Freigeben über


Aktivieren von benutzerdefinierten URL-Domänen für Apps in externen Mandanten (Vorschau)

Gilt für: Weißer Kreis mit grauem X. Mitarbeitermandanten Grüner Kreis mit weißem Häkchen. Externe Mandanten (weitere Informationen)

In diesem Artikel wird beschrieben, wie benutzerdefinierte URL-Domänen für externe Microsoft Entra-ID-Anwendungen in externen Mandanten aktiviert werden. Mit einer benutzerdefinierten URL-Domäne können Sie die Anmeldeendpunkte Ihrer Anwendung mit Ihrer eigenen benutzerdefinierten URL-Domäne statt dem Standarddomänennamen von Microsoft kennzeichnen.

Wichtig

Diese Funktion steht derzeit als Vorschau zur Verfügung. In den Universellen Lizenzbedingungen für Online-Dienste finden Sie rechtliche Bestimmungen, die für Azure-Funktionen und -Dienste gelten, die sich in der Betaphase befinden, eine Vorschau darstellen oder anderweitig nicht allgemein verfügbar sind.

Voraussetzungen

Schritt 1: Hinzufügen eines benutzerdefinierten Domänennamens zu Ihrem Mandanten

Wenn Sie einen externen Mandanten erstellen, enthält er einen ursprünglichen Domänennamen: <domainname>.onmicrosoft.com. Der ursprüngliche Domänenname kann nicht geändert oder gelöscht werden. Sie können jedoch einen benutzerdefinierten Domänennamen hinzufügen. Für diese Schritte müssen Sie sich im Microsoft Entra Admin Center bei der Konfiguration Ihres externen Mandanten anmelden.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Domänennamenadministrator an.

  2. Wählen Sie Ihren externen Mandanten aus: Wählen Sie im oberen Menü das Symbol Einstellungen aus, und wechseln Sie dann zu Ihrem externen Mandanten.

  3. Navigieren Sie zu Identität>Einstellungen>Domänennamen>Benutzerdefinierte Domänennamen.

  4. Fügen Sie Microsoft Entra ID Ihren benutzerdefinierten Domänennamen hinzu.

  5. Hinzufügen Ihrer DNS-Informationen in der Domänenregistrierungsstelle. Nachdem Sie Ihrem Mandanten Ihren benutzerdefinierten Domänennamen hinzugefügt haben, erstellen Sie einen DNS-TXT- oder -MX-Eintrag für Ihre Domäne. Über die Erstellung dieses DNS-Eintrags wird der Besitz des Domänennamens bestätigt.

    Es folgen Beispiele für TXT-Einträge für login.contoso.com und account.contoso.com:

    Name (Hostname) Typ Daten
    login TXT MS=ms12345678
    account TXT MS=ms87654321

    Der TXT-Eintrag muss der Unterdomäne oder dem Hostnamen der Domäne zugeordnet sein (z. B. dem Teil login der Domäne contoso.com). Wenn der Hostname leer oder @ ist, kann die Microsoft Entra ID den von Ihnen hinzugefügten benutzerdefinierten Domänennamen nicht überprüfen.

    Tipp

    Sie können Ihre benutzerdefinierte Domäne mit jedem öffentlich verfügbaren DNS-Dienst wie GoDaddy verwalten. Wenn Sie über keinen DNS-Server verfügen, können Sie eine Azure DNS-Zone oder App Service-Domänen verwenden.

  6. Überprüfen des benutzerdefinierten Domänennamens. Überprüfen Sie alle Unterdomänen oder Hostnamen, die Sie verwenden möchten. Für die Anmeldung bei login.contoso.com und account.contoso.com müssen Sie beispielsweise beide Unterdomänen und nicht nur die Domäne der obersten Ebene (contoso.com) überprüfen.

    Wichtig

    Löschen Sie nach dem Überprüfen der Domäne den erstellten DNS-TXT-Eintrag.

Schritt 2: Zuordnen des benutzerdefinierten Domänennamens zu einer benutzerdefinierten URL-Domäne

Nachdem Sie den benutzerdefinierten Domänennamen Ihrem externen Mandanten hinzugefügt und dort überprüft haben, ordnen Sie den benutzerdefinierten Domänennamen einer benutzerdefinierten URL-Domäne zu.

