Включение кастомных URL-доменов для приложений во внешних арендаторах

Применяется: Внешние клиенты (дополнительные сведения)

В этой статье описывается, как включить пользовательские домены URL-адресов для приложений Microsoft Entra External ID во внешних арендаторах. Домен пользовательского URL-адреса позволяет брендировать конечные точки входа приложения с помощью собственного домена пользовательского URL-адреса вместо доменного имени майкрософт по умолчанию.

Предварительные условия

• Узнайте, как работают пользовательские домены URL-адресов в External ID.
• Если вы еще не создали внешний клиент, создайте его.
• Создайте поток пользователя, чтобы пользователи могли зарегистрироваться и входить в ваше приложение.
• Зарегистрируйте веб-приложение.

Шаг 1. Добавление имени личного домена для арендатора

При создании внешнего арендатора он имеет начальное доменное имя, <доменное_имя>.onmicrosoft.com. Вы не можете изменить или удалить исходное доменное имя, но вы можете добавить собственное имя личного домена. Для выполнения этих действий обязательно войдите в конфигурацию внешнего клиента в Центре администрирования Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra, как минимум, в качестве Администратора доменных имен.

2. Выберите внешний клиент: щелкните значок "Параметры" в верхнем меню и переключитесь на внешний клиент.

3. Перейдите к Идентификации>Настройкам>Доменным именам>Пользовательским доменным именам.

4. Добавьте имя личного домена в идентификатор Microsoft Entra.

5. Добавьте сведения о DNS в регистратор доменных имен. После добавления имени личного домена в арендатора создайте DNS запись TXT или MX для вашего домена. Такая запись DNS создается для домена, чтобы подтвердить права владения доменным именем.

   Ниже приведены примеры записей TXT для login.contoso.com и account.contoso.com:

   Имя (хост)	Тип	Данные
   Вход	ТЕКСТ	МС=мс12345678
   аккаунт	ТЕКСТ	МС=мс87654321

   Запись TXT должна быть связана с поддоменом или именем узла домена (например, частью входа в домен contoso.com). Если имя узла пусто или @, идентификатор Microsoft Entra ID не может проверить добавленное вами имя личного домена.

   Совет

   Вы можете управлять именем личного домена с помощью любой общедоступной службы DNS, например GoDaddy. Если у вас нет DNS-сервера, вы можете использовать зону Azure DNS или домены Службы приложений.

6. Проверка имени личного домена. Проверьте каждое поддомен или имя узла, которые вы планируете использовать. Например, чтобы иметь возможность войти в систему по адресам login.contoso.com и account.contoso.com, необходимо проверить оба поддомена, а не только домен верхнего уровня contoso.com.

   Внимание

   После проверки домена удалите созданную запись типа TXT из DNS.

Шаг 2. Связывание имени личного домена с личным доменом URL-адреса

После добавления и проверки имени личного домена во внешнем клиенте свяжите имя личного домена с доменом личного URL-адреса.

1. Войдите в центр администрирования Microsoft Entra.

2. Выберите внешний клиент: щелкните значок "Параметры" в верхнем меню и переключитесь на внешний клиент.

3. Перейдите к Entra ID>доменным именам>пользовательских доменов URL.

4. Выберите "Добавить личный URL-адрес".

5. В области "Добавление личного URL-адреса" выберите имя личного домена, введенное на шаге 1.

   

6. Выберите Добавить.

Шаг 3. Создание нового экземпляра Azure Front Door

Чтобы создать Azure Front Door, выполните следующие действия:

1. Войдите на портал Azure.

2. Выберите клиент, содержащий подписку Azure Front Door: выберите значок "Параметры " в верхнем меню, а затем перейдите в клиент, содержащий подписку Azure Front Door.

3. Выполните действия, описанные в разделе "Создание профиля Front Door — быстрое создание", чтобы создать Front Door для вашего арендатора, используя следующие параметры. Оставьте параметры политики кэширования и WAF пустыми.

