Mengaktifkan domain URL kustom untuk aplikasi di penyewa eksternal (Pratinjau)
Berlaku untuk: Penyewa Tenaga Kerja Penyewa
eksternal (pelajari lebih lanjut)
Artikel ini menjelaskan cara mengaktifkan domain URL kustom untuk aplikasi ID Eksternal Microsoft Entra di penyewa eksternal. Domain URL kustom memungkinkan Anda untuk memberi merek titik akhir masuk aplikasi Anda dengan domain URL kustom Anda sendiri alih-alih nama domain default Microsoft.
Penting
Fitur ini masih dalam mode pratinjau. Lihat Ketentuan Lisensi Universal untuk Layanan Online untuk persyaratan hukum yang berlaku untuk fitur dan layanan Azure yang dalam versi beta, pratinjau, atau tidak tersedia secara umum.
Prasyarat
- Pelajari cara kerja domain URL kustom di ID Eksternal.
- Jika Anda belum membuat penyewa eksternal, buat penyewa sekarang.
- Buat alur pengguna agar pengguna dapat mendaftar dan masuk ke aplikasi Anda.
- Daftarkan aplikasi web.
Langkah 1: Menambahkan nama domain kustom ke penyewa Anda
Saat Anda membuat penyewa eksternal, penyewa tersebut dilengkapi dengan nama domain awal, <domainname.onmicrosoft.com>. Anda tidak dapat mengubah atau menghapus nama domain awal, tetapi Anda bisa menambahkan nama domain kustom Anda sendiri. Untuk langkah-langkah ini, pastikan untuk masuk ke konfigurasi penyewa eksternal Anda di pusat admin Microsoft Entra.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Nama Domain.
Pilih penyewa eksternal Anda: Pilih ikon Pengaturan di menu atas, lalu beralih ke penyewa eksternal Anda.
Navigasi ke Identitas> Pengaturan> Nama domain kustom Nama>domain kustom.
Tambahkan nama domain kustom Anda ke ID Microsoft Entra.
Tambahkan informasi DNS Anda ke pendaftar domain. Setelah Anda menambahkan nama domain kustom ke penyewa Anda, buat DNS
TXT
atauMX
catatan untuk domain Anda. Membuat catatan DNS ini untuk domain Anda bisa memverifikasi kepemilikan nama domain Anda.Berikut ini adalah contoh catatan TXT untuk login.contoso.com dan account.contoso.com:
Nama (nama host) Jenis Data masuk TXT MS=ms12345678 akun TXT MS=ms87654321 Catatan TXT harus dikaitkan dengan subdomain atau nama host domain (misalnya, bagian masuk dari domain contoso.com ). Jika nama host kosong atau
@
, ID Microsoft Entra tidak dapat memverifikasi nama domain kustom yang Anda tambahkan.Tip
Anda dapat mengelola nama domain kustom Anda dengan layanan DNS apa pun yang tersedia untuk umum, seperti GoDaddy. Jika Anda tidak memiliki server DNS, Anda dapat menggunakan zona Azure DNS, atau domain Azure App Service.
Verifikasi nama domain kustom Anda. Verifikasi setiap subdomain atau nama host yang Anda rencanakan untuk digunakan. Misalnya, untuk dapat masuk dengan login.contoso.com dan account.contoso.com, Anda perlu memverifikasi kedua subdomain dan bukan hanya domain tingkat atas contoso.com.
Penting
Setelah domain diverifikasi, hapus catatan DNS TXT yang Anda buat.
Langkah 2: Mengaitkan nama domain kustom dengan domain URL kustom
Setelah Anda menambahkan dan memverifikasi nama domain kustom di penyewa eksternal Anda, kaitkan nama domain kustom dengan domain URL kustom.
Masuk ke Pusat Admin Microsoft Entra.
Pilih penyewa eksternal Anda: Pilih ikon Pengaturan di menu atas, lalu beralih ke penyewa eksternal Anda.
Navigasi ke Identitas> Pengaturan> Domain nama>domain URL Kustom (Pratinjau).
Pilih Tambahkan domain url kustom.
Di panel Tambahkan domain url kustom, pilih nama domain kustom yang Anda masukkan di Langkah 1.
Pilih Tambahkan.
