Partilhar via

Domínios de URL personalizados em locatários externos

  • Artigo

Aplica-se a:Círculo branco com um símbolo X cinzento.Locatários da força deCírculo verde com um símbolo de marca de verificação branco.trabalho Locatários externos (saiba mais)

Um domínio de URL personalizado permite que você marque os pontos de extremidade de entrada do seu aplicativo com seu próprio domínio de URL personalizado em vez do nome de domínio padrão da Microsoft.

A captura de tela demonstra uma experiência de usuário de domínio de URL personalizada de ID Externa.

Usar um domínio de URL personalizado verificado tem vários benefícios:

  • Ele fornece uma experiência de usuário mais consistente. Da perspetiva do usuário, eles permanecem no seu domínio durante o processo de entrada em vez de redirecionarem para o nome< do locatário do domínio >padrão.ciamlogin.com.
  • Você atenua o efeito do bloqueio de cookies de terceiros permanecendo no mesmo domínio do seu aplicativo durante o login.

Gorjeta

Experimentar agora

Para experimentar este recurso, acesse a demonstração da Woodgrove Groceries e inicie o cenário de utilização “nome de domínio URL personalizado”.

Como funciona um domínio de URL personalizado

Um domínio URL personalizado permite que utilize os seus nomes de domínio URL personalizados verificados como endereços de autenticação de início de sessão dos seus aplicativos. Ao adicionar um novo nome de domínio de URL personalizado, você pode associá-lo a um domínio de URL personalizado. Em seguida, um serviço de proxy reverso, como o Azure Front Door, pode usar o domínio de URL personalizado para direcionar entradas para seu aplicativo.

O diagrama a seguir ilustra a integração do Azure Front Door:

Diagrama mostrando a integração do Azure Front Door com ID Externa.

  1. A partir de uma aplicação, um utilizador seleciona o botão de início de sessão, que o leva para a página de início de sessão. Esta página especifica um domínio de URL personalizado.
  2. O navegador da Web resolve o domínio de URL personalizado para o endereço IP da Porta da Frente do Azure. Durante a resolução do DNS (Sistema de Nomes de Domínio), um registro de nome canônico (CNAME) com um domínio de URL personalizado aponta para o host front-end padrão da Front Door (por exemplo, contoso-frontend.azurefd.net).
  3. O tráfego endereçado ao domínio de URL personalizado (por exemplo, login.contoso.com) é roteado para o host front-end padrão especificado (contoso-frontend.azurefd.net).
  4. O Azure Front Door invoca conteúdo usando o <tenant-name>.ciamlogin.com domínio padrão. A solicitação para o ponto de extremidade inclui o domínio de URL personalizado original.
  5. A ID externa responde à solicitação de domínio de URL personalizada exibindo o conteúdo relevante e o domínio de URL personalizado original.

O Azure Front Door passa o endereço IP original do usuário, que é o endereço IP que você vê no relatório de auditoria.

Importante

Se o cliente enviar um x-forwarded-for cabeçalho para a Porta da Frente do Azure, a ID Externa usará o do originador como o endereço IP do x-forwarded-for usuário para a avaliação do Acesso Condicional e o {Context:IPAddress} resolvedor de declarações.

Considerações e limitações

Ao usar domínios de URL personalizados:

  • Você pode configurar vários domínios de URL personalizados. Para obter o número máximo de domínios de URL personalizados com suporte, consulte os limites e restrições de serviço do Microsoft Entra em para o Microsoft Entra, e os limites, quotas e restrições de assinatura e serviço do Azure em para o Azure Front Door.
  • Você pode usar o Azure Front Door, que é um serviço do Azure separado que incorre em cobranças extras. Para obter mais informações, consulte Preços da porta da frente. Sua instância do Azure Front Door pode ser hospedada em uma assinatura diferente do seu locatário externo.
  • Se você tiver vários aplicativos, migre-os todos para o domínio de URL personalizado porque o navegador armazena a sessão sob o nome de domínio que está sendo usado no momento.

