全部產品
Search

搜尋本產品

    Identity as a Service:自訂網域名

    文件中心

    Identity as a Service:自訂網域名

    更新時間:Sep 16, 2025

    本文介紹自訂網域名的配置和常見用法。

    基礎介紹

    通過自訂網域名能力,您可以將IDaaS EIAM的登入頁、使用者門戶等IDaaS EIAM頁面的地址替換為屬於您的網域名稱,從而保持企業品牌的一致性。

    通過搭建網域名稱代理服務,您也可以系統管理使用者訪問IDaaS EIAM的許可權,例如只有指定IP的使用者才可登入應用門戶。

    基本概念

    概念

    說明

    初始化網域名稱

    建立IDaaS EIAM執行個體時由系統產生的網域名稱,即xxxx.aliyunidaas.com。

    自訂網域名

    屬於您的添加到IDaaS EIAM執行個體的網域名稱,如xxxx.example.com。

    預設網域名稱

    IDaaS EIAM執行個體預設使用的網域名稱,需選擇一個初始化網域名稱或自訂網域名。此外,開啟自動跳轉後,訪問初始化網域名稱時將自動跳轉到預設網域名稱。

    影響範圍

    以下是受自訂網域名影響的功能點,如有需要,請在配置自訂網域名之前或之後調整相關配置。

    影響對象

    功能點

    說明

    使用者門戶

    登入頁

    登入頁地址涉及網域名稱。

    應用門戶

    應用門戶地址涉及網域名稱。

    DingTalk身份提供方-出方向

    掃碼登入/工作台免登

    DingTalk回調網域名稱涉及網域名稱,請始終使用初始化網域名稱。

    免登到IDaaS應用門戶或應用

    應用首頁地址涉及網域名稱。

    企業微信身份提供方-入方向

    掃碼登入

    使用者訪問的網域名稱(使用者門戶、直接存取自研/OIDC/SAML應用時的地址)和企業微信授權回調域必須一致,否則將無法使用企業微信掃碼登入。

    網頁授權登入(工作台免登)和敏感性資料同步

    使用者訪問的網域名稱(使用者門戶、直接存取自研/OIDC/SAML應用時的地址)和企業微信可信網域名稱必須一致,否則將無法使用企業微信網頁授權登入和敏感性資料同步。

    OIDC應用/自研應用

    授權端點

    如果執行個體僅需使用個自訂網域名,則建議使用初始化網域名稱,將自訂網域名設為預設網域名稱並開啟自動跳轉;如不開啟,使用者在單點登入時可能需要重新登入一次。

    如果執行個體需要使用多個自訂網域名,則需和使用者的登入頁網域名稱保持一致,否則使用者在單點登入時可能需要重新登入一次。

    退出端點

    SAML應用

    IdP Meta地址

    如果執行個體僅需使用一個自訂網域名,則建議使用初始化網域名稱,將自訂網域名設為預設網域名稱並開啟自動跳轉;如不開啟,使用者在單點登入時可能需要重新登入一次。

    如果執行個體需要使用多個自訂網域名,則需和使用者的登入頁網域名稱保持一致,否則使用者在單點登入時可能需要重新登入一次。

    SSO地址

    WebAuthn

    註冊認證器

    WebAuthn僅在註冊認證器的網域名稱中生效例如,使用者在A網域名稱註冊了WebAuthn認證器A1,訪問B網域名稱進行登入時不可使用認證器A1,需在B網域名稱中重新註冊認證器。使用者可以擁有多個不同網域名稱的認證器。

    開始前準備

    為了更順暢地完成自訂網域名的配置,建議您提前準備如下內容:

    準備內容

    說明

    網域名稱

    您需要準備一個供IDaaS EIAM專用的網域名稱,建議使用頂層網域或次層網域。

    網域名稱所在DNS的操作許可權

    您需要在網域名稱所在的DNS(如:阿里雲DNS)中添加1~2次DNS記錄,以驗證您對網域名稱的所有權。

    備案號

    如果您的網站託管在中國內地,則必須填寫網域名稱的備案號。

    網域名稱所在代理服務的操作許可權

    您需要在網域名稱所在的代理服務(如:阿里雲DCDN)中佈建網域名的HTTPS認證、回源HOST等資訊。

    試用或升級執行個體

    僅試用版和企業版執行個體才可使用自訂網域名能力,請試用執行個體升級執行個體

    添加自訂網域名 - 網域名稱配置

    單擊個人化 > 自訂網域名 > 添加自訂網域名即可開始添加。

    image.png

    重要

    自訂網域名可能影響登入、單點登入、資料同步等功能,為了避免影響您的業務,請在開啟前瞭解自訂網域名的影響範圍

    步驟一:填寫網域名稱

    輸入自訂網域名(如:login.example.com),這個網域名稱在所有IDaaS EIAM執行個體中全域唯一。僅需填寫網域名稱本身,無需填寫路徑、參數等。支援小寫字母、數字、中劃線、英文點,最大字元長度128。

    image.png

    重要

    IDaaS團隊將全力保障您執行個體的安全性,但理論上如果攻擊者對您的IDaaS EIAM執行個體成功實施XSS攻擊,將可能導致向同一網域名稱下的不同子網域名稱發起CSRF攻擊。因此我們建議屏蔽從自訂網域名發起的CORS請求,或者使用獨立的頂層網域作為自訂網域名。

