Dela via

Aktivera anpassade URL-domäner för appar i externa klientorganisationer

Gäller för: Vit cirkel med en grå X-symbol. Arbetskraftshyresgäster Grön cirkel med en vit bockmarkeringssymbol. Externa hyresgäster (läs mer)

I den här artikeln beskrivs hur du aktiverar anpassade URL-domäner för externa ID-program i Microsoft Entra i externa klientorganisationer. Med en anpassad URL-domän kan du märka programmets inloggningsslutpunkter med din egen anpassade URL-domän i stället för Microsofts standarddomännamn.

Förutsättningar

Steg 1: Lägg till ett anpassat domännamn i din klientorganisation

När du skapar en extern klientorganisation kommer den med ett initialt domännamn, <domainname.onmicrosoft.com>. Du kan inte ändra eller ta bort det ursprungliga domännamnet, men du kan lägga till ditt eget anpassade domännamn. För de här stegen måste du logga in på din externa klientkonfiguration i administrationscentret för Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som minst domännamnsadministratör.

  2. Välj din externa klient: Välj ikonen Inställningar på den översta menyn och växla sedan till den externa klientorganisationen.

  3. Gå till Entra ID>Domännamn>Anpassade domännamn.

  4. Lägg till ditt anpassade domännamn i Microsoft Entra-ID.

  5. Lägg till DIN DNS-information i domänregistratorn. När du har lagt till ditt anpassade domännamn i din klientorganisation skapar du en DNS-TXT eller MX-posten för din domän. Om du skapar den här DNS-posten för din domän verifieras ägarskapet för ditt domännamn.

    Följande är exempel på TXT-poster för login.contoso.com och account.contoso.com:

    Namn (värdnamn) Typ Uppgifter
    logga in TXT MS=ms12345678
    konto TXT MS=ms87654321

    TXT-posten måste associeras med underdomänen eller värdnamnet för domänen (till exempel inloggningsdelen av contoso.com domänen). Om värdnamnet är tomt eller @kan Microsoft Entra-ID:t inte verifiera det anpassade domännamnet som du har lagt till.

    Tips

    Du kan hantera ditt anpassade domännamn med alla offentligt tillgängliga DNS-tjänster, till exempel GoDaddy. Om du inte har någon DNS-server kan du använda Azure DNS-zon eller App Service-domäner.

  6. Verifiera ditt anpassade domännamn. Kontrollera varje underdomän eller värdnamn som du planerar att använda. För att till exempel kunna logga in med login.contoso.com och account.contoso.com måste du verifiera både underdomäner och inte bara toppnivådomänen contoso.com.

    Viktigt!

    När domänen har verifierats tar du bort DNS TXT-posten som du skapade.

Steg 2: Associera det anpassade domännamnet med en anpassad URL-domän

När du har lagt till och verifierat det anpassade domännamnet i den externa klientorganisationen associerar du det anpassade domännamnet med en anpassad URL-domän.

  1. Logga in på administrationscentret för Microsoft Entra.

  2. Välj din externa klient: Välj ikonen Inställningar på den översta menyn och växla sedan till den externa klientorganisationen.

  3. Gå till Entra ID>Domännamn>Anpassade URL-domäner.

  4. Välj Lägg till anpassad URL-domän.

  5. I fönstret Lägg till anpassad URL-domän väljer du det anpassade domännamnet som du angav i steg 1.

    Skärmbild som visar fönstret Lägg till anpassad URL-domän.

  6. Välj Lägg till.

Steg 3: Skapa en ny Azure Front Door-instans

Följ de här stegen för att skapa en Azure Front Door:

  1. Logga in på Azure-portalen.

  2. Välj den klientorganisation som innehåller din Azure Front Door-prenumeration: Välj ikonen Inställningar på den översta menyn och växla sedan till den klientorganisation som innehåller din Azure Front Door-prenumeration.

  3. Följ stegen i Skapa Front Door-profil – Snabb skapa för att skapa en Front Door för din hyresgäst med hjälp av följande inställningar. Lämna inställningarna för cachelagring och WAF-princip tomma.

