本文介绍自定义域名的配置和常见用法。
基础介绍
通过自定义域名能力,您可以将 IDaaS EIAM 的登录页、用户门户等 IDaaS EIAM 页面的地址替换为属于您的域名,从而保持企业品牌的一致性。
通过搭建域名代理服务,您也可以管理用户访问 IDaaS EIAM 的权限,例如只有指定 IP 的用户才可登录应用门户。
基本概念
概念 | 说明 |
初始化域名 | 创建 IDaaS EIAM 实例时由系统生成的域名,即 xxxx.aliyunidaas.com。 |
自定义域名 | 属于您的、添加到 IDaaS EIAM 实例的域名,如 login.example.com。 |
默认域名 | IDaaS EIAM 实例默认使用的域名,需选择一个初始化域名或自定义域名。此外,开启自动跳转后,访问初始化域名时将自动跳转到默认域名。 |
影响范围
以下是受自定义域名影响的功能点,如有需要,请在配置自定义域名之前或之后调整相关配置。
影响对象 | 功能点 | 说明 |
用户门户 | 登录页 | 登录页地址涉及域名。 |
应用门户 | 应用门户地址涉及域名。 | |
钉钉身份提供方 - 出方向 | 扫码登录/工作台免登 | 钉钉回调域名涉及域名,请始终使用初始化域名。 |
免登到 IDaaS 应用门户或应用 | 应用首页地址涉及域名。 | |
企业微信身份提供方 - 入方向 | 扫码登录 | 用户访问的域名(用户门户、直接访问自研/OIDC/SAML 应用时的地址)和企业微信授权回调域必须一致,否则将无法使用企业微信扫码登录。 |
网页授权登录(工作台免登)和敏感数据同步 | 用户访问的域名(用户门户、直接访问自研/OIDC/SAML 应用时的地址)和企业微信可信域名必须一致,否则将无法使用企业微信网页授权登录和敏感数据同步。 | |
OIDC 应用/自研应用 | 授权端点 | 如果实例仅需使用一个自定义域名,则建议使用初始化域名,将自定义域名设为默认域名并开启自动跳转;如不开启,用户在单点登录时可能需要重新登录一次。 如果实例需要使用多个自定义域名,则需和用户的登录页域名保持一致,否则用户在单点登录时可能需要重新登录一次。 |
退出端点 | ||
SAML 应用 | IdP Meta 地址 | 如果实例仅需使用一个自定义域名,则建议使用初始化域名,将自定义域名设为默认域名并开启自动跳转;如不开启,用户在单点登录时可能需要重新登录一次。 如果实例需要使用多个自定义域名,则需和用户的登录页域名保持一致,否则用户在单点登录时可能需要重新登录一次。 |
SSO 地址 | ||
WebAuthn | 注册认证器 | WebAuthn 仅在注册认证器的域名中生效。例如,用户在 A 域名注册了 WebAuthn 认证器 A1,访问 B 域名进行登录时不可使用认证器 A1,需在 B 域名中重新注册认证器。用户可以拥有多个不同域名的认证器。 |
开始前准备
为了更顺畅地完成自定义域名的配置,建议您提前准备如下内容:
准备内容 | 说明 |
域名 | 您需要准备一个供 IDaaS EIAM 专用的域名,建议使用一级域名或二级域名。 |
域名所在 DNS 的操作权限 | 您需要在域名所在的 DNS(如:阿里云DNS)中添加 1~2 次 DNS 记录,以验证您对域名的所有权。 |
备案号 | 如果您的网站托管在中国内地,则必须填写域名的备案号。 |
域名所在代理服务的操作权限 | 您需要在域名所在的代理服务(如:阿里云DCDN)中配置域名的 HTTPS 证书、回源 HOST 等信息。 |
试用或升级实例 |
添加自定义域名 - 域名配置
在【个性化 - 自定义域名】中,点击【添加自定义域名】即可开始添加。
自定义域名可能影响登录、单点登录、数据同步等功能,为了避免影响您的业务,请在开启前了解自定义域名的影响范围。
第一步:填写域名
输入自定义域名(如:login.example.com),这个域名在所有 IDaaS EIAM 实例中全局唯一。仅需填写域名本身,无需填写路径、参数等。支持小写字母、数字、中划线、英文点,最大字符长度 128。
IDaaS 团队将全力保障您实例的安全性,但理论上如果攻击者对您的 IDaaS EIAM 实例成功实施 XSS 攻击,将可能导致向同一域名下的不同子域名发起 CSRF 攻击。因此我们建议屏蔽从自定义域名发起的 CORS 请求,或者使用独立的一级域名作为自定义域名。
第二步:添加 DNS 记录
