Zum Hauptinhalt springen

Benutzerdefinierte Domains

hinweis:

Das Ändern der Domain nach der Veröffentlichung deines Dienstes kann zu Problemen führen, da dein Anwendungscode und Integrationen möglicherweise noch auf die alte Domain verweisen. Um einen reibungslosen Übergang zu gewährleisten, empfehlen wir, deine benutzerdefinierten Domains direkt zu Beginn bei der Erstellung des Production-Tenants einzurichten.

Dein Logto-Tenant wird mit einer standardmäßigen, kostenlosen Domain {{tenant-id}}.app.logto bereitgestellt. Du kannst jedoch das Benutzererlebnis und die Markenbekanntheit steigern, indem du benutzerdefinierte Domains wie auth.example.com verwendest.

Deine benutzerdefinierten Domains werden für mehrere Funktionen genutzt:

Mehrere benutzerdefinierte Domains

Logto unterstützt jetzt die Konfiguration von mehreren benutzerdefinierten Domains für einen einzelnen Tenant, sodass deine Anmeldeseite über mehr als eine gebrandete Domain erreichbar ist.

Planbasierte Limits:

  • Development-Tenant: Bis zu 2 benutzerdefinierte Domains kostenlos hinzufügen (zu Testzwecken)
  • Free-Plan: 1 benutzerdefinierte Domain kostenlos hinzufügen
  • Pro-Plan: 1 benutzerdefinierte Domain inklusive, mit der Möglichkeit, insgesamt bis zu 10 benutzerdefinierte Domains über Add-ons hinzuzufügen
  • Enterprise-Plan: Für mehr als 10 benutzerdefinierte Domains oder individuelle Anforderungen bitte kontaktiere uns

Siehe die Logto-Preistabelle für detaillierte Informationen.

Mit mehreren benutzerdefinierten Domains kannst du:

  • Verschiedene Domains für unterschiedliche Regionen, Sprachen, Anwendungen, Organisationen oder Top-Level-Domains verwenden
  • Vertrauen aufbauen, indem du ein konsistentes Markenerlebnis vor und nach der Anmeldung sicherstellst
  • Regions- oder markenspezifische Authentifizierungserfahrungen durch Custom UI bereitstellen

Benutzerdefinierte Domains in der Console konfigurieren

Um eine neue benutzerdefinierte Domain in der Logto Console hinzuzufügen, folge diesen Schritten:

  1. Navigiere zu Console > Einstellungen > Domains.

  2. Gib im Abschnitt „Benutzerdefinierte Domain hinzufügen“ deine Subdomain ein (z. B. auth.example.com, auth.us.example.com) und klicke auf „Domain hinzufügen“.

    Domain hinzufügen

  3. Kopiere den CNAME-Wert domains.logto.app aus der Tabelle und füge ihn bei deinem DNS-Anbieter als Eintrag hinzu.

    Benutzerdefinierte Domain wird verarbeitet

  4. Warte auf die Verifizierung und den SSL-Prozess.

    1. Wir überprüfen deine Einträge automatisch alle 10 Sekunden, bis die benutzerdefinierte Domain hinzugefügt wurde. Stelle einfach sicher, dass der eingegebene Domainname bzw. die DNS-Einträge korrekt sind.
    2. Die Verifizierung dauert in der Regel nur wenige Minuten, kann aber je nach DNS-Anbieter bis zu 24 Stunden in Anspruch nehmen. Du kannst währenddessen die Seite verlassen.

Um mehrere benutzerdefinierte Domains hinzuzufügen, wiederhole die obigen Schritte für jede gewünschte Domain.

Fehlerbehebung

SSL-Zertifikatsprobleme

Wenn du beim Einrichten deiner benutzerdefinierten Domain auf SSL-Zertifikatsprobleme stößt, kann dies an CAA-Einträgen in deiner DNS-Konfiguration liegen. CAA-Einträge legen fest, welche Certificate Authorities (CAs) berechtigt sind, Zertifikate für deine Domain auszustellen. Wenn du CAA-Einträge verwendest, musst du sowohl "letsencrypt.org" als auch "pki.goog" autorisieren, damit Logto SSL-Zertifikate ausstellen kann.