   Ключ	Значение
   Подписка	Выберите свою подписку Azure.
   Группа ресурсов	Выберите существующую группу ресурсов или создайте новую.
   Имя.	Задайте имя профиля, например ciamazurefrontdoor.
   Уровень	Выберите уровень "Стандартный" или "Премиум". Уровень "Стандартный" оптимизирован для доставки содержимого. Уровень "Премиум" основан на уровне "Стандартный" и ориентирован на безопасность. См. раздел Сравнение уровней.
   Имя конечной точки	Введите уникальное на глобальном уровне имя вашей конечной точки, например, ciamazurefrontdoor. Конечное имя узла автоматически генерируется.
   Тип источника	Выберите Custom.
   Имя узла источника	Введите <tenant-name>.ciamlogin.com. Замените <tenant-name> именем клиента, например contoso.ciamlogin.com.

4. После создания ресурса Azure Front Door выберите "Обзор" и скопируйте имя узла конечной точки для последующего использования. Оно будет выглядеть примерно так — ciamazurefrontdoor-ab123e.z01.azurefd.net.

5. Убедитесь, что имя узла и заголовок узла-источника имеют одинаковое значение:

   1. В разделе Параметры выберите Группы источников.
   2. Выберите группу источника из списка, например default-origin-group.
   3. На правой панели выберите свое имя узла источника, например contoso.ciamlogin.com.
   4. На панели Обновление источника обновите имя узла и заголовок узла источника, задав для них одинаковое значение.

   

Шаг 4. Настройка личного домена URL-адреса в Azure Front Door

На этом шаге вы добавляете пользовательский домен URL, который вы зарегистрировали в шаге 1, в Azure Front Door.

4.1. Создание записи DNS CNAME

Чтобы добавить домен личного URL-адреса, создайте запись канонического имени (CNAME) у вашего поставщика домена. Запись CNAME — это тип записи DNS, который сопоставляет исходное доменное имя с целевым доменным именем (псевдоним). Для Azure Front Door исходное доменное имя — это имя личного URL-адреса, а целевое доменное имя — имя узла Front Door по умолчанию, настроенное на шаге 2, например ciamazurefrontdoor-ab123e.z01.azurefd.net.

После того как Front Door проверит созданную вами запись CNAME, трафик, адресованный исходному домену пользовательского URL (например, login.contoso.com), будет направляться на указанный по умолчанию узел интерфейса Front Door, такой как contoso-frontend.azurefd.net. Дополнительные сведения см. в разделе Добавление пользовательского домена в Front Door.

Чтобы создать запись CNAME для личного домена, сделайте следующее.

1. Войдите на веб-сайт поставщика своего личного домена.

2. Найдите страницу для управления записями DNS. Для этого ознакомьтесь с документацией поставщика или поищите области веб-сайта, обозначенные как Доменное имя, DNS или Name Server Management (Управление сервером доменных имен).

3. Создайте запись CNAME для личного домена URL-адреса и заполните поля, как показано в следующей таблице.

   Источник	Тип	Назначение
   <login.contoso.com>	CNAME	contoso-frontend.azurefd.net

   • Введите пользовательский URL-домен (например: login.contoso.com).

   • Тип. Введите CNAME.

   • Назначение: Введите фронтальный узел Front Door по умолчанию, который вы создаете в шаге 2. Он должен быть в следующем формате: <hostname>.azurefd.net, например, contoso-frontend.azurefd.net.

4. Сохраните изменения.

4.2. Присоедините пользовательский домен для URL-адреса к Front Door

1. На домашней странице портала Azure найдите и выберите ресурс Azure Front Door ciamazurefrontdoor, чтобы открыть его.

2. В меню слева в разделе Параметры выберите Домены.

3. Нажмите Добавить домен.

4. Для Управления DNS выберите Все остальные службы DNS.

5. Для Личного домена введите личный домен, например, login.contoso.com.

