外部租户中的自定义 URL 域（预览）

适用于： 员工租户 外部租户（了解详细信息）

自定义 URL 域让你可以使用自定义 URL 域（而不是 Microsoft 的默认域名）对应用程序的登录终结点进行品牌打造。

重要

此功能目前以预览版提供。 有关适用于 beta 版本、预览版或尚未正式发布版本的 Azure 功能和服务的法律条款，请参阅联机服务的通用许可条款。

使用经过验证的自定义 URL 域有以下几个好处：

• 更统一的用户体验。 从用户角度来看，他们在登录过程中会留在你的域中，而不是被重定向到默认域 <tenant-name>.ciamlogin.com。
• 通过在登录期间使应用程序停留在同一域中，可以减轻第三方 Cookie 阻止的影响。

提示

若要试用此功能，请转到 Woodgrove Groceries 演示，并启动“自定义域名”用例。

自定义 URL 域的原理

使用自定义 URL 域，可以将已验证的自定义域名用作应用程序的登录身份验证终结点。 添加新的自定义域名时，可以将其与自定义 URL 域关联。 然后反向代理服务（例如 Azure Front Door）就可以使用自定义 URL 域导向应用程序的登录。

下图说明了 Azure Front Door 的集成方式：

1. 用户在应用程序中选择“登录”按钮后将被转到登录页。 此页指定自定义 URL 域。
2. Web 浏览器将自定义 URL 域解析到 Azure Front Door IP 地址。 在域名系统 (DNS) 解析过程中，一个带有自定义URL 域的规范名称 (CNAME) 记录将指向 Front Door 的默认前端主机（例如 contoso-frontend.azurefd.net）。
3. 发至自定义 URL 域（例如 login.contoso.com）的流量将被路由到指定的 Front Door 默认前端主机 (contoso-frontend.azurefd.net)。
4. Azure Front Door 使用 <tenant-name>.ciamlogin.com 默认域调用内容。 对终结点的请求包含原始的自定义 URL 域。
5. 外部 ID 通过显示相关内容和原始自定义 URL 域来响应请求。

Azure Front Door 传递用户的原始 IP 地址，即审核报告中看到的 IP 地址。

重要

如果客户端将 x-forwarded-for 标头发送到 Azure Front Door，外部 ID 则会将发起方的 x-forwarded-for 作为用户的 IP 地址用于条件访问评估和 {Context:IPAddress} 声明解析程序。

注意事项和限制

使用自定义 URL 域时：

• 可以设置多个自定义域。 有关支持的自定义域数上限，请参阅 Microsoft Entra 的 Microsoft Entra 服务限制和约束以及 Azure Front Door 的 Azure 订阅和服务限制、配额和约束。
• 可以使用 Azure Front Door，这是一项单独的 Azure 服务，会产生额外费用。 有关详细信息，请参阅 Front Door 定价。 Azure Front Door 实例可以托管在非外部租户的订阅中。
• 配置好自定义 URL 域后，用户仍能够访问默认域名<tenant-name>.ciamlogin.com。
• 如果有多个应用程序，请将它们全部迁移到自定义 URL 域，因为浏览器会在当前使用的域名下存储会话。

重要

• 从浏览器到 Azure Front Door 的连接应始终使用 IPv4，而不是 IPv6。
• 自定义 URL 域目前不支持社交标识提供者。 想要使用社交标识提供者注册或登录的用户需要使用默认终结点，<tenant-name>.ciamlogin.com，不能使用自定义 URL 域终结点。

后续步骤

为 Microsoft Entra 外部 ID 启用自定义 URL 域。