文档

自定义域名

更新时间:

本文介绍自定义域名的配置和常见用法。

基础介绍

通过自定义域名能力,您可以将 IDaaS EIAM 的登录页、用户门户等 IDaaS EIAM 页面的地址替换为属于您的域名,从而保持企业品牌的一致性。

通过搭建域名代理服务,您也可以管理用户访问 IDaaS EIAM 的权限,例如只有指定 IP 的用户才可登录应用门户。

基本概念

概念

说明

初始化域名

创建 IDaaS EIAM 实例时由系统生成的域名,即 xxxx.aliyunidaas.com。

自定义域名

属于您的、添加到 IDaaS EIAM 实例的域名,如 login.example.com。

默认域名

IDaaS EIAM 实例默认使用的域名,需选择一个初始化域名或自定义域名。此外,开启自动跳转后,访问初始化域名时将自动跳转到默认域名。

影响范围

以下是受自定义域名影响的功能点,如有需要,请在配置自定义域名之前或之后调整相关配置。

影响对象

功能点

说明

用户门户

登录页

登录页地址涉及域名。

应用门户

应用门户地址涉及域名。

钉钉身份提供方 - 出方向

扫码登录/工作台免登

钉钉回调域名涉及域名,请始终使用初始化域名。

免登到 IDaaS 应用门户或应用

应用首页地址涉及域名。

企业微信身份提供方 - 入方向

扫码登录

用户访问的域名(用户门户、直接访问自研/OIDC/SAML 应用时的地址)和企业微信授权回调域必须一致,否则将无法使用企业微信扫码登录。

网页授权登录(工作台免登)和敏感数据同步

用户访问的域名(用户门户、直接访问自研/OIDC/SAML 应用时的地址)和企业微信可信域名必须一致,否则将无法使用企业微信网页授权登录和敏感数据同步。

OIDC 应用/自研应用

授权端点

如果实例仅需使用一个自定义域名,则建议使用初始化域名,将自定义域名设为默认域名并开启自动跳转;如不开启,用户在单点登录时可能需要重新登录一次。

如果实例需要使用多个自定义域名,则需和用户的登录页域名保持一致,否则用户在单点登录时可能需要重新登录一次。

退出端点

SAML 应用

IdP Meta 地址

如果实例仅需使用一个自定义域名,则建议使用初始化域名,将自定义域名设为默认域名并开启自动跳转;如不开启,用户在单点登录时可能需要重新登录一次。

如果实例需要使用多个自定义域名,则需和用户的登录页域名保持一致,否则用户在单点登录时可能需要重新登录一次。

SSO 地址

WebAuthn

注册认证器

WebAuthn 仅在注册认证器的域名中生效。例如,用户在 A 域名注册了 WebAuthn 认证器 A1,访问 B 域名进行登录时不可使用认证器 A1,需在 B 域名中重新注册认证器。用户可以拥有多个不同域名的认证器。

开始前准备

为了更顺畅地完成自定义域名的配置,建议您提前准备如下内容:

准备内容

说明

域名

您需要准备一个供 IDaaS EIAM 专用的域名,建议使用一级域名或二级域名。

域名所在 DNS 的操作权限

您需要在域名所在的 DNS(如:阿里云DNS)中添加 1~2 次 DNS 记录,以验证您对域名的所有权。

备案号

如果您的网站托管在中国内地,则必须填写域名的备案号。

域名所在代理服务的操作权限

您需要在域名所在的代理服务(如:阿里云DCDN)中配置域名的 HTTPS 证书、回源 HOST 等信息。

试用或升级实例

仅试用版和企业版实例才可使用自定义域名能力,请试用实例升级实例

添加自定义域名 - 域名配置

在【个性化 - 自定义域名】中,点击【添加自定义域名】即可开始添加。

image.png
重要

自定义域名可能影响登录、单点登录、数据同步等功能,为了避免影响您的业务,请在开启前了解自定义域名的影响范围

第一步:填写域名

输入自定义域名(如:login.example.com),这个域名在所有 IDaaS EIAM 实例中全局唯一。仅需填写域名本身,无需填写路径、参数等。支持小写字母、数字、中划线、英文点,最大字符长度 128。

image.png
重要

IDaaS 团队将全力保障您实例的安全性,但理论上如果攻击者对您的 IDaaS EIAM 实例成功实施 XSS 攻击,将可能导致向同一域名下的不同子域名发起 CSRF 攻击。因此我们建议屏蔽从自定义域名发起的 CORS 请求,或者使用独立的一级域名作为自定义域名。