Langkah 3: Buat instans Azure Front Door baru
Ikuti langkah-langkah ini untuk membuat Azure Front Door:
Masuk ke portal Azure.
Pilih penyewa yang berisi langganan Azure Front Door Anda: Pilih ikon Pengaturan di menu atas, lalu beralih ke penyewa yang berisi langganan Azure Front Door Anda.
Ikuti langkah-langkah di Membuat profil Front Door - Buat Cepat untuk membuat Front Door untuk penyewa Anda menggunakan pengaturan berikut. Biarkan pengaturan kebijakan Penembolokan dan WAF kosong.
Tombol Nilai Langganan Pilih langganan Azure Anda. Grup sumber daya Pilih grup sumber daya yang sudah ada atau buat yang baru. Nama Beri nama profil Anda seperti ciamazurefrontdoor
.Tingkat Pilih tingkat Standar atau Premium. Tingkat standar adalah pengiriman konten yang dioptimalkan. Tingkat premium dibangun pada tingkat Standar dan berfokus pada keamanan. Lihat Perbandingan Tingkat. Nama titik akhir 2 Masukkan nama unik global untuk titik akhir Anda, seperti ciamazurefrontdoor
. Nama host titik akhir dibuat secara otomatis.Jenis Asal Pilih Custom
.Nama host asal Memasuki <tenant-name>.ciamlogin.com
. Ganti<tenant-name>
dengan nama penyewa Anda, misalnyacontoso.ciamlogin.com
.Setelah sumber daya Azure Front Door dibuat, pilih Gambaran Umum, dan salin nama host Titik Akhir untuk digunakan di langkah selanjutnya. Ini terlihat seperti
ciamazurefrontdoor-ab123e.z01.azurefd.net
.Pastikan Nama host dan Header host asal asal Anda memiliki nilai yang sama:
- Di bawah Pengaturan, pilih Grup asal.
- Pilih grup asal Anda dari daftar, seperti default-origin-group.
- Di panel kanan, pilih Nama host asal Anda seperti
contoso.ciamlogin.com
. - Pada panel Perbarui asal, perbarui Nama host dan Header host asal agar memiliki nilai yang sama.
Langkah 4: Siapkan domain URL kustom Anda di Azure Front Door
Dalam langkah ini, Anda menambahkan domain URL kustom yang Anda daftarkan di Langkah 1 ke Azure Front Door Anda.
4.1. Membuat data CNAME di DNS
Untuk menambahkan domain URL kustom, buat catatan nama kanonis (CNAME) dengan penyedia domain Anda. Catatan CNAME adalah jenis catatan DNS yang memetakan nama domain sumber ke nama domain tujuan (alias). Untuk Azure Front Door, nama domain sumber adalah nama domain URL kustom Anda, dan nama domain tujuan adalah nama host default Front Door yang Anda konfigurasi di Langkah 2, misalnya, ciamazurefrontdoor-ab123e.z01.azurefd.net
.
Setelah Front Door memverifikasi data CNAME yang Anda buat, lalu lintas yang ditujukan ke domain URL kustom sumber (seperti login.contoso.com
) dirutekan ke host frontend default Front Door tujuan yang ditentukan, seperti contoso-frontend.azurefd.net
. Untuk informasi selengkapnya, lihat menambahkan domain kustom ke Azure Front Door Anda.
Membuat rekaman CNAME untuk domain kustom Anda:
Masuk ke situs web penyedia domain untuk domain kustom Anda.
Temukan halaman untuk mengelola catatan DNS dengan berkonsultasi kepada dokumentasi penyedia atau mencari area situs web berlabel Nama Domain, DNS, atau Manajemen server nama.
Buat entri data CNAME untuk domain URL kustom Anda dan selesaikan bidang seperti yang diperlihatkan dalam tabel berikut.
Sumber Jenis Tujuan <login.contoso.com>
CNAME contoso-frontend.azurefd.net
Sumber: Masukkan domain URL kustom Anda (misalnya, login.contoso.com).
Ketik: Masukkan CNAME.
Tujuan: Masukkan host frontend Front Door default yang Anda buat di Langkah 2. Ini harus dalam format berikut: <hostname.azurefd.net>, misalnya,
contoso-frontend.azurefd.net
.
Simpan perubahan.
