Bagikan melalui

Mengaktifkan domain URL kustom untuk aplikasi di penyewa eksternal (Pratinjau)

  • Artikel

Berlaku untuk: Lingkaran putih dengan simbol X abu-abu. Penyewa Tenaga Kerja Penyewa Lingkaran hijau dengan simbol tanda centang putih. eksternal (pelajari lebih lanjut)

Artikel ini menjelaskan cara mengaktifkan domain URL kustom untuk aplikasi ID Eksternal Microsoft Entra di penyewa eksternal. Domain URL kustom memungkinkan Anda untuk memberi merek titik akhir masuk aplikasi Anda dengan domain URL kustom Anda sendiri alih-alih nama domain default Microsoft.

Penting

Fitur ini masih dalam mode pratinjau. Lihat Ketentuan Lisensi Universal untuk Layanan Online untuk persyaratan hukum yang berlaku untuk fitur dan layanan Azure yang dalam versi beta, pratinjau, atau tidak tersedia secara umum.

Prasyarat

Langkah 1: Menambahkan nama domain kustom ke penyewa Anda

Saat Anda membuat penyewa eksternal, penyewa tersebut dilengkapi dengan nama domain awal, <domainname.onmicrosoft.com>. Anda tidak dapat mengubah atau menghapus nama domain awal, tetapi Anda bisa menambahkan nama domain kustom Anda sendiri. Untuk langkah-langkah ini, pastikan untuk masuk ke konfigurasi penyewa eksternal Anda di pusat admin Microsoft Entra.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Nama Domain.

  2. Pilih penyewa eksternal Anda: Pilih ikon Pengaturan di menu atas, lalu beralih ke penyewa eksternal Anda.

  3. Navigasi ke Identitas> Pengaturan> Nama domain kustom Nama>domain kustom.

  4. Tambahkan nama domain kustom Anda ke ID Microsoft Entra.

  5. Tambahkan informasi DNS Anda ke pendaftar domain. Setelah Anda menambahkan nama domain kustom ke penyewa Anda, buat DNS TXT atau MX catatan untuk domain Anda. Membuat catatan DNS ini untuk domain Anda bisa memverifikasi kepemilikan nama domain Anda.

    Berikut ini adalah contoh catatan TXT untuk login.contoso.com dan account.contoso.com:

    Nama (nama host) Jenis Data
    masuk TXT MS=ms12345678
    akun TXT MS=ms87654321

    Catatan TXT harus dikaitkan dengan subdomain atau nama host domain (misalnya, bagian masuk dari domain contoso.com ). Jika nama host kosong atau @, ID Microsoft Entra tidak dapat memverifikasi nama domain kustom yang Anda tambahkan.

    Tip

    Anda dapat mengelola nama domain kustom Anda dengan layanan DNS apa pun yang tersedia untuk umum, seperti GoDaddy. Jika Anda tidak memiliki server DNS, Anda dapat menggunakan zona Azure DNS, atau domain Azure App Service.

  6. Verifikasi nama domain kustom Anda. Verifikasi setiap subdomain atau nama host yang Anda rencanakan untuk digunakan. Misalnya, untuk dapat masuk dengan login.contoso.com dan account.contoso.com, Anda perlu memverifikasi kedua subdomain dan bukan hanya domain tingkat atas contoso.com.

    Penting

    Setelah domain diverifikasi, hapus catatan DNS TXT yang Anda buat.

Langkah 2: Mengaitkan nama domain kustom dengan domain URL kustom

Setelah Anda menambahkan dan memverifikasi nama domain kustom di penyewa eksternal Anda, kaitkan nama domain kustom dengan domain URL kustom.

  1. Masuk ke Pusat Admin Microsoft Entra.

  2. Pilih penyewa eksternal Anda: Pilih ikon Pengaturan di menu atas, lalu beralih ke penyewa eksternal Anda.

  3. Navigasi ke Identitas> Pengaturan> Domain nama>domain URL Kustom (Pratinjau).

  4. Pilih Tambahkan domain url kustom.

  5. Di panel Tambahkan domain url kustom, pilih nama domain kustom yang Anda masukkan di Langkah 1.

    Cuplikan layar memperlihatkan panel Tambahkan domain URL kustom.

