Pular para o conteúdo principal

Domínios personalizados

nota:

Alterar o domínio após publicar seu serviço pode causar problemas, pois o código do seu aplicativo e integrações podem ainda referenciar o domínio antigo. Para garantir uma transição tranquila, recomendamos configurar seus domínios personalizados no início durante a criação do tenant de Produção.

Seu tenant Logto vem com um domínio padrão gratuito {{tenant-id}}.app.logto. No entanto, você pode elevar a experiência do usuário e o reconhecimento da sua marca usando domínios personalizados, como auth.example.com.

Seus domínios personalizados são usados para várias funções:

Múltiplos domínios personalizados

O Logto agora suporta a configuração de múltiplos domínios personalizados para um único tenant, tornando sua página de login acessível a partir de mais de um domínio de marca.

Limites por plano:

  • Tenant de desenvolvimento: Adicione até 2 domínios personalizados gratuitamente (para fins de teste)
  • Plano gratuito: Adicione 1 domínio personalizado sem custo
  • Plano Pro: Inclui 1 domínio personalizado, com possibilidade de adicionar até 10 domínios personalizados no total através de add-ons
  • Plano Enterprise: Para mais de 10 domínios personalizados ou requisitos personalizados, por favor entre em contato conosco

Veja a tabela de preços do Logto para informações detalhadas.

Com múltiplos domínios personalizados, você pode:

  • Usar domínios diferentes para várias regiões, localidades, aplicativos, organizações ou domínios de topo
  • Construir confiança mantendo uma experiência de marca consistente antes e depois do login
  • Fornecer experiências de autenticação específicas por região ou marca através da Custom UI

Configurar domínios personalizados no Console

Para adicionar um novo domínio personalizado no Console Logto, siga estes passos:

  1. Navegue até Console > Configurações > Domínios.

  2. Na seção "Adicionar um domínio personalizado", insira seu subdomínio (por exemplo, auth.example.com, auth.us.example.com) e clique em "adicionar domínio".

    Adicionar domínio

  3. Copie o valor CNAME domains.logto.app na tabela e vá até o provedor de DNS do seu domínio para adicionar o registro.

    Processando domínio personalizado

  4. Aguarde a verificação e o processo de SSL.

    1. Verificaremos automaticamente seus registros a cada 10 segundos até que o domínio personalizado seja adicionado. Apenas certifique-se de que o nome do domínio inserido ou os registros DNS estejam corretos.
    2. A verificação normalmente leva alguns minutos, mas pode levar até 24 horas, dependendo do provedor de DNS. Sinta-se à vontade para navegar para outras páginas durante o processo.

Para adicionar múltiplos domínios personalizados, basta repetir os passos acima para cada domínio que deseja configurar.

Solução de problemas

Problemas com certificado SSL

Se você encontrar problemas com o certificado SSL ao configurar seu domínio personalizado, isso pode estar relacionado a registros CAA na configuração do seu DNS. Os registros CAA especificam quais Autoridades Certificadoras (CAs) estão autorizadas a emitir certificados para seu domínio. Se você estiver usando registros CAA, será necessário autorizar tanto "letsencrypt.org" quanto "pki.goog" para que o Logto possa emitir certificados SSL.

Para solucionar e resolver problemas de certificado SSL relacionados a registros CAA, consulte a documentação da Cloudflare sobre registros CAA.

Erro "The hostname is associated with a held zone"

Se você encontrar a mensagem de erro "The hostname is associated with a held zone, please contact the owner to have the hold removed" ao adicionar um domínio personalizado, isso significa que o domínio já está em uma zona Cloudflare e está com status "Zone Hold". Veja esta documentação da Cloudflare para mais informações.

Para resolver esse problema, será necessário liberar o "zone hold". Siga o link acima para instruções de como liberar o "zone hold" na Cloudflare.

Tempo de conexão esgotado (Erro 522) para domínio hospedado na Cloudflare

Se seu domínio está hospedado na Cloudflare, desative o proxy da Cloudflare para o registro CNAME.

Erro "Redirect URI does not match" após configurar domínio personalizado

Se você receber um erro "redirect URI does not match" após adicionar seu domínio personalizado, será necessário atualizar a configuração do seu SDK para usar o domínio personalizado como endpoint.

Sobre "domínio primário":

Não existe uma configuração separada de "domínio primário" no Logto. Após adicionar um domínio personalizado, tanto seu domínio personalizado quanto o domínio padrão {tenant-id}.logto.app permanecem válidos. O domínio que você configurar no parâmetro endpoint do seu SDK determinará qual domínio será usado nos fluxos de autenticação.

Solução:

Atualize o parâmetro endpoint na inicialização do seu SDK para usar seu domínio personalizado:

const client = new LogtoClient({
  endpoint: 'https://auth.example.com', // Use seu domínio personalizado
  appId: 'your-app-id',
  // ... outras opções
});

Também verifique se os URIs de redirecionamento registrados em Console → Aplicativos correspondem ao domínio que você está usando.