  1. Melden Sie sich beim Microsoft Entra Admin Center an.

  2. Wählen Sie Ihren externen Mandanten aus: Wählen Sie im oberen Menü das Symbol Einstellungen aus, und wechseln Sie dann zu Ihrem externen Mandanten.

  3. Navigieren Sie zu Identität>Einstellungen>Domänennamen>Benutzerdefinierte URL-Domänen (Vorschau).

  4. Wählen Sie Benutzerdefinierte URL-Domäne hinzufügen aus.

  5. Wählen Sie im Bereich Benutzerdefinierte URL-Domäne hinzufügen den benutzerdefinierten Domänennamen aus, den Sie in Schritt 1 eingegeben haben.

    Screenshot: Bereich „Benutzerdefinierte URL-Domäne hinzufügen“

  6. Wählen Sie Hinzufügen aus.

Schritt 3: Erstellen einer neuen Azure Front Door-Instanz

Führen Sie die folgenden Schritte aus, um eine Azure Front Door-Instanz zu erstellen:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie den Mandanten aus, der Ihr Azure Front Door-Abonnement enthält: Wählen Sie im oberen Menü das Symbol Einstellungen aus, und wechseln Sie dann zu dem Mandanten, der Ihr Azure Front Door-Abonnement enthält.

  3. Führen Sie die Schritte in Front Door-Profil erstellen: Schnellerstellung aus, um mit den folgenden Einstellungen eine Front Door-Instanz für Ihren Mandanten zu erstellen. Lassen Sie die Einstellungen Zwischenspeichern und WAF-Richtlinie leer.

    Schlüssel Wert
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Ressourcengruppe Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue.
    Name Geben Sie dem Profil einen Namen, z. B. ciamazurefrontdoor.
    Tarif Wählen Sie entweder die Standard- oder Premium-Ebene aus. Die Standard-Ebene ist für die Inhaltsbereitstellung optimiert. Die Premium-Ebene baut auf die Standard-Ebene auf und konzentriert sich auf die Sicherheit. Siehe Vergleich der Dienstebenen.
    Endpunktname Geben Sie einen global eindeutigen Namen für Ihren Endpunkt ein, z. B. ciamazurefrontdoor. Der Endpunkthostname wird automatisch generiert.
    Ursprungstyp Wählen Sie Custom aus.
    Ursprungshostname Geben Sie <tenant-name>.ciamlogin.com ein. Ersetzen Sie <tenant-name> durch den Namen Ihres Mandanten, z. B. contoso.ciamlogin.com.
  4. Nachdem die Azure Front Door-Ressource erstellt worden ist, wählen Sie Übersicht aus und kopieren den Endpunkthostnamen zur Verwendung in einem späteren Schritt. Der Wert sollte etwa wie folgt aussehen: ciamazurefrontdoor-ab123e.z01.azurefd.net.

  5. Stellen Sie sicher, dass der Hostname und der Ursprungshostheader Ihres Ursprungs denselben Wert aufweisen:

    1. Wählen Sie unter Einstellungen die Option Ursprungsgruppen aus.
    2. Wählen Sie Ihre Ursprungsgruppe aus der Liste aus, z. B. default-origin-group.
    3. Wählen Sie im rechten Bereich Ihren Ursprungshostnamen aus, z. B. contoso.ciamlogin.com.
    4. Aktualisieren Sie im Bereich Ursprung aktualisieren den Hostnamen und den Ursprungshostheader auf denselben Wert.

    Screenshot: Hostheaderfelder für Hostnamen und Ursprung

Schritt 4: Einrichten der benutzerdefinierten URL-Domäne in Azure Front Door

In diesem Schritt fügen Sie die benutzerdefinierte URL-Domäne hinzu, die Sie in Schritt 1 für Azure Front Door registriert haben.

4.1. Erstellen eines CNAME-DNS-Eintrags

Um die benutzerdefinierte URL-Domäne hinzuzufügen, erstellen einen kanonischen Namenseintrags (CNAME-Eintrag) bei Ihrem Domänenanbieter. Ein CNAME-Eintrag ist eine Art von DNS-Eintrag, mit dem ein Quelldomänenname einem Zieldomänennamen zugeordnet wird (Alias). Für Azure Front Door ist der Quelldomänenname Ihr benutzerdefinierter URL-Domänenname und der Zieldomänenname der Name Ihres Front Door-Standardhosts, den Sie in Schritt 2: Erstellen einer neuen Azure Front Door-Instanz konfiguriert haben; beispielsweise ciamazurefrontdoor-ab123e.z01.azurefd.net.