  6. Pilih Tambahkan.

Langkah 3: Buat instans Azure Front Door baru

Ikuti langkah-langkah ini untuk membuat Azure Front Door:

  1. Masuk ke portal Azure.

  2. Pilih penyewa yang berisi langganan Azure Front Door Anda: Pilih ikon Pengaturan di menu atas, lalu beralih ke penyewa yang berisi langganan Azure Front Door Anda.

  3. Ikuti langkah-langkah di Membuat profil Front Door - Buat Cepat untuk membuat Front Door untuk penyewa Anda menggunakan pengaturan berikut. Biarkan pengaturan kebijakan Penembolokan dan WAF kosong.

    Tombol Nilai
    Langganan Pilih langganan Azure Anda.
    Grup sumber daya Pilih grup sumber daya yang sudah ada atau buat yang baru.
    Nama Beri nama profil Anda seperti ciamazurefrontdoor.
    Tingkat Pilih tingkat Standar atau Premium. Tingkat standar adalah pengiriman konten yang dioptimalkan. Tingkat premium dibangun pada tingkat Standar dan berfokus pada keamanan. Lihat Perbandingan Tingkat.
    Nama titik akhir 2 Masukkan nama unik global untuk titik akhir Anda, seperti ciamazurefrontdoor. Nama host titik akhir dibuat secara otomatis.
    Jenis Asal Pilih Custom.
    Nama host asal Memasuki <tenant-name>.ciamlogin.com. Ganti <tenant-name> dengan nama penyewa Anda, misalnya contoso.ciamlogin.com.

  4. Setelah sumber daya Azure Front Door dibuat, pilih Gambaran Umum, dan salin nama host Titik Akhir untuk digunakan di langkah selanjutnya. Ini terlihat seperti ciamazurefrontdoor-ab123e.z01.azurefd.net.

  5. Pastikan Nama host dan Header host asal asal Anda memiliki nilai yang sama:

    1. Di bawah Pengaturan, pilih Grup asal.
    2. Pilih grup asal Anda dari daftar, seperti default-origin-group.
    3. Di panel kanan, pilih Nama host asal Anda seperti contoso.ciamlogin.com.
    4. Pada panel Perbarui asal, perbarui Nama host dan Header host asal agar memiliki nilai yang sama.

    Cuplikan layar memperlihatkan nama host dan bidang header host asal.

Langkah 4: Siapkan domain URL kustom Anda di Azure Front Door

Dalam langkah ini, Anda menambahkan domain URL kustom yang Anda daftarkan di Langkah 1 ke Azure Front Door Anda.

4.1. Membuat data CNAME di DNS

Untuk menambahkan domain URL kustom, buat catatan nama kanonis (CNAME) dengan penyedia domain Anda. Catatan CNAME adalah jenis catatan DNS yang memetakan nama domain sumber ke nama domain tujuan (alias). Untuk Azure Front Door, nama domain sumber adalah nama domain URL kustom Anda, dan nama domain tujuan adalah nama host default Front Door yang Anda konfigurasi di Langkah 2, misalnya, ciamazurefrontdoor-ab123e.z01.azurefd.net.

Setelah Front Door memverifikasi data CNAME yang Anda buat, lalu lintas yang ditujukan ke domain URL kustom sumber (seperti login.contoso.com) dirutekan ke host frontend default Front Door tujuan yang ditentukan, seperti contoso-frontend.azurefd.net. Untuk informasi selengkapnya, lihat menambahkan domain kustom ke Azure Front Door Anda.

Membuat rekaman CNAME untuk domain kustom Anda:

  1. Masuk ke situs web penyedia domain untuk domain kustom Anda.

  2. Temukan halaman untuk mengelola catatan DNS dengan berkonsultasi kepada dokumentasi penyedia atau mencari area situs web berlabel Nama Domain, DNS, atau Manajemen server nama.

  3. Buat entri data CNAME untuk domain URL kustom Anda dan selesaikan bidang seperti yang diperlihatkan dalam tabel berikut.

    Sumber Jenis Tujuan
    <login.contoso.com> CNAME contoso-frontend.azurefd.net

    • Sumber: Masukkan domain URL kustom Anda (misalnya, login.contoso.com).

    • Ketik: Masukkan CNAME.

    • Tujuan: Masukkan host frontend Front Door default yang Anda buat di Langkah 2. Ini harus dalam format berikut: <hostname.azurefd.net>, misalnya, contoso-frontend.azurefd.net.