第二步:添加 DNS 记录

请前往您的域名做在的 DNS(如:阿里云DNS)添加记录,该步骤旨在验证您对域名的所有权。针对同一 IDaaS EIAM 实例、同一自定义域名,记录类型、记录名称和记录值固定不变,因此如果您无 DNS 的操作权限,可交由他人代为添加 DNS 记录,在完成添加后再添加自定义域名。

image.png

下面是在部分 DNS 服务商中添加解析记录的帮助文档:

第三步:填写备案号

根据《互联网信息服务管理办法》,如果您的网站托管在中国内地境内,则必须填写主体备案号或网站备案号。为满足合规要求,如需使用自定义域名能力,在阿里云中国内地 region 的 IDaaS EIAM 实例均需填写。备案号将显示在实例的登录页。

第四步:完成添加

确认信息填写无误后,点击【完成添加】,即可添加自定义域名。您还需要完成代理配置,才可正常使用自定义域名。

添加自定义域名 - 代理配置

您的用户或应用通过自定义域名访问 IDaaS EIAM 时,将由您的域名代理服务转发请求,您需要确保代理的可用性。以下是代理服务的配置方式。

阿里云 DCDN

第一步:添加域名

您需要在阿里云DCDN的【域名管理】页中添加域名。

image.png
  • 加速域名:即您的自定义域名。

  • 源站信息

    • 源站类型选择【源站域名】。

    • 填写【代理配置 - 源站信息】的域名(不包含协议头 https://),即您的 IDaaS EIAM 实例的初始化域名。

    • 端口选择【443】。

完成添加后,您需要在 DCDN 中复制域名的【CNAME 记录】,并前往域名 DNS 服务商处进行解析。详情可查看文档:配置CNAME

第二步:配置 HTTPS

阿里云DCDN的【域名管理】页中进入域名详情页,在【配置 HTTPS】中配置 HTTPS 证书。详情可查看文档:配置HTTPS证书

image.png

第三步:开启回源 HOST

依然在域名详情页,在【回源配置】中开启【回源 HOST】。

image.png

域名类型选择【源站域名】,此时会自动选择 IDaaS EIAM 实例的初始化域名。

image.png

第四步:添加回源 HTTP 头

依然在域名详情页,在【回源配置】中点击【自定义回源 HTTPS 头】,添加 IP、Host、Token 等信息。这些信息可以防止 IP 地址欺骗,以提高访问的安全性。

image.pngimage.png

完成配置后,您可以通过【测试连接】功能,让 IDaaS EIAM 实例模拟访问您的自定义域名。请注意,由于域名本身可设置访问策略(例如办公网 IP 才可访问域名),因此 IDaaS EIAM 的测试结果仅供参考,建议您模拟用户的使用环境进行测试。

测试无误后,您需要根据影响范围确认和调整相关配置,并将自定义域名分发给您的用户(如果用户依然使用初始化域名,则建议开启自动跳转)。

域名状态

由于域名本身可设置访问策略(例如办公网 IP 才可访问域名),因此 IDaaS EIAM 无法确认自定义域名是否在正常运行,因此域名的可用状态仅表示实例的域名功能可被使用,不代表域名可被正常访问。您需自行确认自定义域名是否正常运行。

image.png

修改默认域名

默认域名指的是实例默认使用的域名,作用有两个:

  • 如果开启了【自动跳转】功能,您的用户或应用在访问初始化域名时,自动跳转到默认域名。

  • 在控制台的多处展示,例如用户门户地址、登录地址。

image.png
重要

如果选择了自定义域名作为默认域名且开启了自动跳转,当自定义域名不可用(例如实例过期)时,需手动修改默认域名,否则可能影响您的用户或应用对实例的访问。

开启自动跳转

自动跳转指的是用户或应用访问实例的初始化域名时,将自动跳转到默认域名。访问自定义域名时不会跳转到默认域名。

如果您仅需要使用一个自定义域名,建议将其设置为默认域名并开启自动跳转,此时您的用户无论是访问初始化域名或该自定义域名,都可以顺畅地完成应用的单点登录,而无需修改应用的单点登录配置。

如果没有开启该能力或者需要使用多个自定义域名,则需要将应用的单点登录等配置(详见影响范围)调整为自定义域名,否则可能影响您的正常使用,例如:用户在单点登录时可能需要重新登录一次、无法扫码登录企业微信等。

删除自定义域名

删除自定义域名前,请检查该域名是否正在被使用(如身份提供方、应用的单点登录配置等),弹窗中的域名最后使用时间可为您提供参考;该时间也即 proxy_token 的最后使用时间,您可以在代理配置中直接查看。

image.png

删除自定义域名后,立即无法使用该域名访问 IDaaS EIAM 实例。建议清除本文档中涉及的域名 DNS 服务商和代理服务的相关配置,以防在后续的使用中造成域名转发的错乱。

  • 本页导读 (0)
文档反馈