    Nyckel Värde
    Prenumeration Välj din Azure-prenumerationen.
    Resursgrupp Välj en befintlig resursgrupp eller skapa en ny.
    Namn Ge din profil ett namn, till exempel ciamazurefrontdoor.
    Nivå Välj antingen Standard- eller Premium-nivå. Standardnivån är optimerad för innehållsleverans. Premium-nivån bygger på standardnivån och fokuserar på säkerhet. Se Nivåjämförelse.
    Slutpunktnamn Ange ett globalt unikt namn för slutpunkten, till exempel ciamazurefrontdoor. Slutpunktens värdnamn genereras automatiskt.
    Ursprungstyp Välj Custom.
    Ursprungligt värdnamn Ange <tenant-name>.ciamlogin.com. Ersätt <tenant-name> med namnet på din klient, till exempel contoso.ciamlogin.com.

  4. När Azure Front Door-resursen har skapats väljer du Översikt och kopierar slutpunktens värdnamn för användning i ett senare steg. Det ser ut ungefär som ciamazurefrontdoor-ab123e.z01.azurefd.net.

  5. Kontrollera att värdnamnet och ursprungsvärdrubriken för ditt ursprung har samma värde:

    1. Under Inställningar väljer du Ursprungsgrupper.
    2. Välj din ursprungsgrupp i listan, till exempel standard-origin-group.
    3. I den högra rutan väljer du ditt Origin-värdnamn , till exempel contoso.ciamlogin.com.
    4. I fönstret Uppdatera ursprung uppdaterar du värdnamnet och ursprungsvärdhuvudet så att det har samma värde.

    Skärmbild som visar värdnamnet och ursprungsvärdens rubrikfält.

Steg 4: Konfigurera din anpassade URL-domän på Azure Front Door

I det här steget lägger du till den anpassade URL-domänen som du registrerade i steg 1 i Din Azure Front Door.

4.1. Skapa en CNAME DNS-post

Om du vill lägga till den anpassade URL-domänen skapar du ett kanoniskt namn (CNAME) med din domänleverantör. En CNAME-post är en typ av DNS-post som mappar ett källdomännamn till ett måldomännamn (alias). För Azure Front Door är källdomännamnet ditt anpassade URL-domännamn och måldomännamnet är ditt Standardvärdnamn för Front Door som du konfigurerade i steg 2, till exempel ciamazurefrontdoor-ab123e.z01.azurefd.net.

När Front Door verifierar den CNAME-post som du skapade, dirigeras trafik som är adresserad till den anpassade URL-källdomänen (till exempel login.contoso.com) till det angivna standardvärdfronten, till exempel contoso-frontend.azurefd.net. Mer information finns i lägga till en anpassad domän i Din Front Door.

Skapa en CNAME-post för din anpassade domän:

  1. Logga in på webbplatsen för domänleverantören för den anpassade domänen.

  2. Hitta sidan för att hantera DNS-poster genom att läsa leverantörens dokumentation eller söka efter områden på webbplatsen med etiketten Domännamn, DNS eller Namnserverhantering.

  3. Skapa en CNAME-post för din anpassade URL-domän och fyll i fälten enligt följande tabell.

    Källa Typ Resmål
    <login.contoso.com> CNAME contoso-frontend.azurefd.net

    • Källa: Ange din anpassade URL-domän (till exempel login.contoso.com).

    • Typ: Ange CNAME.

    • Mål: Ange standardfrontend-värden för Front Door som du skapar i steg 2. Det måste vara i följande format: <hostname.azurefd.net>, till exempel contoso-frontend.azurefd.net.

  4. Spara dina ändringar.

4.2. Associera den anpassade URL-domänen med din Front Door

  1. I Azure Portal hem söker du efter och väljer Azure Front Door-resursen ciamazurefrontdoor för att öppna den.

  2. I den vänstra menyn går du till Inställningar och väljer Domäner.

  3. Välj Lägg till en domän.

  4. För DNS-hantering väljer du Alla andra DNS-tjänster.

  5. För Anpassad domän anger du din anpassade domän, till exempel login.contoso.com.

  6. Behåll de andra värdena som standardvärden och välj sedan Lägg till. Din anpassade domän läggs till i listan.

  7. Under Valideringstillstånd för domänen som du just lade till väljer du Väntar. Ett fönster med TXT-postinformation öppnas.

