Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy: 
Dzierżawy zewnętrzne (dowiedz się więcej)
W tym artykule opisano sposób włączania niestandardowych domen URL dla aplikacji Microsoft Entra External ID w dzierżawach zewnętrznych. Niestandardowa domena adresu URL umożliwia znakowanie punktów końcowych logowania aplikacji przy użyciu własnej niestandardowej domeny adresu URL zamiast domyślnej nazwy domeny firmy Microsoft.
Wymagania wstępne
- Dowiedz się, jak działają niestandardowe domeny URL w External ID.
- Jeśli jeszcze nie utworzono dzierżawy zewnętrznej, utwórz ją teraz.
- Utwórz przepływ użytkownika, aby użytkownicy mogli zarejestrować się i zalogować się do aplikacji.
- Rejestrowanie aplikacji internetowej.
Krok 1. Dodawanie nazwy domeny niestandardowej do dzierżawy
Podczas tworzenia dzierżawy zewnętrznej jest ona dostarczana z początkową nazwą domeny <domainname>.onmicrosoft.com. Nie można zmienić ani usunąć początkowej nazwy domeny, ale możesz dodać własną niestandardową nazwę domeny. W przypadku tych kroków pamiętaj, aby zalogować się do konfiguracji dzierżawy zewnętrznej w centrum administracyjnym firmy Microsoft Entra.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator nazwy domeny.
Wybierz dzierżawę zewnętrzną. Wybierz ikonę Ustawienia w górnym menu, a następnie przejdź do dzierżawy zewnętrznej.
Przejdź do Identity>Settings>Domain names>Custom domain names.
Dodaj swoją niestandardową nazwę domeny do Microsoft Entra ID
Dodaj informacje DNS do rejestratora domen. Po dodaniu niestandardowej nazwy domeny do dzierżawy, utwórz zapis
TXTlubMXDNS dla domeny. Utworzenie tego rekordu DNS dla domeny weryfikuje własność nazwy domeny.Poniżej przedstawiono przykłady rekordów TXT dla login.contoso.com i account.contoso.com:
Nazwa (nazwa hosta) Typ Dane Logowanie plik TXT MS=ms12345678 konto plik TXT MS=ms87654321 Rekord TXT musi być skojarzony z poddomeną lub nazwą hosta domeny (na przykład częścią logowania domeny contoso.com ). Jeśli nazwa hosta jest pusta lub
@, identyfikator Entra firmy Microsoft nie może zweryfikować dodanej niestandardowej nazwy domeny.Napiwek
Możesz zarządzać niestandardową nazwą domeny przy użyciu dowolnej publicznie dostępnej usługi DNS, takiej jak GoDaddy. Jeśli nie masz serwera DNS, możesz użyć strefy usługi Azure DNS lub domen usługi App Service.
Zweryfikuj customową nazwę domeny Sprawdź każdą poddomenę lub nazwę hosta, której planujesz użyć. Aby na przykład móc zalogować się przy użyciu login.contoso.com i account.contoso.com, należy zweryfikować obie poddomeny, a nie tylko contoso.com domeny najwyższego poziomu.
Ważne
Po zweryfikowaniu domeny usuń utworzony rekord TXT DNS.
Krok 2. Skojarzenie niestandardowej nazwy domeny z niestandardową domeną adresu URL
Po dodaniu i zweryfikowaniu niestandardowej nazwy domeny w zewnętrznej dzierżawie, skojarz ją z niestandardową domeną URL.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra.
Wybierz dzierżawę zewnętrzną. Wybierz ikonę Ustawienia w górnym menu, a następnie przejdź do dzierżawy zewnętrznej.
Przejdź do Entra ID>Nazwy domen>Niestandardowe domeny URL.
Wybierz Dodaj niestandardową domenę URL.
W okienku Dodawanie niestandardowej domeny adresu URL wybierz niestandardową nazwę domeny wprowadzoną w kroku 1.
