Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: 
Inquilinos externos (más información)
Los dominios URL personalizados permiten marcar los puntos de conexión del inicio de sesión de su aplicación con su propio dominio de URL personalizado, en lugar del nombre de dominio predeterminado de Microsoft’.
El uso de un dominio de URL personalizado comprobado tiene varias ventajas:
- Proporciona una experiencia de usuario más coherente. Desde el punto de vista del usuario, permanecen en el dominio durante el proceso de inicio de sesión, en lugar de redirigirse al dominio predeterminado <nombre-de-inquilino>.ciamlogin.com.
- Para mitigar el efecto del bloqueo de cookies de terceros, permanezca en el mismo dominio para la aplicación durante el inicio de sesión.
Funcionamiento de dominios de URL personalizados
Un dominio de dirección URL personalizado le permite usar los nombres de dominio de dirección URL personalizados comprobados como puntos de conexión de autenticación de inicio de sesión de las aplicaciones. Al agregar un nuevo nombre de dominio de dirección URL personalizado, puede asociarlo a un dominio de dirección URL personalizado. Luego, un servicio de proxy inverso, como Azure Front Door, puede usar el dominio de URL personalizado para dirigir los inicios de sesión a la aplicación.
En el diagrama siguiente se muestra la integración de Azure Front Door:
- Desde una aplicación, un usuario selecciona el botón de inicio de sesión, lo que le lleva a la página de inicio de sesión. Esta página especifica un dominio de URL personalizado.
- El explorador web resuelve el dominio URL personalizado en la dirección IP de Azure Front Door. Durante la resolución DNS (Sistema de nombres de dominio), un registro de nombre canónico (CNAME) con un dominio de URL personalizado apunta al host front-end predeterminado de Front Door (por ejemplo,
contoso-frontend.azurefd.net). - El tráfico dirigido al dominio de URL personalizado (por ejemplo,
login.contoso.com) se enruta al host front-end predeterminado de Front Door especificado (contoso-frontend.azurefd.net). - Azure Front Door invoca contenido mediante el dominio predeterminado
<tenant-name>.ciamlogin.com. La solicitud al punto de conexión incluye el dominio de URL personalizado original. - Id. externa responde a la solicitud del dominio de URL personalizado mostrando el contenido pertinente y el dominio de URL personalizado original.
Azure Front Door pasa la dirección IP original del usuario, que es la dirección IP que se ve en los informes de auditoría.
Importante
Si el cliente envía un encabezado de x-forwarded-for a Azure Front Door, Id. externa usará el x-forwarded-for del originador como dirección IP del usuario para la evaluación del acceso condicional y el solucionador de notificaciones de {Context:IPAddress}.
Consideraciones y limitaciones
Cuando use dominios de URL personalizados:
- Puede configurar varios dominios de dirección URL personalizados. Para obtener el número máximo de dominios de dirección URL personalizados admitidos, consulte Límites y restricciones del servicio Microsoft Entra para Microsoft Entra y límites de suscripción y servicio de Azure, cuotas y restricciones para Azure Front Door.
- Puede usar Azure Front Door, que es un servicio de Azure independiente que incurre en cargos adicionales. Para más información, consulte Precios de Azure Front Door. Su instancia de Azure Front Door se puede hospedar en una suscripción que no sea la de su inquilino externo.
- Si tiene varias aplicaciones, migre todas al dominio de URL personalizado porque el explorador almacena la sesión con el nombre de dominio que se está utilizando actualmente.
Importante
- Azure Front Door: la conexión desde el explorador a Azure Front Door siempre debe usar IPv4 en lugar de IPv6.
- Proveedores de identidades sociales: los dominios de url personalizados ahora admiten Google y Facebook además de Apple.
Bloqueo del dominio predeterminado
Para mayor seguridad, se recomienda bloquear el dominio predeterminado. Después de configurar dominios de URL personalizados, los usuarios podrán acceder al nombre de dominio predeterminado, <nombre-de-inquilino>.ciamlogin.com. Debe bloquear el acceso al dominio predeterminado para que los atacantes no puedan usarlo para acceder a las aplicaciones o ejecutar ataques de denegación de servicio distribuido (DDoS). Para bloquear el acceso al dominio predeterminado, abra una incidencia de soporte técnico y envíe una solicitud.
Precaución
Asegúrese de que el dominio de dirección URL personalizado funciona correctamente antes de enviar una solicitud para bloquear el dominio predeterminado.
Impacto de características y soluciones alternativas
El bloqueo del dominio predeterminado deshabilitará determinadas características que dependen de él. Sin embargo, puede mantener la funcionalidad de las características descritas en la tabla siguiente configurándolas con el dominio de dirección URL personalizado.
| Característica | Solución |
|---|---|
| Ejecutar ahora | En el Centro de administración de Microsoft Entra, actualice la dirección URL que usa la característica "Ejecutar ahora" en la guía de introducción y el panel flujo de usuario con el dominio de dirección URL personalizado. En la dirección URL del explorador, reemplace por {your_domain}.ciamlogin.com el dominio {your_custom_URL_domain}/{your_tenant_ID}de dirección URL personalizado. |
| Ejemplos de introducción | Configure los ejemplos de la guía de introducción con el dominio de dirección URL personalizado. Para obtener instrucciones detalladas, consulte la documentación de cada ejemplo. Por ejemplo, consulte la sección "Usar un dominio de dirección URL personalizado" en el tutorial de aplicación de página única de Vanilla JavaScript. |
| Power Pages con identificador externo | Al usar el identificador externo con el sitio de Power Pages, actualice la configuración del sitio con el dominio de dirección URL personalizado. En la página de configuración del proveedor de identidades de Power Pages, reemplace el campo Dirección URL de autoridad, que contiene {your_domain}.ciamlogin.com, por el dominio {your_custom_URL_domain}/{your_tenant_ID}de dirección URL personalizado . |
| Azure App Service con identificador externo | Al usar el identificador externo con Azure App Service, edite el proveedor de identidades y cambie el campo Url del emisor de {your_domain}.ciamlogin.com a su dominio {your_custom_URL_domain}/{your_tenant_ID}de dirección URL personalizado. |
| Extensión de Visual Studio Code | En la extensión de Visual Studio Code, agregue el dominio de dirección URL personalizado a la configuración de MSAL de la aplicación para que la aplicación y la característica "Ejecutarlo ahora" funcionen correctamente. Cambie la autoridad del archivo authconfig de {your_domain}.ciamlogin.com a {your_custom_URL_domain}/{your_tenant_ID}y agregue las autoridades conocidas con el dominio de dirección URL personalizado. |
| Visual Studio con identificador externo | En el archivo appsettings.json, agregue el dominio de dirección URL personalizado seguido del identificador de inquilino y agregue las autoridades conocidas con el dominio de dirección URL personalizado. |
| Ejemplos de GitHub | Algunos ejemplos, como openAI Chat Application with Microsoft Entra Authentication (Python) (Aplicación de chat openAI con Microsoft Entra Authentication [Python]), necesitan su dominio de dirección URL personalizado. Al configurar el ejemplo, establezca el AZURE_AUTH_LOGIN_ENDPOINT en el dominio de dirección URL personalizado. |
Pasos siguientes
Habilitación de dominios de URL personalizados en Id. externa de Microsoft Entra.