    1. Logga in på webbplatsen för domänleverantören för den anpassade domänen.

    2. Hitta sidan för att hantera DNS-poster genom att läsa leverantörens dokumentation eller söka efter områden på webbplatsen med etiketten Domännamn, DNS eller Namnserverhantering.

    3. Skapa en ny TXT DNS-post och slutför följande fält:

      • Namn: Ange bara underdomändelen av _dnsauth.contoso.com, till exempel _dnsauth
      • Typ: TXT
      • Värde: Till exempel 75abc123t48y2qrtsz2bvk......

      När du har lagt till TXT DNS-posten ändras valideringstillståndet i Front Door-resursen så småningom från Väntar till Godkänd. Du kan behöva uppdatera sidan för att se ändringen.

  8. I Azure-portalen. Under Slutpunktsassociering för domänen som du nyss lade till väljer du Ta bort association.

  9. För Välj slutpunkt väljer du slutpunkten för värdnamnet i listrutan.

  10. För listan Välj rutter, välj standardväg, och sedan Koppla.

4.3. Aktivera vägen

Standardvägen dirigerar trafiken från klienten till Azure Front Door. Sedan använder Azure Front Door din konfiguration för att skicka trafiken till den externa klientorganisationen. Följ dessa steg om du vill aktivera standardvägen.

  1. Välj Front Door Manager.

  2. För att aktivera standardrutten, börja med att expandera en slutpunkt från listan över slutpunkter i Front Door-hanteraren. Välj sedan standardvägen.

  3. Markera kryssrutan Aktiverad väg .

  4. Spara ändringarna genom att välja Uppdatera .

Testa dina anpassade URL-domäner

  1. Logga in på administrationscentret för Microsoft Entra.

  2. Välj din externa klient: Välj ikonen Inställningar på den översta menyn och växla sedan till den externa klientorganisationen.

  3. Under Externa identiteter väljer du Användarflöden.

  4. Välj ett användarflöde och välj sedan Kör användarflöde.

  5. För Program väljer du webbprogrammet med namnet webapp1 som du tidigare registrerade. Svar-URL ska visa https://jwt.ms.

  6. Kopiera URL:en under Kör användarflödesslutpunkt.

    Skärmbild som visar alternativet för att köra användarflödet.

  7. Om du vill simulera en inloggning med din anpassade domän öppnar du en webbläsare och använder den URL som du kopierade. Ersätt domänen (<tenant-name.ciamlogin.com>) med din anpassade domän.

    I stället för:

    https://contoso.ciamlogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login

    använd:

    https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login

  8. Kontrollera att inloggningssidan är korrekt inladdad. Logga sedan in med ett lokalt konto.

Konfigurera dina applikationer

När du har konfigurerat och testat den anpassade URL-domänen uppdaterar du dina program för att läsa in en URL med din anpassade URL-domän som värdnamn i stället för standarddomänen.

Den anpassade URL-domänintegrering gäller för autentiseringsslutpunkter som använder externa ID-användarflöden för att autentisera användare. Dessa slutpunkter har följande format:

  • https://<custom-url-domain>/<tenant-name>/v2.0/.well-known/openid-configuration

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/authorize

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/token

Ersätta:

  • custom-url-domain med din anpassade URL-domän
  • hyresgästnamn med ditt hyresgästnamn eller hyresgästs-ID

METADATA för SAML-tjänstprovidern kan se ut som följande exempel:

https://custom-url-domain-name/tenant-name/Samlp/metadata

(Valfritt) Använd klientorganisations-ID

Du kan ersätta ditt externa klientnamn i URL:en med ditt klient-ID GUID för att ta bort alla referenser till "onmicrosoft.com" i URL:en. Du hittar ditt klient-ID GUID på sidan Översikt i Azure-portalen eller administrationscentret för Microsoft Entra. Ändra https://account.contosobank.co.uk/contosobank.onmicrosoft.com/ till exempel till https://account.contosobank.co.uk/<tenant-ID-GUID>/.