Wybierz pozycję Dodaj.
Krok 3: Utwórz nową instancję usługi Azure Front Door
Wykonaj następujące kroki, aby utworzyć usługę Azure Front Door:
Zaloguj się do witryny Azure Portal.
Wybierz dzierżawę zawierającą subskrypcję usługi Azure Front Door: wybierz ikonę Ustawienia w górnym menu, a następnie przejdź do dzierżawy zawierającej subskrypcję usługi Azure Front Door.
Wykonaj kroki opisane w Tworzenie profilu usługi Front Door — szybkie tworzenie, aby utworzyć Front Door dla swoich najemców przy użyciu następujących ustawień. Pozostaw ustawienia buforowania i WAF puste.
Klucz Wartość Subskrypcja Wybierz subskrypcję platformy Azure. Grupa zasobów Wybierz istniejącą grupę zasobów lub utwórz nową. Nazwisko Nadaj profilowi nazwę, taką jak ciamazurefrontdoor.Warstwa Wybierz warstwę Standardowa lub Premium. Poziom standardowy jest zoptymalizowany pod kątem dostarczania zawartości. Warstwa Premium jest oparta na warstwie standardowej i koncentruje się na bezpieczeństwie. Zobacz Porównanie warstw. Nazwa punktu końcowego Wprowadź globalnie unikatową nazwę punktu końcowego, na przykład ciamazurefrontdoor. Nazwa hosta punktu końcowego jest generowana automatycznie.Typ pochodzenia Wybierz opcję Custom.Nazwa hosta pochodzenia Wprowadź <tenant-name>.ciamlogin.com. Zamień<tenant-name>na nazwę dzierżawcy, na przykładcontoso.ciamlogin.com.Po utworzeniu zasobu usługi Azure Front Door wybierz pozycję Przegląd i skopiuj nazwę hosta punktu końcowego do użycia w późniejszym kroku. Wygląda to mniej więcej tak:
ciamazurefrontdoor-ab123e.z01.azurefd.net.Upewnij się, że nazwa hosta i nagłówek hosta źródła mają taką samą wartość.
- W obszarze Ustawienia wybierz pozycję Grupy źródeł.
- Wybierz grupę pochodzenia z listy, taką jak default-origin-group.
- W okienku po prawej stronie wybierz nazwę hosta pochodzenia , taką jak
contoso.ciamlogin.com. - W okienku Aktualizuj źródło zaktualizuj nazwę hosta i nagłówek hosta źródła , aby mieć tę samą wartość.
Krok 4. Konfigurowanie niestandardowej domeny adresu URL w usłudze Azure Front Door
W tym kroku dodasz niestandardową domenę adresu URL zarejestrowaną w kroku 1 do usługi Azure Front Door.
4.1. Tworzenie rekordu CNAME usługi DNS
Aby dodać niestandardową domenę adresu URL, utwórz rekord nazwy kanonicznej (CNAME) u dostawcy domeny. Rekord CNAME jest typem rekordu DNS, który mapuje nazwę domeny źródłowej na docelową nazwę domeny (alias). W przypadku usługi Azure Front Door nazwa domeny źródłowej to niestandardowa nazwa domeny adresu URL, a docelowa nazwa domeny to domyślna nazwa hosta usługi Front Door skonfigurowana w kroku 2, na przykład ciamazurefrontdoor-ab123e.z01.azurefd.net.
Gdy usługa Front Door zweryfikuje utworzony rekord CNAME, ruch skierowany do źródłowej domeny niestandardowego URL (na przykład login.contoso.com) jest kierowany do określonego hosta docelowego frontonu usługi Front Door, takiego jak contoso-frontend.azurefd.net. Aby uzyskać więcej informacji, zobacz dodawanie domeny niestandardowej do usługi Front Door.
Aby utworzyć rekord CNAME dla domeny niestandardowej:
Zaloguj się w witrynie internetowej dostawcy domeny niestandardowej.
