通过自定义域名,客户可以将自己网站指定词添加到网址中,让网址更符合品牌调性。
通常来说,搭建一套自定义域名所需要的时间,少则需要投入一周才能完成,多则需要数周才能完成。
首先,需要一台服务器。
其次,路由器继续支持虚拟服务器。
此外,域名服务商还需要支持动态 dns 云解析。
本文将主要介绍 Authing 自定义域名的实际应用场景、配置流程、相关功能设置等。
01
应用场景
Web 应用绑定自定义域名通过创建 http 函数,处理 http 请求,并将结果返回给调用端。
出于安全性考虑,Authing 当前仅支持 https 协议下的域名。为了确保域名能够正常访问,您需要在域名服务器中找到您的 SSL 证书并下载。
02
三步,配置自定义域名
在 Authing 实现自定义域名的配置流程只需三步:
第一步:输入合法的域名
您的自定义域名必须符合域名标准规范,详情请参考 RFC 的域名标准规范 (opens new window)。
- 准备域名。如果您还没有自己的域名,可以前往域名注册商平台(如阿里云、腾讯云、华为云等)选购自己的域名。
- 备案。根据 工信部《互联网信息服务管理办法》(国务院 292 号令) (opens new window),网站在未完成备案之前,不能开通访问。如果您网站托管在中国大陆节点服务器,就必须申请互联网内容提供商 (ICP) 备案。若网站服务器为非中国大陆节点,则不用申请备案。出于合规性考虑,在Authing使用的自定义域名都需要首先完成备案才能使用。
- 输入域名。确保域名格式正确、合法且生效后,将您的域名填入输入框,点击「下一步」。
第二步:在您的域名服务器中添加新的 CNAME
- 在填入有效的域名信息后,Authing 会生成对应的 TXT 和 CNAME 信息。您需要前往 DNS 服务提供商添加 TXT 和 CNAME 记录,将本页面的相关信息复制粘贴到您的 DNS 服务器,将域名指向 Authing 对应应用的域名。
示例:阿里云控制台 DNS 配置页 - CNAME 记录在不同的 DNS 服务器中添加 TXT 和 CNAME 记录的步骤略有差异,您可以参考:在阿里云创建一条新的 CNAME 指向 Authing。
- 确保当前信息在您的域名服务器中配置完成并生效后,返回Authing自定义域名->DNS配置,点击「连通测试」。通常来讲在 DNS 服务器中添加完成一条有效的 CNAME 信息后,需要过几分钟才会生效,因此如果您的连通测试没有通过,请稍作等待后重试。
- 连通测试完成后,点击「下一步」。
第三步:填入有效的 SSL 证书信息
不同服务商提供的证书信息种类繁多,您需要在其中找到以下两项信息:
- 签名证书
- 签名私钥
- 上传签名证书。证书通常是以
.crt或.pem为扩展名的文件。使用文本编辑器打开证书文件可以看到内容BEGIN CERTIFICATE开头,END CERTIFICATE结尾。确认证书内容格式后,直接将证书内容复制粘贴到签名证书输入框。签名证书的格式为:----- BEGIN CERTIFICATE-----签名证书正文----- END CERTIFICATE----- - 上传签名私钥。私钥通常是以
.key或.pem等为扩展名的文件。使用文本编辑器打开证书文件可以看到内容BEGIN PRIVATE KEY开头,END PRIVATE KEY结尾。确认证书内容格式后,直接将证书内容复制粘贴至签名私钥输入框。证书私钥的格式为:-----BEGIN RSA PRIVATE KEY-----签名证书私钥正文----- END RSA PRIVATE KEY-----
以上两部分信息完成配置后,点击「连通测试」,我们会验证您所配置的证书是否对应您在第一步配置的域名,并且校验此证书是否仍在有效期内。连通测试通过后,点击「完成」。您的自定义域名当即生效!
这里以阿里云为例,说明如何下载、使用 SSL 证书。
03
相关功能配置
在使用自定义域名之前,您需要对现有的功能配置进行一些修改,以确保您所配置的自定义域名对现有的功能均生效。
使用统一域名的用户池
在不使用统一域名的用户池中,自定义域名配置完成后,将仅对应用面板(即单点登录 SSO)的认证地址生效:
而在使用统一域名的用户池中,自定义域名配置完成后,由于用户池中的所有应用(包括应用面板、集成应用以及所有的自建应用)均使用统一的、用户池级别的域名。因此自定义域名配置完成后,将对该用户池中的所有应用生效。
如果不能明确是否该使用统一域名的用户池,请前往 了解何时应该使用统一域名的用户池。
涉及到应用域名的邮件模板
当您开始使用自定义域名后,预置的邮件模板中涉及到应用域名的部分都会更新为自定义域名。涉及到的发送邮件相关的场景包括:
- 欢迎邮件
- 首次邮箱登录验证
- 控制台发起验证
- 密码到期提醒
- 管理员重置密码提醒
- 账户密码修改提醒
- 向内部管理员发送登录地址
- 向租户管理员发送登录地址
第三方身份源登录(社会化身份源、企业身份源)
如果您在使用 Authing 的第三方身份源(社会化身份源/企业身份源),为了保证这些身份源在自定义域名下仍旧能够正常使用,您需要更新您的应用代码中包含的登录地址。
Authing API 调用
所有请求(即获取令牌,并实际调用 API)必须使用相同的域。通过自定义域获得的令牌必须在相同的域名下使用。
如果使用自定义域的身份验证流来请求访问令牌以访问管理 API,那么也必须使用自定义域调用管理 API 端点。
POST https://mycustomdomain.cn/oidc/token... // other parameters...audience:https://YOUR_APP.authing.cn/api/v3/
GET https://mycustomdomain.com/api/v3/clientsHeaders:Authorization: Bearer <access_token>
SAML 相关功能配置
对于已经在控制台完成 SAML 配置并将 SAML 应用添加到应用面板的集成应用,如果已经配置了自定义域名,要使其生效,则需要重新下载 SAML 元数据文档(新配置的自定义域名将直接更新为 entityID 的值),用以替换阿里云上配置的元数据。
下载 SAML 元数据文档 - 控制台
替换 SAML 元数据文档 - 阿里云工作台
04
其他操作
更新 SSL 证书
每一份 SSL 证书都有自己的过期时间。如发现 SSL 证书即将过期,您可以点击「编辑」进行修改。更新证书信息之后需要重新进行连通测试,生效后您的自定义域名即可继续正常使用。
更换自定义域名
如果您需要更换自定义域名,那么需要删除掉现有的域名重新开始配置。如果当前的自定义域名处于生效状态,那么您在删除这个自定义域名后,目前正在这个域名下访问的用户将不能继续使用您的应用服务,而需关闭此页面后重新登录。
停止使用自定义域名
如要恢复使用默认域名,需要删除当前已经完成配置的域名。如果当前的自定义域名处于生效状态,那么您在删除这个自定义域名时,目前正在这个域名下访问的用户将不会受到影响,刷新界面之后需要重新登录。
更多内容,欢迎大家点击下方链接了解详情:
https://docs.authing.cn/v2/guides/customize/domain/customized-domain.html
关于 Authing
Authing 既是客户的支持者也是客户的产品专家和战略顾问,更是值得信赖的合作伙伴。目前,Authing 身份云已帮助 30,000+ 家企业和开发者构建标准化的用户身份体系,感谢可口可乐、元气森林、招商银行、中国石油、三星集团、CSDN 等客户选择并实施 Authing 解决方案。