4.2. Mengaitkan domain URL kustom dengan Front Door Anda
Di beranda portal Azure, cari dan pilih sumber daya
ciamazurefrontdoor
Azure Front Door untuk membukanya.Di menu sebelah kiri, di bawah Pengaturan, pilih Domain.
Pilih Tambahkan domain.
Untuk manajemen DNS, pilih Semua layanan DNS lainnya.
Untuk Domain Kustom, masukkan domain kustom Anda, seperti
login.contoso.com
.Pertahankan nilai lainnya sebagai default, lalu pilih Tambahkan. Domain kustom Anda ditambahkan ke daftar.
Di bawah Status validasi domain yang baru saja Anda tambahkan, pilih Tertunda. Panel dengan info rekaman TXT akan terbuka.
Masuk ke situs web penyedia domain untuk domain kustom Anda.
Temukan halaman untuk mengelola catatan DNS dengan berkonsultasi kepada dokumentasi penyedia atau mencari area situs web berlabel Nama Domain, DNS, atau Manajemen server nama.
Buat catatan DNS TXT baru dan selesaikan bidang berikut ini:
- Nama: Masukkan hanya bagian subdomain dari
_dnsauth.contoso.com
, misalnya_dnsauth
- Jenis:
TXT
- Nilai: Misalnya,
75abc123t48y2qrtsz2bvk......
Setelah Anda menambahkan rekaman TXT DNS, Status Validasi di sumber daya Front Door pada akhirnya akan berubah dari Tertunda menjadi Disetujui. Anda mungkin perlu me-refresh halaman untuk melihat perubahan.
- Nama: Masukkan hanya bagian subdomain dari
Di portal Azure. Di bawah Asosiasi titik akhir domain yang baru saja Anda tambahkan, pilih Tidak terkait.
Untuk Pilih titik akhir, pilih titik akhir nama host dari menu dropdown.
Untuk Pilih daftar rute, pilih rute default, lalu pilih Asosiasi.
4.3. Mengaktifkan rute
Rute default merutekan lalu lintas dari klien ke Azure Front Door. Kemudian, Azure Front Door menggunakan konfigurasi Anda untuk mengirim lalu lintas ke penyewa eksternal. Untuk mengaktifkan rute default, ikuti langkah-langkah ini.
Pilih Manajer Front Door.
Untuk mengaktifkan rute default, pertama-tama perluas titik akhir dari daftar titik akhir di manajer Front Door. Kemudian, pilih rute default.
Pilih kotak centang Rute yang diaktifkan.
Pilih Perbarui untuk menyimpan perubahan.
Menguji domain URL kustom Anda
Masuk ke Pusat Admin Microsoft Entra.
Pilih penyewa eksternal Anda: Pilih ikon Pengaturan di menu atas, lalu beralih ke penyewa eksternal Anda.
Di bawah Identitas Eksternal, pilih Alur pengguna.
Pilih alur pengguna, lalu pilih Jalankan alur pengguna.
Untuk Aplikasi, pilih aplikasi web bernama webapp1 yang sebelumnya Anda daftarkan. URL Balasan harus menunjukkan
https://jwt.ms
.Salin URL di bawah Jalankan titik akhir alur pengguna.
Untuk menyimulasikan proses masuk dengan domain kustom Anda, buka browser web dan gunakan URL yang Anda salin. Ganti domain (<tenant-name.ciamlogin.com>) dengan domain kustom Anda.
Misalnya, sebagai ganti dari:
https://contoso.ciamlogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
gunakan:
https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
Verifikasi bahwa halaman masuk dimuat dengan benar. Kemudian, masuk dengan akun lokal.
Mengonfigurasi aplikasi Anda
Setelah Mengonfigurasi dan menguji domain URL kustom, perbarui aplikasi Anda untuk memuat URL dengan domain URL kustom Anda sebagai nama host, bukan domain default.