Znajdź stronę zarządzania rekordami DNS, korzystając z dokumentacji dostawcy lub wyszukując obszary witryny sieci Web z etykietą Nazwa domeny, DNS lub Zarządzanie serwerem nazw.
Utwórz wpis rekordu CNAME dla własnej domeny adresu URL i wypełnij pola, jak wskazano w poniższej tabeli.
Źródło Typ Cel <login.contoso.com>CNAME contoso-frontend.azurefd.netŹródło: wprowadź niestandardową domenę adresu URL (na przykład login.contoso.com).
Typ: Wprowadź CNAME.
Miejsce docelowe: wprowadź domyślny host frontonu usługi Front Door utworzony w kroku 2. Musi mieć następujący format: <hostname.azurefd.net>, na przykład
contoso-frontend.azurefd.net.
Zapisz zmiany.
4.2. Powiąż niestandardową domenę adresu URL z usługą Front Door
Na stronie głównej portalu Azure wyszukaj i wybierz zasób usługi Azure Front Door, aby go otworzyć.
W menu po lewej stronie w obszarze Ustawienia wybierz pozycję Domeny.
Wybierz pozycję Dodaj domenę.
W obszarze Zarządzanie systemem DNS wybierz pozycję Wszystkie inne usługi DNS.
W polu Domena niestandardowa wprowadź domenę niestandardową, na przykład
login.contoso.com.Zachowaj inne wartości jako wartości domyślne, a następnie wybierz pozycję Dodaj. Twoja niestandardowa domena jest dodana do listy.
W obszarze Stan weryfikacji właśnie dodanej domeny wybierz pozycję Oczekujące. Zostanie otwarte okienko z informacjami o rekordzie TXT.
Zaloguj się w witrynie internetowej dostawcy domeny niestandardowej.
Znajdź stronę zarządzania rekordami DNS, korzystając z dokumentacji dostawcy lub wyszukując obszary witryny sieci Web z etykietą Nazwa domeny, DNS lub Zarządzanie serwerem nazw.
Utwórz nowy rekord DNS TXT i wypełnij następujące pola:
-
Nazwa: wprowadź tylko część poddomeny elementu
_dnsauth.contoso.com, na przykład_dnsauth -
Typ:
TXT -
Wartość: na przykład
75abc123t48y2qrtsz2bvk......
Po dodaniu rekordu DNS TXT stan walidacji w zasobie usługi Front Door ostatecznie zmieni się z Oczekujące na Zatwierdzone. Może być konieczne odświeżenie strony, aby zobaczyć zmianę.
-
Nazwa: wprowadź tylko część poddomeny elementu
W witrynie Azure Portal Pod Skojarzeniem punktu końcowego właśnie dodanej domeny wybierz Niepowiązane.
W obszarze Wybierz punkt końcowy wybierz punkt końcowy nazwy hosta z listy rozwijanej.
Na liście Wybierz trasy wybierz default-route, a następnie wybierz Skojarz.
4.3. Włącz trasę
Trasa domyślna kieruje ruch z klienta do usługi Azure Front Door. Następnie Azure Front Door korzysta z Twojej konfiguracji, aby przekierować ruch do dzierżawy zewnętrznej. Aby włączyć trasę domyślną, wykonaj następujące kroki.
Wybierz Menedżera Front Door.
Aby włączyć trasę domyślną, najpierw rozwiń punkt końcowy z listy punktów końcowych w menedżerze usługi Front Door. Następnie wybierz trasę domyślną.
Zaznacz pole wyboru Trasa włączona.
Wybierz pozycję Aktualizuj, aby zapisać zmiany.
Testuj niestandardowe domeny URL
Zaloguj się do centrum administracyjnego firmy Microsoft Entra.
Wybierz dzierżawę zewnętrzną. Wybierz ikonę Ustawienia w górnym menu, a następnie przejdź do dzierżawy zewnętrznej.
