Dela via

Anpassade URL-domäner i externa klientorganisationer

Gäller för: Grön cirkel med en vit bockmarkeringssymbol som anger att följande innehåll gäller för externa klienter. Externa klienter (läs mer)

Med en anpassad URL-domän kan du märka programmets inloggningsslutpunkter med din egen anpassade URL-domän i stället för Microsofts standarddomännamn.

Skärmbild som visar användarupplevelsen för en anpassad URL-domän för externt ID.

Det finns flera fördelar med att använda en verifierad anpassad URL-domän:

  • Det ger en mer konsekvent användarupplevelse. Från användarens perspektiv finns de kvar i domänen under inloggningsprocessen i stället för att omdirigeras till standarddomänens <klientnamn.ciamlogin.com>.
  • Du minimerar effekten av blockering av cookies från tredje part genom att stanna kvar i samma domän för ditt program under inloggningen.

Så här fungerar en anpassad URL-domän

Med en anpassad URL-domän kan du använda dina verifierade anpassade URL-domännamn som dina programs slutpunkter för inloggningsautentisering. När du lägger till ett nytt anpassat URL-domännamn kan du associera det med en anpassad URL-domän. Sedan kan en omvänd proxytjänst, till exempel Azure Front Door, använda den anpassade URL-domänen för att dirigera inloggningar till ditt program.

Följande diagram illustrerar Azure Front Door-integrering:

Diagram som visar Azure Front Door-integrering med externt ID.

  1. Från ett program väljer en användare inloggningsknappen, vilket tar dem till inloggningssidan. Den här sidan anger en anpassad URL-domän.
  2. Webbläsaren översätter den anpassade URL-domänen till IP-adressen för Azure Front Door. Under DNS-upplösning (Domain Name System) pekar en kanonisk namnpost (CNAME) med en anpassad URL-domän till Front Door-standardfrontendvärden (till exempel contoso-frontend.azurefd.net).
  3. Trafiken som är adresserad till den anpassade URL-domänen (till exempel login.contoso.com) dirigeras till den angivna Front Door-standardfrontendlösningen (contoso-frontend.azurefd.net).
  4. Azure Front Door anropar innehåll med hjälp av standarddomänen <tenant-name>.ciamlogin.com . Begäran till slutpunkten innehåller den ursprungliga anpassade URL-domänen.
  5. Externt ID svarar på den anpassade URL-domänbegäran genom att visa relevant innehåll och den ursprungliga anpassade URL-domänen.

Azure Front Door skickar användarens ursprungliga IP-adress, vilket är den IP-adress som du ser i granskningsrapportering.

Viktigt!

Om klienten skickar en x-forwarded-for rubrik till Azure Front Door använder Extern ID avsändarens x-forwarded-for som användarens IP-adress för utvärdering av villkorsstyrd åtkomst och {Context:IPAddress} anspråkslösaren.

Beaktanden och begränsningar

När du använder anpassade URL-domäner:

Viktigt!

  • Azure Front Door: Anslutningen från webbläsaren till Azure Front Door bör alltid använda IPv4 i stället för IPv6.
  • Leverantörer av sociala identiteter: Anpassade URL-domäner stöder nu Google och Facebook utöver Apple.

Blockera standarddomänen

För ökad säkerhet rekommenderar vi att du blockerar standarddomänen. När du har konfigurerat anpassade URL-domäner kommer användarna fortfarande att kunna komma åt standarddomännamnet <tenant-name.ciamlogin.com>. Du måste blockera åtkomsten till standarddomänen så att angripare inte kan använda den för att komma åt dina appar eller köra DDoS-attacker (Distributed Denial-of-Service). Om du vill blockera åtkomst till standarddomänen öppna ett supportärende och skicka en begäran.

Försiktighet

Kontrollera att din anpassade URL-domän fungerar korrekt innan du skickar en begäran om att blockera standarddomänen.

Funktionspåverkan och lösningar

Om du blockerar standarddomänen inaktiveras vissa funktioner som är beroende av den. Du kan dock underhålla funktioner för de funktioner som beskrivs i följande tabell genom att konfigurera dem med din anpassade URL-domän.

Funktion Lösning
Kör nu I administrationscentret för Microsoft Entra uppdaterar du url:en som används av funktionen "Kör nu" i kom igång-guiden och användarflödesfönstret med din anpassade URL-domän. I webbläsarens URL ersätter du {your_domain}.ciamlogin.com med din anpassade URL-domän {your_custom_URL_domain}/{your_tenant_ID}.
Kom igång-exempel Konfigurera exemplen i kom igång-guiden med din anpassade URL-domän. Detaljerade anvisningar finns i dokumentationen för varje exempel. Ta till exempel en titt på avsnittet "Använd anpassad URL-domän" i Vanilla JavaScript-ensidesapplikationen.
Power Pages med ett extern ID När du använder Extern ID med Power Pages-webbplatsenuppdaterar du webbplatsinställningarna med din anpassade URL-domän. På konfigurationssidan för Power Pages-identitetsprovider ersätter du fältet Utfärdar-URL, som innehåller {your_domain}.ciamlogin.com, med din anpassade URL-domän {your_custom_URL_domain}/{your_tenant_ID}.
Azure App Service med externt ID När du använder externt ID med Azure App Serviceredigerar du identitetsprovidern och ändrar fältet Utfärdar-URL från {your_domain}.ciamlogin.com till din anpassade URL-domän {your_custom_URL_domain}/{your_tenant_ID}.
Visual Studio Code-tillägg I Visual Studio Code-tilläggetlägger du till din anpassade URL-domän i programmets MSAL-konfiguration så att programmet och funktionen Kör nu fungerar korrekt. Ändra auktoriteten i authconfig-filen från {your_domain}.ciamlogin.com till {your_custom_URL_domain}/{your_tenant_ID}och lägg till de kända auktoriteterna med din anpassade URL-domän.
Visual Studio med externt ID I filen appsettings.json lägger du till din anpassade URL-domän följt av klientorganisations-ID:t och lägger till kända myndigheter med din anpassade URL-domän.
GitHub-exempel Vissa exempel, till exempel OpenAI-chattprogram med Microsoft Entra-autentisering (Python), behöver din anpassade URL-domän. När du konfigurerar exemplet anger du AZURE_AUTH_LOGIN_ENDPOINT till din anpassade URL-domän.

Nästa steg

Aktivera anpassade URL-domäner för Microsoft Entra Extern ID.