Benutzerdefinierte Domain
Dein Logto-Mandant verfügt standardmäßig über eine kostenlose Domain {{tenant-id}}.app.logto. Du kannst jedoch das Benutzererlebnis und die Markenbekanntheit steigern, indem du eine benutzerdefinierte Domain wie auth.example.com verwendest.
Deine benutzerdefinierte Domain wird für mehrere Funktionen genutzt:
- URLs für Anmelde- und Registrierungsseite
- Passkey Verknüpfungs-URLs (Wenn du die Domain änderst, nachdem Benutzer Passkeys verknüpft haben, kann dies deren Authentifizierung blockieren).
- Callback-URIs für soziale Connectors oder Enterprise SSO Connectors.
- SDK-Endpunkt zur Integration von Logto in deine Anwendung.
Das Ändern der Domain nach der Veröffentlichung deines Dienstes kann zu Problemen führen, da dein Anwendungscode und Integrationen möglicherweise noch auf die alte Domain verweisen. Um einen reibungslosen Übergang zu gewährleisten, richte deine benutzerdefinierte Domain direkt zu Beginn bei der Erstellung eines Produktionsmandanten ein.
Benutzerdefinierte Domain in der Console konfigurieren
Um eine neue benutzerdefinierte Domain in der Logto Console hinzuzufügen, folge diesen Schritten:
-
Navigiere zu Console > Einstellungen > Domains.
-
Gib im Abschnitt "Benutzerdefinierte Domain" deinen Domainnamen ein und klicke auf "Domain hinzufügen".
-
Kopiere den CNAME-Wert aus der Tabelle und gehe zu deinem DNS-Anbieter, um den Eintrag hinzuzufügen.
-
Warte auf die Verifizierung und den SSL-Prozess.
- Wir überprüfen deine Einträge automatisch alle 10 Sekunden, bis die benutzerdefinierte Domain hinzugefügt wurde. Stelle einfach sicher, dass der eingegebene Domainname bzw. die DNS-Einträge korrekt sind.
- Die Verifizierung dauert in der Regel nur wenige Minuten, kann aber je nach DNS-Anbieter bis zu 24 Stunden in Anspruch nehmen. Du kannst währenddessen die Seite verlassen.
Fehlerbehebung
SSL-Zertifikatsprobleme
Wenn du beim Einrichten deiner benutzerdefinierten Domain auf SSL-Zertifikatsprobleme stößt, kann dies mit CAA-Einträgen in deiner DNS-Konfiguration zusammenhängen. CAA-Einträge legen fest, welche Zertifizierungsstellen (CAs) berechtigt sind, Zertifikate für deine Domain auszustellen. Wenn du CAA-Einträge verwendest, musst du sowohl "letsencrypt.org" als auch "pki.goog" autorisieren, damit Logto SSL-Zertifikate ausstellen kann.
Zur Fehlerbehebung und Lösung von SSL-Zertifikatsproblemen im Zusammenhang mit CAA-Einträgen siehe die Cloudflare-Dokumentation zu CAA-Einträgen.
Fehler "The hostname is associated with a held zone"
Wenn du beim Hinzufügen einer benutzerdefinierten Domain die Fehlermeldung "The hostname is associated with a held zone, please contact the owner to have the hold removed" erhältst, bedeutet dies, dass die Domain bereits in einer Cloudflare-Zone ist und auf den Status "Zone Hold" gesetzt wurde. Weitere Informationen findest du in dieser Cloudflare-Dokumentation.
Um dieses Problem zu lösen, musst du den Zone Hold aufheben. Folge dem obigen Link für Anweisungen, wie du den Zone Hold in Cloudflare aufhebst.
Verbindungstimeout (Fehlercode 522) bei Cloudflare-gehosteter Domain
Wenn deine Domain bei Cloudflare gehostet wird, deaktiviere den Cloudflare-Proxy für den CNAME-Eintrag.
Fehler "Redirect URI does not match" nach Einrichtung der benutzerdefinierten Domain
Wenn du nach dem Hinzufügen deiner benutzerdefinierten Domain den Fehler "redirect URI does not match" erhältst, musst du deine SDK-Konfiguration aktualisieren, damit der Endpunkt die benutzerdefinierte Domain verwendet.
Zum Thema "primäre Domain":
Es gibt in Logto keine separate Einstellung für eine "primäre Domain". Nach dem Hinzufügen einer benutzerdefinierten Domain bleiben sowohl deine benutzerdefinierte Domain als auch die Standarddomain {tenant-id}.logto.app gültig. Die Domain, die du im endpoint-Parameter deines SDKs konfigurierst, bestimmt, welche Domain für Authentifizierungsflüsse verwendet wird.
Lösung:
Aktualisiere den endpoint-Parameter bei der Initialisierung deines SDKs, sodass deine benutzerdefinierte Domain verwendet wird:
const client = new LogtoClient({
endpoint: 'https://auth.example.com', // Verwende deine benutzerdefinierte Domain
appId: 'your-app-id',
// ... weitere Optionen
});
Überprüfe außerdem, ob die in Console → Anwendungen registrierten Redirect-URIs mit der verwendeten Domain übereinstimmen.
Hinweis: Logto stellt SSL-Zertifikate für deine benutzerdefinierte Domain automatisch bereit und verwaltet sie. Du musst keine eigenen Zertifikate konfigurieren.
Benutzerdefinierte Domain verwenden
Sobald du deine Einstellungen konfiguriert hast, stehen sowohl dein benutzerdefinierter Domainname als auch der Standard-Logto-Domainname für deinen Mandanten zur Verfügung. Für die Aktivierung des benutzerdefinierten Domainnamens sind jedoch bestimmte Konfigurationen erforderlich.
In diesem Artikel gehen wir davon aus, dass deine benutzerdefinierte Domain auth.example.com ist.
Aktualisierung des SDK-Endpunkts für Anwendungen
Passe deinen Initialisierungscode für das Logto SDK an, indem du den Domainnamen des Endpunkts änderst.
const client = new LogtoClient({
...,// weitere Optionen
endpoint: 'https://auth.example.com',
});
Auth-Endpunkte für andere Anwendungen anpassen
Wenn du Anwendungen hast, die nicht das Logto SDK verwenden, musst du deren Auth-Endpunkte aktualisieren.
Du findest die Auth-Endpunkte unter der Well-Known-URL:
https://auth.example.com/oidc/.well-known/openid-configuration
Aktualisierung der Callback-URI des Social Connectors
Die Callback-URI des Social Connectors wird automatisch aktualisiert, wenn deine Benutzer die benutzerdefinierte Domain verwenden. Du musst jedoch in der Entwicklerkonsole des Social Providers die Callback-URI aktualisieren.
Wenn deine Benutzer die benutzerdefinierte Domain verwenden, wird die Callback-URI des Social Connectors die neue Domain nutzen. Daher musst du in der Entwicklerkonsole des Social Providers die Callback-URI manuell aktualisieren.