6. Сохраните другие значения в качестве значений по умолчанию и нажмите кнопку Добавить. Личный домен добавляется в список.

7. В разделе Состояние проверки домена, который вы только что добавили, выберите Ожидание. Откроется панель с информацией о записи TXT.

   1. Войдите на веб-сайт поставщика своего личного домена.

   2. Найдите страницу для управления записями DNS. Для этого ознакомьтесь с документацией поставщика или поищите области веб-сайта, обозначенные как Доменное имя, DNS или Name Server Management (Управление сервером доменных имен).

   3. Создайте запись DNS TXT и заполните следующие поля:

      • Имя: введите только часть _dnsauth.contoso.comподдомена, например _dnsauth
      • Тип: TXT
      • Значение: например, 75abc123t48y2qrtsz2bvk......

      После добавления записи DNS TXT состояние проверки в ресурсе Front Door в конечном итоге изменится с Ожидание на Утверждено. Чтобы увидеть изменение, может потребоваться обновить страницу.

8. на портале Azure; В разделе Связь конечной точки только что добавленного домена, выберите опцию Не связана.

9. В разделе Выбор конечной точки выберите конечную точку имени узла в раскрывающемся списке.

10. В списке Выбор маршрутов выберите default-route (маршрут по умолчанию), а затем нажмите Связать.

4.3. Включите маршрут

default-route направляет трафик от клиента в Azure Front Door. Затем Azure Front Door использует конфигурацию для отправки трафика внешнему клиенту. Чтобы включить маршрут по умолчанию, выполните следующие действия.

1. Выберите Front Door Manager.

2. Чтобы включить маршрут по умолчанию, сначала разверните конечную точку из списка конечных точек в диспетчере Front Door. Затем выберите default-route.

3. Установите флажок "Включенный маршрут".

4. Для сохранения изменений нажмите Обновить.

Тестируйте свои пользовательские домены URL-адресов

1. Войдите в центр администрирования Microsoft Entra.

2. Выберите внешний клиент: щелкните значок "Параметры" в верхнем меню и переключитесь на внешний клиент.

3. В разделе "Внешние удостоверения" выберите потоки пользователей.

4. Выберите поток пользователя, а затем выберите Выполнение потока пользователя.

5. В разделе Приложение выберите зарегистрированное ранее веб-приложение с именем webapp1. В поле URL-адрес ответа должно содержаться значение https://jwt.ms.

6. Скопируйте URL-адрес в разделе Конечная точка выполнения потока пользователя.

   

7. Чтобы сымитировать вход с использованием личного домена, откройте окно веб-браузера и вставьте в адресную строку скопированный URL-адрес. Замените домен (<имя> клиента.ciamlogin.com) личным доменом.

   Например, вместо:

   https://contoso.ciamlogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
   

   используйте:

   https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
   

8. Убедитесь, что страница входа загружена правильно. Затем выполните вход с локальной учетной записью.

Настройка приложений

После настройки и тестирования пользовательского домена URL обновите приложения, чтобы загружать URL-адрес с вашим пользовательским доменом URL в качестве имени узла вместо домена по умолчанию.

Интеграция пользовательских доменов URL применяется к конечным точкам аутентификации, использующим потоки пользователей с внешними идентификаторами для проверки подлинности пользователей. Эти конечные точки имеют следующий формат:

• https://<custom-url-domain>/<tenant-name>/v2.0/.well-known/openid-configuration

• https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/authorize

• https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/token

Замена:

• пользовательский URL-домен с вашим пользовательским URL-доменом
• tenant-name на имя вашего арендатора или идентификатор арендатора

Метаданные поставщика услуг SAML могут выглядеть следующим образом:

https://custom-url-domain-name/tenant-name/Samlp/metadata

(Необязательно) Использование идентификатора клиента

Вы можете заменить имя внешнего арендатора в URL-адресе на идентификатор арендатора, чтобы удалить все ссылки на "onmicrosoft.com" в URL-адресе. Вы можете найти идентификатор вашего клиента на странице Обзора в портале Azure или Центре администрирования Microsoft Entra. Например, измените https://account.contosobank.co.uk/contosobank.onmicrosoft.com/ на https://account.contosobank.co.uk/<tenant-ID-GUID>/.