    步驟二:添加DNS記錄

    請前往您的網域名稱做在的DNS(如:阿里雲DNS)添加記錄,該步驟旨在驗證您對網域名稱的所有權。針對同一IDaaS EIAM執行個體、同一自訂網域名,記錄類型、記錄名稱和記錄值固定不變,因此如果您無DNS的操作許可權,可交由他人代為添加DNS記錄,在完成添加後再添加自訂網域名。

    image.png

    下面是在部分DNS服務商中添加解析記錄的協助文檔:

    步驟三:填寫備案號

    根據《互連網資訊服務管理辦法》,如果您的網站託管在中國內地,則必須填寫主體備案號或網站備案號。為滿足合規要求,如需使用自訂網域名能力,在阿里雲中國內地region的IDaaS EIAM執行個體均需填寫。備案號將顯示在執行個體的登入頁。

    步驟四:完成添加

    確認資訊填寫無誤後,點擊完成添加,即可添加自訂網域名。您還需要完成代理配置,才可正常使用自訂網域名。

    添加自訂網域名 - 代理配置

    您的使用者或應用通過自訂網域名訪問IDaaS EIAM時,將由您的網域名稱代理服務轉寄請求,您需要確保代理的可用性。以下是代理服務的配置方式。

    阿里雲DCDN

    步驟一:添加網域名稱

    您需要在阿里雲DCDN網域名稱管理頁中添加網域名稱。

    image.png

    • 加速網域名稱:即您的自訂網域名。

    • 來源站點資訊:

      • 來源站點類型選擇來源站點網域名稱

      • 填寫代理配置-來源站點資訊的網域名稱(不包含協議頭https://),即您的IDaaS EIAM執行個體的初始化網域名稱。

      • 連接埠選擇443。

    完成添加後,您需要在DCDN中複製網域名稱的CNAME記錄,並前往網域名稱DNS服務位址進行解析。詳情可查看文檔:配置CNAME

    步驟二:配置HTTPS認證

    阿里雲DCDN網域名稱管理頁中進入網域名稱詳情頁,在配置 HTTPS中配置HTTPS認證。詳情可查看文檔:配置HTTPS認證

    image.png

    步驟三:開啟回源HOST

    依然在網域名稱詳情頁,在回源配置中開啟回源HOST

    image.png

    網域名稱類型選擇來源站點網域名稱,此時會自動選擇IDaaS EIAM執行個體的初始化網域名稱。

    image.png

    步驟四:添加回源HTTP頭

    依然在網域名稱詳情頁,在回源配置中單擊自訂回源HTTPS頭,添加IP、Host、Token等資訊。這些資訊可以防止IP地址欺騙,以提高訪問的安全性。

    image.png

    完成配置後,您可以通過測試連接功能,讓IDaaS EIAM執行個體類比訪問您的自訂網域名。請注意,由於網域名稱本身可設定存取原則(例如辦公網IP才可訪問網域名稱),因此 IDaaS EIAM的測試結果僅供參考,建議您類比使用者的使用環境進行測試。

    image

    測試無誤後,您需要根據影響範圍確認和調整相關配置,並將自訂網域名分發給您的使用者(如果使用者依然使用初始化網域名稱,則建議開啟自動跳轉)。

    Nginx 配置指引

    步驟一:安裝自建nginx服務

    源碼編譯安裝

    #下載安裝包
wget http://nginx.org/download/nginx-1.18.0.tar.gz

#解壓
tar -zxvf nginx-1.18.0.tar.gz
cd nginx-1.18.0

#配置:指定Nginx的安裝目錄
./configure --prefix=/usr/local/nginx 

#編譯和安裝
make && make install

#安裝完後驗證是否安裝成功
cd /usr/local/nginx/sbin
./nginx -t
    說明

    安裝完成後,出現如下內容為安裝成功:

    nginx: the configuration file /usr/local/nginx//conf/nginx.conf syntax is ok

    nginx: configuration file /usr/local/nginx//conf/nginx.conf test is successful

    CentOS/AlmaLinux/RHEL 系統安裝

    # 安裝 EPEL 倉庫(部分系統需要)
sudo yum install epel-release -y

# 安裝 Nginx
sudo yum install nginx -y

# 啟動 Nginx 服務
sudo systemctl start nginx

# 設定開機自啟
sudo systemctl enable nginx

# 檢查服務狀態
sudo systemctl status nginx

    Ubuntu/Debian 系統安裝

    # 更新包列表
sudo apt update

# 安裝 Nginx
sudo apt install nginx -y

# 啟動 Nginx 服務
sudo systemctl start nginx

# 設定開機自啟
sudo systemctl enable nginx

# 檢查服務狀態
sudo systemctl status nginx

    步驟二:修改 Nginx 設定檔

    1. 查看nginx設定檔路徑。

      nginx -t

    2. 佈建網域名代理。

      1. 修改nginx.conf設定檔 HTTP 節點下的 server 節點。

      2. 修改反向 Proxy配置,將自訂網域名例如www.example.com請求轉寄到*****.aliyunidaas.comIDaaS 的網域名稱。

        server {
    # 監聽 HTTPS 連接埠並啟用 SSL
    listen 443 ssl;