Nota: O Logto provisiona e gerencia automaticamente certificados SSL para seu domínio personalizado. Você não precisa configurar seus próprios certificados.

Usar domínios personalizados

Depois de configurar suas definições, tanto o nome do seu domínio personalizado quanto o nome do domínio padrão do Logto estarão disponíveis para seu tenant. No entanto, certas configurações são necessárias para ativar o nome do seu domínio personalizado.

nota:

Neste artigo, assumimos que seu domínio personalizado é auth.example.com.

Atualizando o endpoint do SDK para aplicativos

Altere seu código de inicialização do SDK Logto modificando o nome do domínio do endpoint.

const client = new LogtoClient({
  ...,// outras opções
  endpoint: 'https://auth.example.com',
});

Na página de detalhes do seu aplicativo em Console > Aplicativos, role até a seção "Endpoints & Credenciais". Altere o domínio no dropdown para visualizar e copiar os endpoints correspondentes para atualizar as configurações do seu aplicativo.

Modificando endpoints de autenticação para outros aplicativos

Se você possui aplicativos que não utilizam o SDK do Logto, é necessário atualizar seus endpoints de autenticação.

Você pode localizar os endpoints de autenticação na URL well-known:

https://auth.example.com/oidc/.well-known/openid-configuration

Atualizando URIs de redirecionamento de conectores sociais

Conectores sociais usam o protocolo OIDC/OAuth. Quando os usuários fazem login através de um domínio personalizado, o URI de redirecionamento usará automaticamente esse domínio personalizado. Você precisa atualizar o URI de redirecionamento no console de desenvolvedor do seu provedor social.

Passos:

  1. Navegue até Console > Conectores > Conectores Sociais e selecione seu conector.
  2. Copie o URI de redirecionamento exibido nos detalhes do conector. O Logto lista todos os URIs de redirecionamento disponíveis para seus domínios personalizados configurados.
  3. Adicione esse URI de redirecionamento no console de desenvolvedor do seu provedor social (por exemplo, Google, GitHub, Facebook).

Para múltiplos domínios personalizados:

  • Adicione todos os URIs de redirecionamento para cada domínio personalizado que você configurou. Isso garante que o login social funcione independentemente de qual domínio os usuários acessam.
  • O domínio padrão do Logto (*.logto.app) permanece válido. Inclua-o apenas se quiser suportar logins através do domínio padrão também.
  • Para o conector do GitHub, use GitHub Apps em vez de aplicativos OAuth configurados no painel do GitHub, pois GitHub Apps suportam múltiplos URIs de redirecionamento. Aplicativos OAuth suportam apenas um único URI de redirecionamento.

Atualizando URIs de redirecionamento de conectores de SSO corporativo baseados em OIDC

Conectores corporativos baseados em OIDC seguem o mesmo padrão dos conectores sociais.

Passos:

  1. Navegue até Console > SSO Corporativo e selecione seu conector OIDC.
  2. Copie os URIs de redirecionamento nos detalhes do conector. O Logto lista todos os URIs de redirecionamento disponíveis para seus domínios personalizados configurados.
  3. Atualize o URI de redirecionamento nas configurações do seu provedor de identidade (IdP).

Para múltiplos domínios personalizados: Adicione todos os URIs de redirecionamento correspondentes ao seu IdP para garantir que o SSO corporativo funcione em todos os domínios.

Atualizando URLs ACS de conectores de SSO corporativo baseados em SAML

Conectores corporativos baseados em SAML usam uma URL de Serviço Consumidor de Asserção (ACS) em vez de um URI de redirecionamento.

Passos:

  1. Navegue até Console > SSO Corporativo e selecione seu conector SAML.
  2. Na seção "Configurar no IdP", use o dropdown de domínio para alternar entre seus domínios personalizados.
  3. Copie a URL ACS para o domínio que deseja suportar.
  4. Adicione essas URLs ACS à configuração do seu provedor de identidade SAML.

Importante: O domínio que você selecionar determina para onde os usuários serão redirecionados após a autenticação SSO. Configure isso com base em qual domínio seu aplicativo espera receber a resposta SAML.

Passkey para MFA e login

Passkeys para autenticação multifatorial (MFA) e login com passkey estão vinculados ao domínio onde foram registrados. Os usuários devem fazer login pelo mesmo domínio para usar suas passkeys.

Limitação atual: O Logto ainda não suporta verificação de passkey entre domínios. Se um usuário registrar uma passkey em auth.us.example.com, ele deve fazer login por auth.us.example.com para usar essa passkey tanto para verificação MFA quanto para login com passkey. Uma passkey registrada em um domínio não pode ser usada ao fazer login por um domínio personalizado diferente.