请前往您的域名做在的 DNS(如:阿里云DNS)添加记录,该步骤旨在验证您对域名的所有权。针对同一 IDaaS EIAM 实例、同一自定义域名,记录类型、记录名称和记录值固定不变,因此如果您无 DNS 的操作权限,可交由他人代为添加 DNS 记录,在完成添加后再添加自定义域名。
下面是在部分 DNS 服务商中添加解析记录的帮助文档:
第三步:填写备案号
根据《互联网信息服务管理办法》,如果您的网站托管在中国内地境内,则必须填写主体备案号或网站备案号。为满足合规要求,如需使用自定义域名能力,在阿里云中国内地 region 的 IDaaS EIAM 实例均需填写。备案号将显示在实例的登录页。
第四步:完成添加
确认信息填写无误后,点击【完成添加】,即可添加自定义域名。您还需要完成代理配置,才可正常使用自定义域名。
添加自定义域名 - 代理配置
您的用户或应用通过自定义域名访问 IDaaS EIAM 时,将由您的域名代理服务转发请求,您需要确保代理的可用性。以下是代理服务的配置方式。
阿里云 DCDN
第一步:添加域名
您需要在阿里云DCDN的【域名管理】页中添加域名。
加速域名:即您的自定义域名。
源站信息:
源站类型选择【源站域名】。
填写【代理配置 - 源站信息】的域名(不包含协议头 https://),即您的 IDaaS EIAM 实例的初始化域名。
端口选择【443】。
完成添加后,您需要在 DCDN 中复制域名的【CNAME 记录】,并前往域名 DNS 服务商处进行解析。详情可查看文档:配置CNAME
第二步:配置 HTTPS
在阿里云DCDN的【域名管理】页中进入域名详情页,在【配置 HTTPS】中配置 HTTPS 证书。详情可查看文档:配置HTTPS证书
第三步:开启回源 HOST
依然在域名详情页,在【回源配置】中开启【回源 HOST】。
域名类型选择【源站域名】,此时会自动选择 IDaaS EIAM 实例的初始化域名。
第四步:添加回源 HTTP 头
依然在域名详情页,在【回源配置】中点击【自定义回源 HTTPS 头】,添加 IP、Host、Token 等信息。这些信息可以防止 IP 地址欺骗,以提高访问的安全性。
完成配置后,您可以通过【测试连接】功能,让 IDaaS EIAM 实例模拟访问您的自定义域名。请注意,由于域名本身可设置访问策略(例如办公网 IP 才可访问域名),因此 IDaaS EIAM 的测试结果仅供参考,建议您模拟用户的使用环境进行测试。
测试无误后,您需要根据影响范围确认和调整相关配置,并将自定义域名分发给您的用户(如果用户依然使用初始化域名,则建议开启自动跳转)。
域名状态
由于域名本身可设置访问策略(例如办公网 IP 才可访问域名),因此 IDaaS EIAM 无法确认自定义域名是否在正常运行,因此域名的可用状态仅表示实例的域名功能可被使用,不代表域名可被正常访问。您需自行确认自定义域名是否正常运行。
修改默认域名
默认域名指的是实例默认使用的域名,作用有两个:
如果开启了【自动跳转】功能,您的用户或应用在访问初始化域名时,自动跳转到默认域名。
在控制台的多处展示,例如用户门户地址、登录地址。
如果选择了自定义域名作为默认域名且开启了自动跳转,当自定义域名不可用(例如实例过期)时,需手动修改默认域名,否则可能影响您的用户或应用对实例的访问。
开启自动跳转
自动跳转指的是用户或应用访问实例的初始化域名时,将自动跳转到默认域名。访问自定义域名时不会跳转到默认域名。
如果您仅需要使用一个自定义域名,建议将其设置为默认域名并开启自动跳转,此时您的用户无论是访问初始化域名或该自定义域名,都可以顺畅地完成应用的单点登录,而无需修改应用的单点登录配置。
如果没有开启该能力或者需要使用多个自定义域名,则需要将应用的单点登录等配置(详见影响范围)调整为自定义域名,否则可能影响您的正常使用,例如:用户在单点登录时可能需要重新登录一次、无法扫码登录企业微信等。
删除自定义域名
删除自定义域名前,请检查该域名是否正在被使用(如身份提供方、应用的单点登录配置等),弹窗中的域名最后使用时间可为您提供参考;该时间也即 proxy_token 的最后使用时间,您可以在代理配置中直接查看。
删除自定义域名后,立即无法使用该域名访问 IDaaS EIAM 实例。建议清除本文档中涉及的域名 DNS 服务商和代理服务的相关配置,以防在后续的使用中造成域名转发的错乱。
- 本页导读 (0)