Integrasi domain URL kustom berlaku untuk titik akhir autentikasi yang menggunakan alur pengguna ID Eksternal untuk mengautentikasi pengguna. Titik akhir ini memiliki format berikut:
https://<custom-url-domain>/<tenant-name>/v2.0/.well-known/openid-configuration
https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/authorize
https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/token
Ganti:
- custom-url-domain dengan domain URL kustom Anda
- tenant-name dengan nama penyewa atau ID penyewa Anda
Metadata penyedia layanan SAML mungkin terlihat seperti sampel berikut:
https://custom-url-domain-name/tenant-name/Samlp/metadata
(Opsional) Menggunakan ID penyewa
Anda dapat mengganti nama penyewa eksternal di URL dengan GUID ID penyewa Anda untuk menghapus semua referensi ke "onmicrosoft.com" di URL. Anda dapat menemukan GUID ID penyewa di halaman Gambaran Umum di portal Azure atau pusat admin Microsoft Entra. Misalnya, ubah https://account.contosobank.co.uk/contosobank.onmicrosoft.com/
menjadi https://account.contosobank.co.uk/<tenant-ID-GUID>/
.
Jika Anda memilih untuk menggunakan ID penyewa sebagai ganti dari nama penyewa, pastikan untuk memperbarui IdP URI pengalihan OAuth yang sesuai. Saat Anda menggunakan ID penyewa alih-alih nama penyewa, URI pengalihan OAuth yang valid terlihat mirip dengan sampel berikut:
https://login.contoso.com/00001111-aaaa-2222-bbbb-3333cccc4444/oauth2/authresp
(Optional) Konfigurasi tingkat lanjut Azure Front Door
Anda dapat menggunakan konfigurasi lanjutan Azure Front Door, seperti Azure Web Application Firewall (WAF). Azure WAF memberikan perlindungan terpusat pada aplikasi web Anda dari eksploitasi dan kerentanan umum.
Saat menggunakan domain kustom, pertimbangkan hal-hal berikut:
- Kebijakan WAF harus sama dengan profil Azure Front Door. Untuk informasi selengkapnya tentang cara membuat kebijakan WAF untuk digunakan dengan Azure Front Door, lihat Mengonfigurasi kebijakan WAF.
- Fitur aturan terkelola WAF tidak didukung secara resmi karena dapat menyebabkan kesalahan positif dan mencegah permintaan yang sah melewatinya, jadi hanya gunakan aturan kustom WAF jika memenuhi kebutuhan Anda.
Pemecahan Masalah
Halaman tidak menemukan pesan. Ketika Anda mencoba masuk dengan domain URL kustom, Anda mendapatkan pesan kesalahan HTTP 404. Masalah ini mungkin terkait dengan konfigurasi DNS atau konfigurasi backend Azure Front Door. Cobalah langkah-langkah berikut:
- Pastikan domain URL kustom terdaftar dan berhasil diverifikasi di penyewa Anda.
- Pastikan domain kustom dikonfigurasi dengan benar. Catatan
CNAME
untuk domain kustom Anda harus menunjuk ke host frontend default Azure Front Door Anda (misalnya, contoso-frontend.azurefd.net).
Layanan kami tidak tersedia saat ini. Saat mencoba masuk dengan domain URL kustom, Anda mendapatkan pesan kesalahan: Layanan kami tidak tersedia saat ini. Kami berupaya memulihkan semua layanan sesegera mungkin. Silakan periksa kembali segera. Masalah ini mungkin terkait dengan konfigurasi rute Azure Front Door. Periksa status rute default. Jika dinonaktifkan, aktifkan rute.
Sumber daya dihapus, diubah nama, atau sementara tidak tersedia. Saat mencoba masuk dengan domain URL kustom, Anda mendapatkan pesan kesalahan yang anda cari sumber daya telah dihapus, namanya diubah, atau untuk sementara tidak tersedia. Masalah ini mungkin terkait dengan verifikasi domain kustom Microsoft Entra. Pastikan domain kustom terdaftar dan berhasil diverifikasi di penyewa Anda.
Kode kesalahan 399265: RoutingFromInvalidHost. Kode kesalahan ini muncul saat penyewa membuat permintaan dari domain yang tidak diverifikasi. Pastikan untuk menambahkan detail catatan TXT di catatan DNS Anda. Kemudian verifikasi nama domain kustom Anda lagi.
Kode kesalahan 399280: InvalidCustomUrlDomain. Kode kesalahan ini muncul ketika penyewa membuat permintaan dari domain terverifikasi yang bukan domain URL kustom. Pastikan untuk mengaitkan nama domain kustom dengan domain URL kustom.
Langkah berikutnya
Lihat semua panduan dan tutorial sampel kami untuk membangun aplikasi untuk ID Eksternal.
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk