok használatakor vegye figyelembe a következő szempontokat:
- A WAF-szabályzatnak ugyanazzal a szinttel kell rendelkeznie, mint az Azure Front Door-profil. Az Azure Front Doorlal használható WAF-szabályzatok létrehozásáról további információt a WAF-szabályzat konfigurálása című témakörben talál.
- A WAF által felügyelt szabályok funkció hivatalosan nem támogatott, mivel hamis pozitív eredményeket okozhat, és megakadályozhatja a jogos kérések továbbítását, ezért csak akkor használja a WAF egyéni szabályait, ha megfelelnek az igényeinek.
Hibaelhárítás
A lap nem található üzenet. Amikor megpróbál bejelentkezni az egyéni URL-tartománnyal, egy HTTP 404-hibaüzenet jelenik meg. Ez a probléma a DNS-konfigurációval vagy az Azure Front Door háttérkonfigurációval kapcsolatos lehet. Próbálja meg a következőket:
- Győződjön meg arról, hogy az egyéni URL-tartomány regisztrálva van, és sikeresen ellenőrizve van a bérlőben.
- Győződjön meg arról, hogy az egyéni tartomány megfelelően van konfigurálva. Az
CNAME
egyéni tartomány rekordjának az Azure Front Door alapértelmezett előtér-gazdagépére kell mutatnia (például contoso-frontend.azurefd.net).
Szolgáltatásaink jelenleg nem érhetők el. Amikor megpróbál bejelentkezni az egyéni URL-tartománnyal, a következő hibaüzenet jelenik meg: Szolgáltatásaink jelenleg nem érhetők el. Dolgozunk azon, hogy a lehető leghamarabb visszaállítsuk az összes szolgáltatást. Kérjük, látogasson vissza hamarosan. Ez a probléma az Azure Front Door útvonalkonfigurációjához kapcsolódhat. Ellenőrizze az alapértelmezett útvonal állapotát. Ha le van tiltva, engedélyezze az útvonalat.
Az erőforrás el lett távolítva, módosította a neveket, vagy ideiglenesen nem érhető el. Amikor az egyéni URL-tartománnyal próbál bejelentkezni, hibaüzenet jelenik meg, hogy a keresett erőforrás el lett távolítva, a neve megváltozott, vagy ideiglenesen nem érhető el. Ez a probléma a Microsoft Entra egyéni tartományellenőrzésével kapcsolatos lehet. Győződjön meg arról, hogy az egyéni tartomány regisztrálva van, és sikeresen ellenőrizve van a bérlőben.
Hibakód 399265: RoutingFromInvalidHost. Ez a hibakód akkor jelenik meg, ha egy bérlő nem ellenőrzött tartományból kér kérelmet. Adja hozzá a TXT rekord adatait a DNS-rekordokhoz. Ezután ellenőrizze ismét az egyéni tartománynevet .
Hibakód: 399280: InvalidCustomUrlDomain. Ez a hibakód akkor jelenik meg, ha egy bérlő olyan ellenőrzött tartományból kér kérelmet, amely nem egyéni URL-tartomány. Mindenképpen társítsa az egyéni tartománynevet egy egyéni URL-tartományhoz.
Következő lépések
Tekintse meg a külső azonosítóhoz készült alkalmazások készítéséhez szükséges összes minta útmutatót és oktatóanyagot.