Om du väljer att använda klientorganisations-ID i stället för klientnamn måste du uppdatera identitetsproviderns OAuth-omdirigerings-URI:er i enlighet med detta. När du använder ditt klient-ID i stället för klientnamn ser en giltig OAuth-omdirigerings-URI ut ungefär som i följande exempel:

https://login.contoso.com/00001111-aaaa-2222-bbbb-3333cccc4444/oauth2/authresp

(Valfritt) Avancerad konfiguration för Azure Front Door

Du kan använda avancerad konfiguration i Azure Front Door, till exempel Azure Web Application Firewall (WAF). Azure WAF ger ett centraliserat skydd för dina webbapplikationer mot vanliga exploateringar och sårbarheter.

Tänk på följande när du använder anpassade domäner:

  • WAF-principen måste vara samma nivå som Azure Front Door-profilen. Mer information om hur du skapar en WAF-princip som ska användas med Azure Front Door finns i Konfigurera WAF-princip.
  • Funktionen för WAF-hanterade regler stöds inte officiellt eftersom den kan orsaka falsklarm och förhindra att legitima begäranden skickas igenom, så använd endast anpassade WAF-regler om de uppfyller dina behov.

(Valfritt) Blockera standarddomänen

När du har konfigurerat anpassade URL-domäner kommer användarna fortfarande att kunna komma åt standarddomännamnet <tenant-name.ciamlogin.com>. Du måste blockera åtkomsten till standarddomänen så att angripare inte kan använda den för att komma åt dina appar eller köra DDoS-attacker (Distributed Denial-of-Service). Skicka ett supportärende för att begära blockering av åtkomst till standarddomänen.

Försiktighet

Kontrollera att din anpassade domän fungerar korrekt innan du begär att standarddomänen ska blockeras. När standarddomänen har blockerats fungerar inte längre vissa funktioner. Se Blockera standarddomänen.

Felsökning

  • Det går inte att hitta meddelandet för sidan. När du försöker logga in med den anpassade URL-domänen får du ett HTTP 404-felmeddelande. Det här problemet kan vara relaterat till DNS-konfigurationen eller Azure Front Door-serverdelskonfigurationen. Prova följande steg:

    • Kontrollera att den anpassade URL-domänen har registrerats och verifierats i din klientorganisation.
    • Kontrollera att den anpassade domänen är korrekt konfigurerad. Posten CNAME för din anpassade domän måste peka på din Azure Front Door-standardfrontend (till exempel contoso-frontend.azurefd.net).

  • Våra tjänster är inte tillgängliga just nu. När du försöker logga in med den anpassade URL-domänen får du felmeddelandet: Våra tjänster är inte tillgängliga just nu. Vi arbetar med att återställa alla tjänster så snart som möjligt. Kom tillbaka snart. Det här problemet kan vara relaterat till Azure Front Door-routningskonfigurationen. Kontrollera statusen för standardvägen. Om den är inaktiverad, aktivera rutten.

  • Resursen har tagits bort, bytt namn eller är tillfälligt otillgänglig. När du försöker logga in med den anpassade URL-domänen får du felmeddelandet att resursen du letar efter har tagits bort, fått namnet ändrat eller är tillfälligt otillgänglig. Det här problemet kan vara relaterat till microsoft Entra-verifiering av anpassade domäner. Kontrollera att den anpassade domänen har registrerats och framgångsrikt verifierats i din klientorganisation.

  • Felkod 399265: RoutingFromInvalidHost. Den här felkoden visas när en klientorganisation gör en begäran från en domän som inte har verifierats. Se till att lägga till TXT-postinformation i dina DNS-poster. Kontrollera sedan ditt anpassade domännamn igen.

  • Felkod 399280: InvalidCustomUrlDomain. Den här felkoden visas när en hyresgäst gör en begäran från en verifierad domän som inte är en anpassad URL-domän. Se till att associera det anpassade domännamnet med en anpassad URL-domän.

Nästa steg

Se alla våra exempelguider och självstudier för att skapa appar för externt ID.