Nachdem der von Ihnen erstellte CNAME-Eintrag von Front Door überprüft wurde, wird der für die benutzerdefinierte URL-Quelldomäne (z. B. login.contoso.com) bestimmte Datenverkehr an den angegebenen Ziel-Front-End-Standardhost von Front Door Service weitergeleitet (z. B. contoso-frontend.azurefd.net). Weitere Informationen finden Sie unter Hinzufügen einer benutzerdefinierten Domäne zu Front Door.

Erstellen Sie wie folgt einen CNAME-Eintrag für Ihre benutzerdefinierten Domäne:

  1. Melden Sie sich an der Website des Domänenanbieters für Ihre benutzerdefinierte Domäne an.

  2. Suchen Sie die Seite für die Verwaltung von DNS-Einträgen mithilfe der Dokumentation des Anbieters, oder suchen Sie nach Bereichen der Website mit der Bezeichnung Domänennamen, DNS, oder Namensserververwaltung.

  3. Erstellen Sie einen CNAME-Eintrag für Ihre benutzerdefinierte URL-Domäne, und füllen Sie die Felder wie in der folgenden Tabelle gezeigt aus.

    Quelle type Destination
    <login.contoso.com> CNAME contoso-frontend.azurefd.net
    • Quelle: Geben Sie Ihre benutzerdefinierte URL-Domäne ein (z. B. login.contoso.com).

    • Typ: Geben Sie CNAME ein.

    • Ziel: Geben Sie den in Schritt 2 erstellten Front Door-Front-End-Standardhost ein. Der Host muss im folgenden Format angegeben werden: <hostname>.azurefd.net, z. B. contoso-frontend.azurefd.net.

  4. Speichern Sie die Änderungen.

4.2. Zuordnen der benutzerdefinierten URL-Domäne zu Ihrer Front Door

  1. Suchen Sie auf der Startseite im Azure-Portal nach der Azure Front Door-Ressource ciamazurefrontdoor, und wählen Sie sie aus, um sie zu öffnen.

  2. Wählen Sie im Menü links unter Einstellungen die Option Domänen aus.

  3. Wählen Sie Domäne hinzufügen aus.

  4. Wählen Sie für DNS-Verwaltung die Option Alle anderen DNS-Dienste aus.

  5. Geben Sie für Benutzerdefinierte Domäne Ihre benutzerdefinierte Domäne ein, z. B. login.contoso.com.

  6. Behalten Sie für die anderen Werte die Standardwerte bei, und wählen Sie dann Hinzufügen aus. Ihre benutzerdefinierte Domäne wird der Liste hinzugefügt.

  7. Wählen Sie unter Überprüfungsstatus der Domäne, die Sie gerade hinzugefügt haben, die Option Ausstehend aus. Ein Bereich mit einem TXT-Datensatz mit Informationen wird geöffnet.

    1. Melden Sie sich an der Website des Domänenanbieters für Ihre benutzerdefinierte Domäne an.

    2. Suchen Sie die Seite für die Verwaltung von DNS-Einträgen mithilfe der Dokumentation des Anbieters, oder suchen Sie nach Bereichen der Website mit der Bezeichnung Domänennamen, DNS, oder Namensserververwaltung.

    3. Erstellen Sie einen neuen TXT-DNS-Eintrag, und füllen Sie die folgenden Felder aus:

      • Name: Geben Sie nur den Subdomänenteil von _dnsauth.contoso.com ein, z. B. _dnsauth
      • Typ:TXT
      • Wert: Beispielsweise 75abc123t48y2qrtsz2bvk......

      Nachdem Sie den TXT-DNS-Eintrag hinzugefügt haben, ändert sich der Überprüfungsstatus der Front Door-Ressource schließlich von Ausstehend in Genehmigt. Möglicherweise müssen Sie die Seite aktualisieren, damit die Änderung angezeigt wird.

  8. Im Azure-Portal. Wählen Sie unter Endpunktzuordnung für die Domäne, die Sie gerade hinzugefügt haben, die Option Nicht zugeordnet aus.

  9. Wählen Sie für Endpunkt auswählen den Hostnamenendpunkt in der Dropdownliste aus.

  10. Wählen Sie für die Liste Routen auswählen die Standardroute und dann Zuordnen aus.

4.3. Aktivieren der Route

Die Standardroute leitet den Datenverkehr vom Client an Azure Front Door weiter. Anschließend verwendet Azure Front Door Ihre Konfiguration, um den Datenverkehr an den externen Mandanten zu senden. Um die Standardroute zu aktivieren, führen Sie die folgenden Schritte aus.

  1. Wählen Sie Front Door-Manager aus.

  2. Um die Standardroute zu aktivieren, erweitern Sie im Front Door-Manager zunächst einen Endpunkt in der Liste der Endpunkte. Wählen Sie dann die Standardroute aus.

  3. Aktivieren Sie das Kontrollkästchen Aktivierte Route.

  4. Wählen Sie Aktualisieren aus, um die Änderung zu speichern.

Testen der benutzerdefinierten URL-Domänen

  1. Melden Sie sich beim Microsoft Entra Admin Center an.

  2. Wählen Sie Ihren externen Mandanten aus: Wählen Sie im oberen Menü das Symbol Einstellungen aus, und wechseln Sie dann zu Ihrem externen Mandanten.

  3. Wählen Sie unter Externe Identitäten die Option Benutzerflows aus.

  4. Wählen Sie einen Benutzerflow und dann Benutzerflow ausführen aus.

  5. Wählen Sie für Anwendung die Webanwendung webapp1 aus, die Sie zuvor registriert haben. Als Antwort-URL sollte https://jwt.ms angezeigt werden.

  6. Kopieren Sie die URL unter Benutzerflow-Endpunkt ausführen.

    Screenshot: Bereich „Benutzerflow ausführen“

  7. Um eine Anmeldung mit Ihrer benutzerdefinierten Domäne zu simulieren, öffnen Sie einen Webbrowser und verwenden die kopierte URL. Ersetzen Sie die Domäne (<tenant-name>.ciamlogin.com) durch Ihre benutzerdefinierte Domäne.

    Verwenden Sie anstelle von

    https://contoso.ciamlogin.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
    

    sondern:

    https://login.contoso.com/contoso.onmicrosoft.com/oauth2/v2.0/authorize?p=B2C_1_susi&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&nonce=defaultNonce&redirect_uri=https%3A%2F%2Fjwt.ms&scope=openid&response_type=id_token&prompt=login
    
  8. Vergewissern Sie sich, dass die Anmeldeseite ordnungsgemäß geladen wird. Melden Sie sich dann mit einem lokalen Konto an.

Konfigurieren der Anwendung

Nachdem Sie die benutzerdefinierte URL-Domäne konfiguriert und getestet haben, aktualisieren Sie Ihre Anwendungen so, dass eine URL mit Ihrer benutzerdefinierten URL-Domäne als Hostname anstelle der Standarddomäne geladen wird.

Die Integration der benutzerdefinierten URL-Domäne gilt für Authentifizierungsendpunkte, die External ID-Benutzerflows zum Authentifizieren der Benutzer und Benutzerinnen verwenden. Diese Endpunkte haben das folgende Format:

  • https://<custom-url-domain>/<tenant-name>/v2.0/.well-known/openid-configuration

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/authorize

  • https://<custom-url-domain>/<tenant-name>/oauth2/v2.0/token

Ersetzen Sie:

  • custom-url-domain mit Ihrer benutzerdefinierten URL-Domäne
  • tenant-name durch den Namen oder die ID Ihres Mandanten

Die Metadaten des SAML-Dienstanbieters können wie im folgenden Beispiel aussehen:

https://custom-url-domain-name/tenant-name/Samlp/metadata

(Optional:) Verwenden der Mandanten-ID

Sie können den Namen des externen Mandanten in der URL durch Ihre Mandanten-ID-GUID ersetzen, um alle Verweise auf „onmicrosoft.com“ aus der URL zu entfernen. Sie finden Ihre Mandanten-ID-GUID auf der Seite Übersicht im Azure-Portal oder im Microsoft Entra Admin Center. Sie können z. B. https://account.contosobank.co.uk/contosobank.onmicrosoft.com/ in https://account.contosobank.co.uk/<tenant-ID-GUID>/ ändern.

Wenn Sie die Mandanten-ID anstelle des Mandantennamens verwenden, müssen Sie die OAuth-Umleitungs-URIs des Identitätsanbieters entsprechend aktualisieren. Wenn Sie Ihre Mandanten-ID anstelle des Mandantennamens verwenden, sieht ein gültiger OAuth-Umleitungs-URI ähnlich wie im folgenden Beispiel aus:

https://login.contoso.com/00001111-aaaa-2222-bbbb-3333cccc4444/oauth2/authresp 

(Optional:) Erweiterte Azure Front Door-Konfiguration

Sie können die erweiterte Konfiguration in Azure Front Door verwenden, z. B. die Azure Web Application Firewall (WAF). Azure WAF bietet zentralisierten Schutz Ihrer Webanwendungen vor allgemeinen Exploits und Sicherheitsrisiken.

Bei der Verwendung von benutzerdefinierten Domänen ist Folgendes zu beachten:

  • Die WAF-Richtlinie muss sich auf der gleichen Ebene wie das Azure Front Door-Profil befinden. Weitere Informationen zum Erstellen einer WAF-Richtlinie für die Verwendung mit Azure Front Door finden Sie unter Konfigurieren einer WAF-Richtlinie.
  • Das Feature für verwaltete WAF-Regeln wird nicht offiziell unterstützt, da es zu False Positive-Ergebnissen führen und verhindern kann, dass legitime Anforderungen übergeben werden, sodass benutzerdefinierte WAF-Regeln nur verwendet werden, wenn sie Ihre Anforderungen erfüllen.

Problembehandlung

  • Meldung „Seite nicht gefunden“. Wenn Sie versuchen, sich mit der benutzerdefinierten URL-Domäne anzumelden, wird eine HTTP 404-Fehlermeldung angezeigt. Dieses Problem kann mit der DNS-Konfiguration oder der Konfiguration des Azure Front Door-Back-Ends zusammenhängen. Probieren Sie die folgenden Schritte aus:

    • Stellen Sie sicher, dass die benutzerdefinierte URL-Domäne in Ihrem Mandanten registriert und erfolgreich überprüft wurde.
    • Vergewissern Sie sich, dass die benutzerdefinierte Domäne ordnungsgemäß konfiguriert ist. Der CNAME-Eintrag für die benutzerdefinierte Domäne muss auf den standardmäßigen Azure Front Door-Front-End-Host zeigen (z. B. contoso.azurefd.net).
  • Meldung „Unsere Dienste sind derzeit nicht verfügbar“. Wenn Sie versuchen, sich mit der benutzerdefinierten URL-Domäne anzumelden, erhalten Sie die Fehlermeldung: Unsere Dienste sind derzeit nicht verfügbar. Wir arbeiten daran, alle Dienste so schnell wie möglich wiederherzustellen. Schauen Sie bald wieder vorbei. Dieses Problem kann mit der Routenkonfiguration in Azure Front Door zusammenhängen. Überprüfen Sie den Status der Standardroute. Wenn sie deaktiviert ist, aktivieren Sie die Route.

  • Die Ressource wurde entfernt oder umbenannt, oder sie ist vorübergehend nicht verfügbar. Wenn Sie versuchen, sich mit der benutzerdefinierten URL-Domäne anzumelden, wird die Fehlermeldung Die gesuchte Ressource wurde entfernt oder umbenannt, oder sie steht vorübergehend nicht zur Verfügung angezeigt. Dieses Problem kann mit der Überprüfung von benutzerdefinierten Microsoft Entra-Domäne zusammenhängen. Stellen Sie sicher, dass die benutzerdefinierte Domäne in Ihrem Mandanten registriert und erfolgreich überprüft wurde.

  • Fehlercode 399265: RoutingFromInvalidHost Dieser Fehlercode wird angezeigt, wenn ein Mandant eine Anforderung von einer Domäne sendet, die nicht überprüft wird. Stellen Sie sicher, dass Sie in Ihren DNS-Einträgen TXT-Eintragsdetails hinzufügen. Anschließend überprüfen Sie den Namen Ihrer benutzerdefinierten Domäne erneut.

  • Fehlercode 399280: InvalidCustomUrlDomain Dieser Fehlercode wird angezeigt, wenn ein Mandant eine Anforderung von einer überprüften Domäne sendet, die keine benutzerdefinierte URL-Domäne ist. Stellen Sie sicher, dass Sie den benutzerdefinierten Domänennamen einer benutzerdefinierten URL-Domäne zuordnen.

Nächste Schritte

Sehen Sie sich alle unsere Beispielleitfäden und Tutorials zum Erstellen von Apps für External ID an.