Zur Fehlerbehebung und Lösung von SSL-Zertifikatsproblemen im Zusammenhang mit CAA-Einträgen siehe die Cloudflare-Dokumentation zu CAA-Einträgen.

Fehler „Der Hostname ist mit einer gehaltenen Zone verknüpft“

Wenn du beim Hinzufügen einer benutzerdefinierten Domain die Fehlermeldung „Der Hostname ist mit einer gehaltenen Zone verknüpft, bitte kontaktiere den Eigentümer, um die Sperre aufzuheben“ erhältst, bedeutet dies, dass die Domain bereits in einer Cloudflare-Zone ist und auf den Status „Zone Hold“ gesetzt wurde. Weitere Informationen findest du in dieser Cloudflare-Dokumentation.

Um dieses Problem zu lösen, musst du die Zonensperre aufheben. Folge dem obigen Link für Anweisungen zum Aufheben der Zonensperre in Cloudflare.

Verbindungstimeout (Fehlercode 522) bei Cloudflare-gehosteter Domain

Wenn deine Domain bei Cloudflare gehostet wird, deaktiviere den Cloudflare-Proxy für den CNAME-Eintrag.

„Redirect URI stimmt nicht überein“-Fehler nach Einrichtung der benutzerdefinierten Domain

Wenn du nach dem Hinzufügen deiner benutzerdefinierten Domain einen „Redirect URI stimmt nicht überein“-Fehler erhältst, musst du deine SDK-Konfiguration aktualisieren, damit der Endpunkt die benutzerdefinierte Domain verwendet.

Zum Thema „primäre Domain“:

Es gibt in Logto keine separate Einstellung für eine „primäre Domain“. Nach dem Hinzufügen einer benutzerdefinierten Domain bleiben sowohl deine benutzerdefinierte Domain als auch die Standarddomain {tenant-id}.logto.app gültig. Die Domain, die du im endpoint-Parameter deines SDKs konfigurierst, bestimmt, welche Domain für Authentifizierungsflüsse verwendet wird.

Lösung:

Aktualisiere den endpoint-Parameter in deiner SDK-Initialisierung, um deine benutzerdefinierte Domain zu verwenden:

const client = new LogtoClient({
  endpoint: 'https://auth.example.com', // Verwende deine benutzerdefinierte Domain
  appId: 'your-app-id',
  // ... weitere Optionen
});

Überprüfe außerdem, ob die in Console → Anwendungen registrierten Redirect-URIs mit der verwendeten Domain übereinstimmen.

Hinweis: Logto stellt SSL-Zertifikate für deine benutzerdefinierte Domain automatisch bereit und verwaltet sie. Du musst keine eigenen Zertifikate konfigurieren.

Benutzerdefinierte Domains verwenden

Sobald du deine Einstellungen konfiguriert hast, sind sowohl dein benutzerdefinierter Domainname als auch der Standard-Logto-Domainname für deinen Tenant verfügbar. Allerdings sind bestimmte Konfigurationen erforderlich, um deinen benutzerdefinierten Domainnamen zu aktivieren.

hinweis:

In diesem Artikel gehen wir davon aus, dass deine benutzerdefinierte Domain auth.example.com ist.

Aktualisierung des SDK-Endpunkts für Anwendungen

Passe deinen Initialisierungscode für das Logto SDK an, indem du den Domainnamen des Endpunkts änderst.

const client = new LogtoClient({
  ...,// weitere Optionen
  endpoint: 'https://auth.example.com',
});

Auf der Detailseite deiner Anwendung in Console > Anwendungen findest du im Abschnitt „Endpoints & Credentials“ eine Dropdown-Liste für Domains. Wechsle die Domain, um die entsprechenden Endpunkte anzuzeigen und für deine Anwendungseinstellungen zu kopieren.

Auth-Endpunkte für andere Anwendungen anpassen

Wenn du Anwendungen hast, die das Logto SDK nicht verwenden, musst du deren Auth-Endpunkte aktualisieren.