    # 網域名稱配置(需要被轉寄的網域名稱即使用者的自訂網域名)
    server_name www.example.com;

    location / {
        # 反向 Proxy目標地址(配置的IDaaS使用者門戶網域名稱地址)
        proxy_pass https://*****.aliyunidaas.com;
        
    }
}

    3. 配置http請求轉寄https。

      實現自訂網域名HTTP訪問自動重新導向HTTPS 的方式,訪問您的服務。提升安全性及SEO最佳化。

      # HTTP 伺服器塊(監聽 80 連接埠)
server {
    listen 80;
    server_name www.example.com;

    # 配置 HTTP 要求重新導向到 HTTPS
    location / {
        return 301 https://$host$request_uri;
    }
}

    4. 配置 SSL 憑證

      1. 準備認證檔案並上傳到 nginx 伺服器。

      2. 修改 Nginx 設定檔。

        server {
    # HTTPS 伺服器塊(監聽 443 連接埠)
    listen 443 ssl;
    server_name www.example.com;

    # SSL 憑證路徑(需替換為實際路徑)
    ssl_certificate      /usr/local/nginx/ssl/www.example.com.crt;
    ssl_certificate_key /usr/local/nginx/ssl/www.example.com.key;

    # SSL 配置(可選最佳化)
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;

}

    5. 配置 IDaaS回源要求標頭。

      image

      1. 修改 nginx.conf 設定檔,http 節點下的 server 節點。

      2. 通過 proxy_set_header 設定回源要求標頭。

            # 配置IDaaS回源要求標頭
    location / {
        proxy_pass http://***.aliyunidaas.com;
       
        # 傳遞用戶端真實 IP
        proxy_set_header X-IDaas-Client-IP $remote_addr;

        # 傳遞主機頭(需確認目標服務期望的 Host 值)
        proxy_set_header X-IDaas-Host eiam-idaas.idpsso.net;

        # Proxy 驗證令牌(需保持與 IDaas 服務端配置一致)
        proxy_set_header X-IDaas-Proxy-Token PTC*****************************6j;

        # 保留原始 Host 頭(可選)
        proxy_set_header Host $host;
        
        
    }

    步驟三:重啟 Nginx 服務

    源碼編譯安裝方式重啟

    sudo /usr/local/nginx/sbin/nginx -s reload

    CentOS/AlmaLinux/RHEL 安裝方式重啟

    sudo service nginx restart

    Ubuntu/Debian 安裝方式重啟

    sudo systemctl restart nginx

    網域名稱狀態

    由於網域名稱本身可設定存取原則(例如辦公網IP才可訪問網域名稱),因此IDaaS EIAM無法確認自訂網域名是否在正常運行,因此網域名稱的可用狀態僅表示執行個體的網域名稱功能可被使用,不代表網域名稱可被正常訪問。您需自行確認自訂網域名是否正常運行。

    image.png

    修改預設網域名稱

    預設網域名稱指的是執行個體預設使用的網域名稱,作用有兩個:

    • 如果開啟了自動跳轉功能,您的使用者或應用在訪問初始化網域名稱時,自動跳轉到預設網域名稱。

    • 在控制台的多處展示,例如使用者門戶地址、登入地址。

    image.png

    重要

    如果選擇了自訂網域名作為預設網域名稱且開啟了自動跳轉,當自訂網域名不可用(例如執行個體到期)時,需手動修改預設網域名稱,否則可能影響您的使用者或應用對執行個體的訪問。

    開啟自動跳轉

    自動跳轉指的是使用者或應用訪問執行個體的初始化網域名稱時,將自動跳轉到預設網域名稱。訪問自訂網域名時不會跳轉到預設網域名稱。如果您僅需要使用一個自訂網域名,建議將其設定為預設網域名稱並開啟自動跳轉,此時您的使用者無論是訪問初始化網域名稱或該自訂網域名,都可以順暢地完成應用的單點登入,而無需修改應用的單點登入配置。

    如果沒有開啟該能力或者需要使用多個自訂網域名,則需要將應用的單點登入等配置(詳見影響範圍)調整為自訂網域名,否則可能影響您的正常使用,例如:使用者在單點登入時可能需要重新登入一次、無法掃碼登入企業微信等。

    刪除自訂網域名

    刪除自訂網域名前,請檢查該網域名稱是否正在被使用(如身份提供方、應用的單點登入配置等),彈窗中的網域名稱最後使用時間可為您提供參考;該時間也是proxy_token的最後使用時間,您可以在代理配置中直接查看。

    image.png

    刪除自訂網域名後,無法立即使用該網域名稱訪問IDaaS EIAM執行個體。建議清除本文檔中涉及的網域名稱DNS服務商和代理服務的相關配置,以防在後續的使用中造成網域名稱轉寄的錯亂。