  4. Simpan perubahan.

4.2. Mengaitkan domain URL kustom dengan Front Door Anda

  1. Di beranda portal Azure, cari dan pilih sumber daya ciamazurefrontdoor Azure Front Door untuk membukanya.

  2. Di menu sebelah kiri, di bawah Pengaturan, pilih Domain.

  3. Pilih Tambahkan domain.

  4. Untuk manajemen DNS, pilih Semua layanan DNS lainnya.

  5. Untuk Domain Kustom, masukkan domain kustom Anda, seperti login.contoso.com.

  6. Pertahankan nilai lainnya sebagai default, lalu pilih Tambahkan. Domain kustom Anda ditambahkan ke daftar.

  7. Di bawah Status validasi domain yang baru saja Anda tambahkan, pilih Tertunda. Panel dengan info rekaman TXT akan terbuka.

    1. Masuk ke situs web penyedia domain untuk domain kustom Anda.

    2. Temukan halaman untuk mengelola catatan DNS dengan berkonsultasi kepada dokumentasi penyedia atau mencari area situs web berlabel Nama Domain, DNS, atau Manajemen server nama.

    3. Buat catatan DNS TXT baru dan selesaikan bidang berikut ini:

      • Nama: Masukkan hanya bagian subdomain dari _dnsauth.contoso.com, misalnya _dnsauth
      • Jenis: TXT
      • Nilai: Misalnya, 75abc123t48y2qrtsz2bvk......

      Setelah Anda menambahkan rekaman TXT DNS, Status Validasi di sumber daya Front Door pada akhirnya akan berubah dari Tertunda menjadi Disetujui. Anda mungkin perlu me-refresh halaman untuk melihat perubahan.

  8. Di portal Azure. Di bawah Asosiasi titik akhir domain yang baru saja Anda tambahkan, pilih Tidak terkait.

  9. Untuk Pilih titik akhir, pilih titik akhir nama host dari menu dropdown.

  10. Untuk Pilih daftar rute, pilih rute default, lalu pilih Asosiasi.

4.3. Mengaktifkan rute

Rute default merutekan lalu lintas dari klien ke Azure Front Door. Kemudian, Azure Front Door menggunakan konfigurasi Anda untuk mengirim lalu lintas ke penyewa eksternal. Untuk mengaktifkan rute default, ikuti langkah-langkah ini.

  1. Pilih Manajer Front Door.

  2. Untuk mengaktifkan rute default, pertama-tama perluas titik akhir dari daftar titik akhir di manajer Front Door. Kemudian, pilih rute default.

  3. Pilih kotak centang Rute yang diaktifkan.

  4. Pilih Perbarui untuk menyimpan perubahan.

Menguji domain URL kustom Anda

  1. Masuk ke Pusat Admin Microsoft Entra.

  2. Pilih penyewa eksternal Anda: Pilih ikon Pengaturan di menu atas, lalu beralih ke penyewa eksternal Anda.

  3. Di bawah Identitas Eksternal, pilih Alur pengguna.

  4. Pilih alur pengguna, lalu pilih Jalankan alur pengguna.

  5. Untuk Aplikasi, pilih aplikasi web bernama webapp1 yang sebelumnya Anda daftarkan. URL Balasan harus menunjukkan https://jwt.ms.

  6. Salin URL di bawah Jalankan titik akhir alur pengguna.

    Cuplikan layar memperlihatkan opsi jalankan alur pengguna.

  7. Untuk menyimulasikan proses masuk dengan domain kustom Anda, buka browser web dan gunakan URL yang Anda salin. Ganti domain (<tenant-name.ciamlogin.com>) dengan domain kustom Anda.

    Misalnya, sebagai ganti dari:

    https://contoso.ciamlogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login

    gunakan:

    https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login

  8. Verifikasi bahwa halaman masuk dimuat dengan benar. Kemudian, masuk dengan akun lokal.

Mengonfigurasi aplikasi Anda

Setelah Mengonfigurasi dan menguji domain URL kustom, perbarui aplikasi Anda untuk memuat URL dengan domain URL kustom Anda sebagai nama host, bukan domain default.