Du findest die Auth-Endpunkte unter der Well-Known-URL:

https://auth.example.com/oidc/.well-known/openid-configuration

Redirect-URIs für soziale Connectors aktualisieren

Soziale Connectors verwenden das OIDC/OAuth-Protokoll. Wenn sich Benutzer über eine benutzerdefinierte Domain anmelden, wird die Redirect-URI automatisch auf diese Domain gesetzt. Du musst die Redirect-URI in der Entwicklerkonsole deines Social-Providers aktualisieren.

Schritte:

  1. Navigiere zu Console > Connectors > Social Connectors und wähle deinen Connector aus.
  2. Kopiere die in den Connector-Details angezeigte Redirect-URI. Logto listet alle verfügbaren Redirect-URIs für deine konfigurierten benutzerdefinierten Domains auf.
  3. Füge diese Redirect-URI in der Entwicklerkonsole deines Social-Providers hinzu (z. B. Google, GitHub, Facebook).

Für mehrere benutzerdefinierte Domains:

  • Füge alle Redirect-URIs für jede konfigurierte benutzerdefinierte Domain hinzu. So funktioniert Social Login unabhängig davon, über welche Domain Benutzer zugreifen.
  • Die Standard-Logto-Domain (*.logto.app) bleibt gültig. Füge sie nur hinzu, wenn du auch Logins über die Standarddomain unterstützen möchtest.
  • Für den GitHub-Connector verwende GitHub Apps anstelle von OAuth-Apps, die im GitHub-Dashboard konfiguriert sind, da GitHub Apps mehrere Redirect-URIs unterstützen. OAuth-Apps unterstützen nur eine einzelne Redirect-URI.

Redirect-URIs für OIDC-basierte Enterprise SSO Connectors aktualisieren

OIDC-basierte Enterprise Connectors folgen demselben Muster wie soziale Connectors.

Schritte:

  1. Navigiere zu Console > Enterprise SSO und wähle deinen OIDC-Connector aus.
  2. Kopiere die Redirect-URIs aus den Connector-Details. Logto listet alle verfügbaren Redirect-URIs für deine konfigurierten benutzerdefinierten Domains auf.
  3. Aktualisiere die Redirect-URI in den Einstellungen deines Identitätsanbieters (IdP).

Für mehrere benutzerdefinierte Domains: Füge alle entsprechenden Redirect-URIs zu deinem IdP hinzu, damit Enterprise SSO über alle Domains funktioniert.

ACS-URLs für SAML-basierte Enterprise SSO Connectors aktualisieren

SAML-basierte Enterprise Connectors verwenden eine Assertion Consumer Service (ACS) URL anstelle einer Redirect-URI.

Schritte:

  1. Navigiere zu Console > Enterprise SSO und wähle deinen SAML-Connector aus.
  2. Im Abschnitt „Im IdP konfigurieren“ kannst du über das Domain-Dropdown zwischen deinen benutzerdefinierten Domains wechseln.
  3. Kopiere die ACS-URL für die gewünschte Domain.
  4. Füge diese ACS-URLs in die Konfiguration deines SAML-Identitätsanbieters ein.

Wichtig: Die gewählte Domain bestimmt, wohin Benutzer nach der SSO-Authentifizierung weitergeleitet werden. Konfiguriere dies entsprechend der Domain, auf die deine Anwendung die SAML-Antwort erwartet.

Passkey für MFA

Passkeys für Multi-Faktor-Authentifizierung (MFA) sind an die Domain gebunden, auf der sie registriert wurden. Benutzer müssen sich über dieselbe Domain anmelden, um ihre Passkeys zu verwenden.

Aktuelle Einschränkung: Logto unterstützt derzeit noch keine domänenübergreifende Passkey-Verifizierung. Wenn ein Benutzer einen Passkey auf auth.us.example.com registriert, muss er sich über auth.us.example.com anmelden, um diesen Passkey für die Authentifizierung zu verwenden. Der auf einer Domain registrierte Passkey kann nicht verwendet werden, wenn man sich über eine andere benutzerdefinierte Domain anmeldet.