Если решено использовать идентификатор арендатора вместо имени арендатора, обязательно обновите URI перенаправления OAuth поставщика удостоверений соответствующим образом. При использовании идентификатора клиента вместо имени клиента допустимый URI перенаправления OAuth выглядит следующим образом:

https://login.contoso.com/00001111-aaaa-2222-bbbb-3333cccc4444/oauth2/authresp 

(Необязательно) Расширенная настройка Azure Front Door

Можно использовать расширенную конфигурацию Azure Front Door, например Брандмауэр для веб-приложения (WAF). Azure WAF обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей.

При использовании личных доменов необходимо учитывать следующее:

• Политика WAF должна быть того же уровня, что и профиль Azure Front Door. Дополнительные сведения о создании политики WAF для использования с Azure Front Door см. в статье Настройка политики WAF.
• Функция управляемых правил WAF официально не поддерживается, так как она может привести к ложноположительным результатам и помешать передаче допустимых запросов, поэтому используйте настраиваемые правила WAF, только если они соответствуют вашим потребностям.

(Необязательно) Блокировать домен по умолчанию

После того как вы настроите пользовательские URL-домены, пользователи всё ещё смогут получить доступ к имени домена по умолчанию <имени арендатора>.ciamlogin.com. Необходимо заблокировать доступ к домену по умолчанию, чтобы злоумышленники не могли использовать его для доступа к приложениям или запуска распределенных атак типа "отказ в обслуживании" (DDoS). Отправьте запрос в службу поддержки, чтобы запросить блокировку доступа к домену по умолчанию.

Устранение неполадок

• Страница не найдена. При попытке войти с помощью личного домена URL-адреса вы получите сообщение об ошибке HTTP 404. Эта проблема может быть связана с конфигурацией DNS или конфигурацией серверной части Azure Front Door. Попробуйте сделать следующее.

  • Убедитесь, что пользовательский домен URL-адреса зарегистрирован и успешно проверен в арендаторе.
  • Убедитесь, что личный домен настроен правильно. Запись CNAME для вашего пользовательского домена должна указывать на фронтенд узел Azure Front Door по умолчанию (например, contoso-frontend.azurefd.net).

• Наши услуги недоступны прямо сейчас. При попытке войти с помощью личного домена URL-адреса вы получите сообщение об ошибке: наши службы недоступны прямо сейчас. Мы работаем над восстановлением всех служб как можно скорее. Пожалуйста, проверьте в ближайшее время. Эта проблема может быть связана с конфигурацией маршрута Azure Front Door. Проверьте состояние маршрута по умолчанию. Если функция отключена, включите маршрут.

• Ресурс был удален, изменен или временно недоступен. При попытке войти с пользовательским доменом URL, вы получите сообщение об ошибке: ресурс, который вы ищете, был удален, его имя изменено или он временно недоступен. Эта проблема может быть связана с проверкой личного домена Microsoft Entra. Убедитесь, что личный домен зарегистрирован и успешно проверен в арендаторе.

• Код ошибки 399265: RoutingFromInvalidHost. Этот код ошибки появляется, когда клиент выполняет запрос из домена, который не проверен. Обязательно добавьте сведения о TXT-записи в ваши DNS-записи. Затем снова проверьте имя личного домена.

• Код ошибки 399280: InvalidCustomUrlDomain. Этот код ошибки появляется, когда клиент выполняет запрос из проверенного домена, который не является пользовательским доменом URL-адреса. Обязательно свяжите имя личного домена с доменом личного URL-адреса.

Следующие шаги

Ознакомьтесь со всеми нашими примерами руководств и учебниками по созданию приложений для внешнего идентификатора.