文档

自定义域名

更新时间:

本文介绍自定义域名的配置和常见用法。

基础介绍

通过自定义域名能力,您可以将IDaaS EIAM的登录页、用户门户等IDaaS EIAM页面的地址替换为属于您的域名,从而保持企业品牌的一致性。

通过搭建域名代理服务,您也可以管理用户访问IDaaS EIAM的权限,例如只有指定IP的用户才可登录应用门户。

基本概念

概念

说明

初始化域名

创建IDaaS EIAM实例时由系统生成的域名,即xxxx.aliyunidaas.com。

自定义域名

属于您的添加到IDaaS EIAM实例的域名,如xxxx.example.com。

默认域名

IDaaS EIAM实例默认使用的域名,需选择一个初始化域名或自定义域名。此外,开启自动跳转后,访问初始化域名时将自动跳转到默认域名。

影响范围

以下是受自定义域名影响的功能点,如有需要,请在配置自定义域名之前或之后调整相关配置。

影响对象

功能点

说明

用户门户

登录页

登录页地址涉及域名。

应用门户

应用门户地址涉及域名。

钉钉身份提供方-出方向

扫码登录/工作台免登

钉钉回调域名涉及域名,请始终使用初始化域名。

免登到IDaaS应用门户或应用

应用首页地址涉及域名。

企业微信身份提供方-入方向

扫码登录

用户访问的域名(用户门户、直接访问自研/OIDC/SAML应用时的地址)和企业微信授权回调域必须一致,否则将无法使用企业微信扫码登录。

网页授权登录(工作台免登)和敏感数据同步

用户访问的域名(用户门户、直接访问自研/OIDC/SAML应用时的地址)和企业微信可信域名必须一致,否则将无法使用企业微信网页授权登录和敏感数据同步。

OIDC应用/自研应用

授权端点

如果实例仅需使用个自定义域名,则建议使用初始化域名,将自定义域名设为默认域名并开启自动跳转;如不开启,用户在单点登录时可能需要重新登录一次。

如果实例需要使用多个自定义域名,则需和用户的登录页域名保持一致,否则用户在单点登录时可能需要重新登录一次。

退出端点

SAML应用

IdP Meta地址

如果实例仅需使用一个自定义域名,则建议使用初始化域名,将自定义域名设为默认域名并开启自动跳转;如不开启,用户在单点登录时可能需要重新登录一次。

如果实例需要使用多个自定义域名,则需和用户的登录页域名保持一致,否则用户在单点登录时可能需要重新登录一次。

SSO地址

WebAuthn

注册认证器

WebAuthn仅在注册认证器的域名中生效例如,用户在A域名注册了WebAuthn认证器A1,访问B域名进行登录时不可使用认证器A1,需在B域名中重新注册认证器。用户可以拥有多个不同域名的认证器。

开始前准备

为了更顺畅地完成自定义域名的配置,建议您提前准备如下内容:

准备内容

说明

域名

您需要准备一个供IDaaS EIAM专用的域名,建议使用一级域名或二级域名。

域名所在DNS的操作权限

您需要在域名所在的DNS(如:阿里云DNS)中添加1~2次DNS记录,以验证您对域名的所有权。

备案号

如果您的网站托管在中国内地,则必须填写域名的备案号。

域名所在代理服务的操作权限

您需要在域名所在的代理服务(如:阿里云DCDN)中配置域名的HTTPS证书、回源HOST等信息。

试用或升级实例

仅试用版和企业版实例才可使用自定义域名能力,请试用实例升级实例

添加自定义域名 - 域名配置

单击个性化 > 自定义域名 > 添加自定义域名即可开始添加。

image.png

重要

自定义域名可能影响登录、单点登录、数据同步等功能,为了避免影响您的业务,请在开启前了解自定义域名的影响范围

第一步:填写域名

输入自定义域名(如:login.example.com),这个域名在所有IDaaS EIAM实例中全局唯一。仅需填写域名本身,无需填写路径、参数等。支持小写字母、数字、中划线、英文点,最大字符长度128。

image.png

重要

IDaaS团队将全力保障您实例的安全性,但理论上如果攻击者对您的IDaaS EIAM实例成功实施XSS攻击,将可能导致向同一域名下的不同子域名发起CSRF攻击。因此我们建议屏蔽从自定义域名发起的CORS请求,或者使用独立的一级域名作为自定义域名。