W obszarze Tożsamości zewnętrzne wybierz pozycję Przepływy użytkownika.
Wybierz przepływ użytkownika, a następnie wybierz pozycję Uruchom przepływ użytkownika.
W polu Aplikacja wybierz aplikację internetową o nazwie webapp1 , która została wcześniej zarejestrowana. Adres URL odpowiedzi powinien zawierać wartość
https://jwt.ms.Skopiuj adres URL w obszarze Uruchom punkt końcowy przepływu użytkownika.
Aby zasymulować logowanie przy użyciu domeny niestandardowej, otwórz przeglądarkę internetową i użyj skopiowanego adresu URL. Zastąp domenę (<nazwa-dzierżawy.ciamlogin.com>) domeną niestandardową.
Na przykład zamiast:
https://contoso.ciamlogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=loginUżyj:
https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=loginSprawdź, czy strona logowania jest poprawnie załadowana. Następnie zaloguj się przy użyciu konta lokalnego.
Konfigurowanie aplikacji
Po skonfigurowaniu i przetestowaniu niestandardowej domeny URL, zaktualizuj aplikacje, aby ładowały adres URL, używając niestandardowej domeny jako nazwy hosta zamiast domyślnej domeny.
Integracja niestandardowego adresu URL ma zastosowanie do punktów końcowych uwierzytelniania, które używają przepływów użytkowników zewnętrznych Id do uwierzytelniania użytkowników. Te punkty końcowe mają następujący format:
https://<custom-url-domain>/<tenant-name>/v2.0/.well-known/openid-configurationhttps://<custom-url-domain>/<tenant-name>/oauth2/v2.0/authorizehttps://<custom-url-domain>/<tenant-name>/oauth2/v2.0/token
Zastąpić:
- niestandardowa domena URL z twoją niestandardową domeną URL
- nazwa-dzierżawy z nazwą dzierżawy lub identyfikatorem dzierżawy
Metadane dostawcy usług SAML mogą wyglądać podobnie do następującego przykładu:
https://custom-url-domain-name/tenant-name/Samlp/metadata
(Opcjonalnie) Użyj identyfikatora dzierżawy
Możesz zastąpić nazwę zewnętrznego dzierżawcy w adresie URL identyfikatorem GUID dzierżawy, aby usunąć wszystkie odwołania do "onmicrosoft.com" w adresie URL. Identyfikator GUID identyfikatora dzierżawy można znaleźć na stronie Przegląd w witrynie Azure Portal lub w centrum administracyjnym firmy Microsoft Entra. Na przykład zmień wartość https://account.contosobank.co.uk/contosobank.onmicrosoft.com/ na https://account.contosobank.co.uk/<tenant-ID-GUID>/.
Jeśli wybierzesz używanie identyfikatora dzierżawy zamiast nazwy dzierżawy, upewnij się, że odpowiednio zaktualizujesz identyfikatory URI przekierowania OAuth dostawcy tożsamości. Jeśli używasz identyfikatora dzierżawy zamiast nazwy dzierżawy, prawidłowy adres przekierowania OAuth wygląda podobnie do poniższego przykładu:
https://login.contoso.com/00001111-aaaa-2222-bbbb-3333cccc4444/oauth2/authresp
(Opcjonalnie) Zaawansowana konfiguracja usługi Azure Front Door
Możesz użyć zaawansowanej konfiguracji usługi Azure Front Door, na przykład zapory aplikacji internetowej Azure. Zapora aplikacji internetowych platformy Azure scentralizowanie chroni aplikacje internetowe przed typowymi atakami i lukami w zabezpieczeniach.
W przypadku korzystania z domen niestandardowych należy wziąć pod uwagę następujące kwestie:
- Zasady zapory aplikacji internetowej muszą być na tej samej warstwie co profil usługi Azure Front Door. Aby uzyskać więcej informacji o tym, jak skonfigurować zasady WAF dla usługi Azure Front Door, zobacz Konfigurowanie zasad WAF.
