Domaines personnalisés

remarque:

Changer de domaine après la publication de votre service peut entraîner des problèmes, car votre code applicatif et vos intégrations pourraient toujours référencer l'ancien domaine. Pour garantir une transition en douceur, nous recommandons de configurer vos domaines personnalisés dès le début lors de la création du tenant en production.

Votre tenant Logto est livré avec un domaine gratuit par défaut {{tenant-id}}.app.logto. Cependant, vous pouvez améliorer l'expérience utilisateur et la reconnaissance de votre marque en utilisant des domaines personnalisés, comme auth.example.com.

Vos domaines personnalisés sont utilisés pour plusieurs fonctions :

• URLs de page de connexion et d'inscription
• URIs de rappel pour les connecteurs sociaux ou les connecteurs SSO d’entreprise.
• URLs de liaison Passkey (Changer de domaine après que les utilisateurs aient lié des Passkeys peut bloquer leur authentification).
• Point de terminaison SDK pour intégrer Logto à votre application.

Domaines personnalisés multiples

Logto prend désormais en charge la configuration de domaines personnalisés multiples pour un seul tenant, rendant votre page de connexion accessible depuis plusieurs domaines de marque.

Limites selon le plan :

• Tenant de développement : Ajoutez jusqu'à 2 domaines personnalisés gratuitement (à des fins de test)
• Plan gratuit : Ajoutez 1 domaine personnalisé sans frais
• Plan Pro : Ajoutez 1 domaine personnalisé inclus, avec la possibilité d'en ajouter jusqu'à 10 au total via des modules complémentaires
• Plan Entreprise : Pour plus de 10 domaines personnalisés ou des besoins spécifiques, veuillez nous contacter

Consultez le tableau des tarifs Logto pour plus d'informations.

Avec plusieurs domaines personnalisés, vous pouvez :

• Utiliser différents domaines pour diverses régions, langues, applications, organisations ou domaines de premier niveau
• Renforcer la confiance en maintenant une expérience de marque cohérente avant et après la connexion
• Offrir des expériences d'authentification spécifiques à une région ou à une marque via la Custom UI

Configurer des domaines personnalisés dans la Console

Pour ajouter un nouveau domaine personnalisé dans la Console Logto, suivez ces étapes :

1. Accédez à Console > Paramètres > Domaines.

2. Dans la section "Ajouter un domaine personnalisé", saisissez votre sous-domaine (par exemple, auth.example.com, auth.us.example.com) et cliquez sur "ajouter le domaine".

   

3. Copiez la valeur CNAME domains.logto.app dans le tableau, puis rendez-vous chez votre fournisseur DNS pour ajouter l'enregistrement.

   

4. Attendez la vérification et le processus SSL.

   1. Nous vérifierons automatiquement vos enregistrements toutes les 10 secondes jusqu'à ce que le domaine personnalisé soit ajouté. Assurez-vous simplement que le nom de domaine saisi ou les enregistrements DNS sont corrects.
   2. La vérification prend généralement quelques minutes mais peut durer jusqu'à 24 heures selon le fournisseur DNS. Vous pouvez quitter la page pendant le processus.

Pour ajouter plusieurs domaines personnalisés, répétez simplement les étapes ci-dessus pour chaque domaine à configurer.

Dépannage

Problèmes de certificat SSL

Si vous rencontrez des problèmes de certificat SSL lors de la configuration de votre domaine personnalisé, cela peut être lié aux enregistrements CAA dans votre configuration DNS. Les enregistrements CAA spécifient quelles autorités de certification (CA) sont autorisées à émettre des certificats pour votre domaine. Si vous utilisez des enregistrements CAA, vous devrez autoriser à la fois "letsencrypt.org" et "pki.goog" pour que Logto puisse émettre des certificats SSL.

Pour résoudre les problèmes de certificat SSL liés aux enregistrements CAA, consultez la documentation Cloudflare sur les enregistrements CAA.

Erreur "The hostname is associated with a held zone"

Si vous rencontrez le message d'erreur "The hostname is associated with a held zone, please contact the owner to have the hold removed" lors de l'ajout d'un domaine personnalisé, cela signifie que le domaine est déjà dans une zone Cloudflare, et qu'il est en statut "Zone Hold". Consultez cette documentation Cloudflare pour plus d'informations.

Pour résoudre ce problème, vous devrez lever le blocage de la zone. Suivez le lien ci-dessus pour obtenir les instructions sur la levée du blocage dans Cloudflare.

Délai d’attente dépassé (code d’erreur 522) pour un domaine hébergé chez Cloudflare

Si votre domaine est hébergé sur Cloudflare, désactivez le proxy Cloudflare pour l'enregistrement CNAME.

Erreur "Redirect URI does not match" après configuration du domaine personnalisé

Si vous obtenez une erreur "redirect URI does not match" après avoir ajouté votre domaine personnalisé, vous devez mettre à jour la configuration de votre SDK pour utiliser le domaine personnalisé comme point de terminaison.

À propos du "domaine principal" :

Il n'y a pas de paramètre "domaine principal" distinct dans Logto. Après avoir ajouté un domaine personnalisé, votre domaine personnalisé et le domaine par défaut {tenant-id}.logto.app restent valides. Le domaine que vous configurez dans le paramètre endpoint de votre SDK détermine le domaine utilisé pour les flux d'authentification.