第二步:添加DNS记录

请前往您的域名做在的DNS(如:阿里云DNS)添加记录,该步骤旨在验证您对域名的所有权。针对同一IDaaS EIAM实例、同一自定义域名,记录类型、记录名称和记录值固定不变,因此如果您无DNS的操作权限,可交由他人代为添加DNS记录,在完成添加后再添加自定义域名。

image.png

下面是在部分DNS服务商中添加解析记录的帮助文档:

第三步:填写备案号

根据《互联网信息服务管理办法》,如果您的网站托管在中国内地,则必须填写主体备案号或网站备案号。为满足合规要求,如需使用自定义域名能力,在阿里云中国内地region的IDaaS EIAM实例均需填写。备案号将显示在实例的登录页。

第四步:完成添加

确认信息填写无误后,点击完成添加,即可添加自定义域名。您还需要完成代理配置,才可正常使用自定义域名。

添加自定义域名 - 代理配置

您的用户或应用通过自定义域名访问IDaaS EIAM时,将由您的域名代理服务转发请求,您需要确保代理的可用性。以下是代理服务的配置方式。

阿里云DCDN

第一步:添加域名

您需要在阿里云DCDN域名管理页中添加域名。

image.png

  • 加速域名:即您的自定义域名。

  • 源站信息:

    • 源站类型选择源站域名

    • 填写代理配置-源站信息的域名(不包含协议头https://),即您的IDaaS EIAM实例的初始化域名。

    • 端口选择443。

完成添加后,您需要在DCDN中复制域名的CNAME记录,并前往域名DNS服务商处进行解析。详情可查看文档:配置CNAME

第二步:配置HTTPS证书

阿里云DCDN域名管理页中进入域名详情页,在配置 HTTPS中配置HTTPS证书。详情可查看文档:配置HTTPS证书

image.png

第三步:开启回源HOST

依然在域名详情页,在回源配置中开启回源HOST

image.png

域名类型选择源站域名,此时会自动选择IDaaS EIAM实例的初始化域名。

image.png

第四步:添加回源HTTP头

依然在域名详情页,在回源配置中单击自定义回源HTTPS头,添加IP、Host、Token等信息。这些信息可以防止IP地址欺骗,以提高访问的安全性。

image.png

完成配置后,您可以通过测试连接功能,让IDaaS EIAM实例模拟访问您的自定义域名。请注意,由于域名本身可设置访问策略(例如办公网IP才可访问域名),因此 IDaaS EIAM的测试结果仅供参考,建议您模拟用户的使用环境进行测试。

image

测试无误后,您需要根据影响范围确认和调整相关配置,并将自定义域名分发给您的用户(如果用户依然使用初始化域名,则建议开启自动跳转)。

域名状态

由于域名本身可设置访问策略(例如办公网IP才可访问域名),因此IDaaS EIAM无法确认自定义域名是否在正常运行,因此域名的可用状态仅表示实例的域名功能可被使用,不代表域名可被正常访问。您需自行确认自定义域名是否正常运行。

image.png

修改默认域名

默认域名指的是实例默认使用的域名,作用有两个:

  • 如果开启了自动跳转功能,您的用户或应用在访问初始化域名时,自动跳转到默认域名。

  • 在控制台的多处展示,例如用户门户地址、登录地址。

image.png

重要

如果选择了自定义域名作为默认域名且开启了自动跳转,当自定义域名不可用(例如实例过期)时,需手动修改默认域名,否则可能影响您的用户或应用对实例的访问。

开启自动跳转

自动跳转指的是用户或应用访问实例的初始化域名时,将自动跳转到默认域名。访问自定义域名时不会跳转到默认域名。如果您仅需要使用一个自定义域名,建议将其设置为默认域名并开启自动跳转,此时您的用户无论是访问初始化域名或该自定义域名,都可以顺畅地完成应用的单点登录,而无需修改应用的单点登录配置。

如果没有开启该能力或者需要使用多个自定义域名,则需要将应用的单点登录等配置(详见影响范围)调整为自定义域名,否则可能影响您的正常使用,例如:用户在单点登录时可能需要重新登录一次、无法扫码登录企业微信等。

删除自定义域名

删除自定义域名前,请检查该域名是否正在被使用(如身份提供方、应用的单点登录配置等),弹窗中的域名最后使用时间可为您提供参考;该时间也是proxy_token的最后使用时间,您可以在代理配置中直接查看。

image.png

删除自定义域名后,无法立即使用该域名访问IDaaS EIAM实例。建议清除本文档中涉及的域名DNS服务商和代理服务的相关配置,以防在后续的使用中造成域名转发的错乱。