Integrasi domain URL kustom berlaku untuk titik akhir autentikasi yang menggunakan alur pengguna ID Eksternal untuk mengautentikasi pengguna. Titik akhir ini memiliki format berikut:

  • https://<custom-url-domain>/<tenant-name>/v2.0/.well-known/openid-configuration

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/authorize

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/token

Ganti:

  • custom-url-domain dengan domain URL kustom Anda
  • tenant-name dengan nama penyewa atau ID penyewa Anda

Metadata penyedia layanan SAML mungkin terlihat seperti sampel berikut:

https://custom-url-domain-name/tenant-name/Samlp/metadata

(Opsional) Menggunakan ID penyewa

Anda dapat mengganti nama penyewa eksternal di URL dengan GUID ID penyewa Anda untuk menghapus semua referensi ke "onmicrosoft.com" di URL. Anda dapat menemukan GUID ID penyewa di halaman Gambaran Umum di portal Azure atau pusat admin Microsoft Entra. Misalnya, ubah https://account.contosobank.co.uk/contosobank.onmicrosoft.com/ menjadi https://account.contosobank.co.uk/<tenant-ID-GUID>/.

Jika Anda memilih untuk menggunakan ID penyewa sebagai ganti dari nama penyewa, pastikan untuk memperbarui IdP URI pengalihan OAuth yang sesuai. Saat Anda menggunakan ID penyewa alih-alih nama penyewa, URI pengalihan OAuth yang valid terlihat mirip dengan sampel berikut:

https://login.contoso.com/00001111-aaaa-2222-bbbb-3333cccc4444/oauth2/authresp

(Optional) Konfigurasi tingkat lanjut Azure Front Door

Anda dapat menggunakan konfigurasi lanjutan Azure Front Door, seperti Azure Web Application Firewall (WAF). Azure WAF memberikan perlindungan terpusat pada aplikasi web Anda dari eksploitasi dan kerentanan umum.

Saat menggunakan domain kustom, pertimbangkan hal-hal berikut:

  • Kebijakan WAF harus sama dengan profil Azure Front Door. Untuk informasi selengkapnya tentang cara membuat kebijakan WAF untuk digunakan dengan Azure Front Door, lihat Mengonfigurasi kebijakan WAF.
  • Fitur aturan terkelola WAF tidak didukung secara resmi karena dapat menyebabkan kesalahan positif dan mencegah permintaan yang sah melewatinya, jadi hanya gunakan aturan kustom WAF jika memenuhi kebutuhan Anda.

Pemecahan Masalah

  • Halaman tidak menemukan pesan. Ketika Anda mencoba masuk dengan domain URL kustom, Anda mendapatkan pesan kesalahan HTTP 404. Masalah ini mungkin terkait dengan konfigurasi DNS atau konfigurasi backend Azure Front Door. Cobalah langkah-langkah berikut:

    • Pastikan domain URL kustom terdaftar dan berhasil diverifikasi di penyewa Anda.
    • Pastikan domain kustom dikonfigurasi dengan benar. Catatan CNAME untuk domain kustom Anda harus menunjuk ke host frontend default Azure Front Door Anda (misalnya, contoso-frontend.azurefd.net).

  • Layanan kami tidak tersedia saat ini. Saat mencoba masuk dengan domain URL kustom, Anda mendapatkan pesan kesalahan: Layanan kami tidak tersedia saat ini. Kami berupaya memulihkan semua layanan sesegera mungkin. Silakan periksa kembali segera. Masalah ini mungkin terkait dengan konfigurasi rute Azure Front Door. Periksa status rute default. Jika dinonaktifkan, aktifkan rute.

  • Sumber daya dihapus, diubah nama, atau sementara tidak tersedia. Saat mencoba masuk dengan domain URL kustom, Anda mendapatkan pesan kesalahan yang anda cari sumber daya telah dihapus, namanya diubah, atau untuk sementara tidak tersedia. Masalah ini mungkin terkait dengan verifikasi domain kustom Microsoft Entra. Pastikan domain kustom terdaftar dan berhasil diverifikasi di penyewa Anda.

  • Kode kesalahan 399265: RoutingFromInvalidHost. Kode kesalahan ini muncul saat penyewa membuat permintaan dari domain yang tidak diverifikasi. Pastikan untuk menambahkan detail catatan TXT di catatan DNS Anda. Kemudian verifikasi nama domain kustom Anda lagi.

  • Kode kesalahan 399280: InvalidCustomUrlDomain. Kode kesalahan ini muncul ketika penyewa membuat permintaan dari domain terverifikasi yang bukan domain URL kustom. Pastikan untuk mengaitkan nama domain kustom dengan domain URL kustom.

Langkah berikutnya

Lihat semua panduan dan tutorial sampel kami untuk membangun aplikasi untuk ID Eksternal.