Importante

  • Azure Front Door: A conexão do navegador com o Azure Front Door sempre deve usar IPv4 em vez de IPv6.
  • Provedores de identidade social: os domínios de URL personalizados são compatíveis com a Apple. No entanto, o Google e o Facebook não são suportados atualmente. Os utilizadores que desejam registar-se ou fazer login usando o Google ou o Facebook devem usar o ponto de extremidade padrão, <tenant-name>.ciamlogin.com, em vez do ponto de extremidade de domínio de URL personalizado.

Bloquear o domínio predefinido

Para maior segurança, recomendamos bloquear o domínio padrão. Depois de configurar domínios de URL personalizados, os usuários ainda poderão acessar o nome <>. Você precisa bloquear o acesso ao domínio padrão para que os invasores não possam usá-lo para acessar seus aplicativos ou executar ataques distribuídos de negação de serviço (DDoS). Para bloquear o acesso ao domínio padrão, abra um tíquete de suporte e envie uma solicitação.

Atenção

Verifique se o domínio de URL personalizado funciona corretamente antes de enviar uma solicitação para bloquear o domínio padrão.

Impacto do recurso e soluções alternativas

Bloquear o domínio padrão desativará certos recursos que dependem dele. No entanto, você pode manter a funcionalidade para os recursos descritos na tabela a seguir configurando-os com seu domínio de URL personalizado.

Funcionalidade Solução alternativa
Corra agora No centro de administração do Microsoft Entra, atualize a URL usada pelo recurso "Executar agora" no guia de introdução e no painel de fluxo do usuário com seu domínio de URL personalizado. No URL do navegador, substitua {your_domain}.ciamlogin.com pelo seu domínio de URL personalizado {your_custom_URL_domain}/{your_tenant_ID}.
Exemplos para começar Configure os exemplos no guia de introdução com seu domínio de URL personalizado. Para obter instruções detalhadas, consulte a documentação de cada amostra. Por exemplo, consulte a seção "Usar domínio de URL personalizado" no tutorial do aplicativo de página única Vanilla JavaScript.
Power Pages com ID Externo Ao utilizar o ID Externo com o seu site do Power Pages, atualize as configurações do site com o seu domínio de URL personalizado. Na página de configuração do fornecedor de identidade do Power Pages, substitua o campo URL da Autoridade, que contém {your_domain}.ciamlogin.com, pelo seu domínio de URL personalizado {your_custom_URL_domain}/{your_tenant_ID}.
Serviço de Aplicativo do Azure com ID Externa Ao usar ID Externo com o Azure App Service, edite o fornecedor de identidade e altere o campo URL do Emissor de {your_domain}.ciamlogin.com para o seu domínio de URL personalizado {your_custom_URL_domain}/{your_tenant_ID}.
Extensão de código do Visual Studio No da extensão do Visual Studio Code, adicione o seu domínio de URL personalizado à configuração MSAL da aplicação, para que a aplicação e a funcionalidade "Executar agora" funcionem corretamente. Altere a autoridade no arquivo authconfig de {your_domain}.ciamlogin.com para {your_custom_URL_domain}/{your_tenant_ID}e adicione as autoridades conhecidas com seu domínio de URL personalizado.
Visual Studio com ID Externo No arquivo appsettings.json, adicione seu domínio de URL personalizado seguido pelo ID do locatário e adicione as autoridades conhecidas com seu domínio de URL personalizado.
Exemplos do GitHub Certos exemplos, como aplicativo de bate-papo OpenAI com autenticação Microsoft Entra (Python), precisam do seu domínio de URL personalizado. Ao configurar o exemplo, defina o AZURE_AUTH_LOGIN_ENDPOINT para seu domínio de URL personalizado.

Próximos passos

Habilite domínios de URL personalizados para o Microsoft Entra External ID.