Solution :

Mettez à jour le paramètre endpoint lors de l'initialisation de votre SDK pour utiliser votre domaine personnalisé :

const client = new LogtoClient({
  endpoint: 'https://auth.example.com', // Utilisez votre domaine personnalisé
  appId: 'your-app-id',
  // ... autres options
});

Vérifiez également que les URIs de redirection enregistrées dans Console → Applications correspondent au domaine que vous utilisez.

Remarque : Logto provisionne et gère automatiquement les certificats SSL pour votre domaine personnalisé. Vous n'avez pas besoin de configurer vos propres certificats.

Utiliser des domaines personnalisés

Une fois vos paramètres configurés, votre nom de domaine personnalisé et le nom de domaine Logto par défaut seront disponibles pour votre tenant. Cependant, certaines configurations sont nécessaires pour activer votre nom de domaine personnalisé.

remarque:

Dans cet article, nous supposons que votre domaine personnalisé est auth.example.com.

Mise à jour du point de terminaison SDK pour les applications

Modifiez votre code d'initialisation du SDK Logto en changeant le nom de domaine du point de terminaison.

const client = new LogtoClient({
  ...,// autres options
  endpoint: 'https://auth.example.com',
});

Sur la page de détails de votre application dans Console > Applications, faites défiler jusqu'à la section "Points de terminaison & Identifiants". Changez le domaine dans la liste déroulante pour afficher et copier les points de terminaison correspondants afin de mettre à jour les paramètres de votre application.

Modification des points de terminaison d’auth pour d’autres applications

Si vous avez des applications qui n'utilisent pas le SDK Logto, il est nécessaire de mettre à jour leurs points de terminaison d'authentification.

Vous pouvez trouver les points de terminaison d'auth à l'URL bien connue :

https://auth.example.com/oidc/.well-known/openid-configuration

Mise à jour des URIs de redirection des connecteurs sociaux

Les connecteurs sociaux utilisent le protocole OIDC/OAuth. Lorsque les utilisateurs se connectent via un domaine personnalisé, l'URI de redirection utilisera automatiquement ce domaine personnalisé. Vous devez mettre à jour l'URI de redirection dans la console développeur de votre fournisseur social.

Étapes :

1. Accédez à Console > Connecteurs > Connecteurs sociaux et sélectionnez votre connecteur.
2. Copiez l'URI de redirection affichée dans les détails du connecteur. Logto liste toutes les URIs de redirection disponibles pour vos domaines personnalisés configurés.
3. Ajoutez cette URI de redirection dans la console développeur de votre fournisseur social (par exemple, Google, GitHub, Facebook).

Pour plusieurs domaines personnalisés :

• Ajoutez toutes les URIs de redirection pour chaque domaine personnalisé configuré. Cela garantit que la connexion sociale fonctionne quel que soit le domaine utilisé par les utilisateurs.
• Le domaine Logto par défaut (*.logto.app) reste valide. Incluez-le uniquement si vous souhaitez prendre en charge la connexion via le domaine par défaut également.
• Pour le connecteur GitHub, utilisez les GitHub Apps au lieu des applications OAuth configurées dans le tableau de bord GitHub, car les GitHub Apps prennent en charge plusieurs URIs de redirection. Les applications OAuth ne prennent en charge qu'une seule URI de redirection.

Mise à jour des URIs de redirection des connecteurs SSO d’entreprise OIDC

Les connecteurs d’entreprise basés sur OIDC suivent le même schéma que les connecteurs sociaux.

Étapes :

1. Accédez à Console > SSO d’entreprise et sélectionnez votre connecteur OIDC.
2. Copiez les URIs de redirection dans les détails du connecteur. Logto liste toutes les URIs de redirection disponibles pour vos domaines personnalisés configurés.
3. Mettez à jour l'URI de redirection dans les paramètres de votre fournisseur d'identité (IdP).

Pour plusieurs domaines personnalisés : Ajoutez toutes les URIs de redirection correspondantes à votre IdP pour garantir que le SSO d’entreprise fonctionne sur tous les domaines.

Mise à jour des URLs ACS des connecteurs SSO d’entreprise SAML

Les connecteurs d’entreprise basés sur SAML utilisent une URL Assertion Consumer Service (ACS) au lieu d'une URI de redirection.

Étapes :

1. Accédez à Console > SSO d’entreprise et sélectionnez votre connecteur SAML.
2. Dans la section "Configurer dans l’IdP", utilisez la liste déroulante de domaine pour basculer entre vos domaines personnalisés.
3. Copiez l'URL ACS pour le domaine que vous souhaitez prendre en charge.
4. Ajoutez ces URLs ACS à la configuration de votre fournisseur d'identité SAML.

Important : Le domaine que vous sélectionnez détermine où les utilisateurs sont redirigés après l'authentification SSO. Configurez cela en fonction du domaine sur lequel votre application attend de recevoir la réponse SAML.

Passkey pour MFA

Les Passkeys pour l’authentification multi-facteurs (MFA) sont liées au domaine sur lequel elles ont été enregistrées. Les utilisateurs doivent se connecter via le même domaine pour utiliser leurs Passkeys.

Limitation actuelle : Logto ne prend pas encore en charge la vérification Passkey inter-domaine. Si un utilisateur enregistre une Passkey sur auth.us.example.com, il doit se connecter via auth.us.example.com pour utiliser cette Passkey pour l'authentification. La Passkey enregistrée sur un domaine ne peut pas être utilisée lors de la connexion via un autre domaine personnalisé.