- Funkcja zarządzanych reguł WAF nie jest oficjalnie obsługiwana, ponieważ może powodować fałszywe alarmy i blokować legalne żądania, więc używaj niestandardowych reguł WAF tylko wtedy, gdy spełniają Twoje potrzeby.
(Opcjonalnie) Blokuj domenę domyślną
Po skonfigurowaniu niestandardowych domen adresów URL użytkownicy nadal będą mogli uzyskać dostęp do domyślnej nazwy <domeny nazwa-dzierżawy.ciamlogin.com>. Należy zablokować dostęp do domeny domyślnej, aby osoby atakujące nie mogły ich używać do uzyskiwania dostępu do aplikacji ani uruchamiać rozproszonych ataków typu "odmowa usługi" (DDoS). Prześlij bilet pomocy technicznej, aby zażądać blokowania dostępu do domeny domyślnej.
Ostrożność
Przed żądaniem zablokowania domeny domyślnej upewnij się, że domena niestandardowa działa prawidłowo. Po zablokowaniu domeny domyślnej niektóre funkcje nie będą już działać. Zobacz Blokowanie domeny domyślnej.
Rozwiązywanie problemów
Komunikat "Nie znaleziono strony". Podczas próby zalogowania się przy użyciu niestandardowej domeny adresu URL zostanie wyświetlony komunikat o błędzie HTTP 404. Ten problem może być związany z konfiguracją DNS lub konfiguracją zaplecza usługi Azure Front Door. Spróbuj wykonać następujące kroki:
- Upewnij się, że domena niestandardowego adresu URL jest zarejestrowana i pomyślnie zweryfikowana w dzierżawie.
- Upewnij się, że domena niestandardowa jest poprawnie skonfigurowana. Rekord
CNAMEdla twojej niestandardowej domeny musi wskazywać na domyślnego frontend hosta usługi Azure Front Door (na przykład contoso-frontend.azurefd.net).
Wiadomość: Nasze usługi nie są teraz dostępne. Podczas próby zalogowania się przy użyciu niestandardowej domeny adresu URL zostanie wyświetlony komunikat o błędzie: Nasze usługi nie są teraz dostępne. Pracujemy nad jak najszybszym przywróceniem wszystkich usług. Sprawdź ponownie wkrótce. Ten problem może być związany z konfiguracją trasy usługi Azure Front Door. Sprawdź stan trasy domyślnej. Jeśli trasa jest wyłączona, włącz ją.
Zasób został usunięty, zmieniono nazwy lub jest tymczasowo niedostępny. Podczas próby zalogowania się przy użyciu niestandardowej domeny URL zostanie wyświetlony komunikat o błędzie, zasób, którego szukasz, został usunięty, zmieniono jego nazwę lub jest tymczasowo niedostępny. Ten problem może być związany z weryfikacją domeny niestandardowej Microsoft Entra. Upewnij się, że domena niestandardowa jest zarejestrowana i pomyślnie zweryfikowana w dzierżawie.
Kod błędu 399265: RoutingFromInvalidHost. Kod błędu pojawia się, gdy właściciel dzierżawy wysyła żądanie z domeny, która nie została zweryfikowana. Pamiętaj, aby dodać szczegóły rekordu TXT w rekordach DNS. Następnie ponownie zweryfikuj niestandardową nazwę domeny .
Kod błędu 399280: InvalidCustomUrlDomain. Ten kod błędu pojawia się, gdy dzierżawca wysyła żądanie ze zweryfikowanej domeny, która nie jest niestandardową domeną URL. Pamiętaj, aby powiązać niestandardową nazwę domeny z niestandardową domeną adresu URL.
Następne kroki
Zobacz wszystkie nasze przykładowe przewodniki i samouczki dotyczące tworzenia aplikacji dla identyfikatora zewnętrznego.