Dominios personalizados
Cambiar el dominio después de publicar tu servicio puede causar problemas porque el código de tu aplicación y las integraciones podrían seguir haciendo referencia al dominio anterior. Para garantizar una transición sin problemas, recomendamos configurar tus dominios personalizados al principio durante la creación del tenant de Producción.
Tu tenant de Logto viene con un dominio gratuito predeterminado {{tenant-id}}.app.logto. Sin embargo, puedes mejorar la experiencia de usuario y el reconocimiento de tu marca utilizando dominios personalizados, como auth.example.com.
Tus dominios personalizados se utilizan para varias funciones:
- URLs de la página de inicio de sesión y registro
- URIs de callback para conectores sociales o conectores SSO empresariales.
- URLs de vinculación de Passkey (Cambiar el dominio después de que los usuarios hayan vinculado Passkeys puede bloquear su autenticación).
- Endpoint del SDK para integrar Logto con tu aplicación.
Múltiples dominios personalizados
Logto ahora admite la configuración de múltiples dominios personalizados para un solo tenant, haciendo que tu página de inicio de sesión sea accesible desde más de un dominio de marca.
Límites según el plan:
- Tenant de desarrollo: Añade hasta 2 dominios personalizados gratis (para pruebas)
- Plan gratuito: Añade 1 dominio personalizado sin costo
- Plan Pro: Añade 1 dominio personalizado incluido, con la posibilidad de añadir hasta 10 dominios personalizados en total mediante complementos
- Plan Enterprise: Para más de 10 dominios personalizados o requisitos especiales, por favor contáctanos
Consulta la tabla de precios de Logto para información detallada.
Con múltiples dominios personalizados, puedes:
- Usar diferentes dominios para varias regiones, idiomas, aplicaciones, organizaciones o dominios de nivel superior
- Generar confianza manteniendo una experiencia de marca coherente antes y después del inicio de sesión
- Proporcionar experiencias de autenticación específicas por región o marca mediante UI personalizada
Configurar dominios personalizados en la Consola
Para añadir un nuevo dominio personalizado en la Consola de Logto, sigue estos pasos:
-
Navega a Consola > Configuración > Dominios.
-
En la sección "Añadir un dominio personalizado", ingresa tu subdominio (por ejemplo,
auth.example.com,auth.us.example.com) y haz clic en "añadir dominio".
-
Copia el valor CNAME
domains.logto.appde la tabla y ve al proveedor DNS de tu dominio para añadir el registro.
-
Espera la verificación y el proceso SSL.
- Verificaremos automáticamente tus registros cada 10 segundos hasta que se añada el dominio personalizado. Solo asegúrate de que el nombre de dominio ingresado o los registros DNS sean correctos.
- La verificación normalmente toma unos minutos, pero puede tardar hasta 24 horas, dependiendo del proveedor DNS. Puedes navegar fuera durante el proceso.
Para añadir múltiples dominios personalizados, simplemente repite los pasos anteriores para cada dominio que desees configurar.
Solución de problemas
Problemas con el certificado SSL
Si encuentras problemas con el certificado SSL al configurar tu dominio personalizado, puede estar relacionado con los registros CAA en tu configuración DNS. Los registros CAA especifican qué Autoridades Certificadoras (CAs) están autorizadas para emitir certificados para tu dominio. Si usas registros CAA, deberás autorizar tanto "letsencrypt.org" como "pki.goog" para que Logto pueda emitir certificados SSL.
Para solucionar y resolver problemas de certificados SSL relacionados con registros CAA, consulta la documentación de Cloudflare sobre registros CAA.
Error "The hostname is associated with a held zone"
Si encuentras el mensaje de error "The hostname is associated with a held zone, please contact the owner to have the hold removed" al añadir un dominio personalizado, significa que el dominio ya está en una zona de Cloudflare y está configurado con el estado "Zone Hold". Consulta esta documentación de Cloudflare para más información.
Para resolver este problema, deberás liberar el "zone hold". Sigue el enlace anterior para instrucciones sobre cómo liberar el "zone hold" en Cloudflare.
Tiempo de conexión agotado (Error code 522) para dominio alojado en Cloudflare
Si tu dominio está alojado en Cloudflare, desactiva el proxy de Cloudflare para el registro CNAME.
Error "Redirect URI does not match" después de configurar el dominio personalizado
Si recibes un error "redirect URI does not match" después de añadir tu dominio personalizado, necesitas actualizar la configuración de tu SDK para usar el dominio personalizado como endpoint.
Sobre el "dominio principal":
No existe una configuración separada de "dominio principal" en Logto. Después de añadir un dominio personalizado, tanto tu dominio personalizado como el dominio predeterminado {tenant-id}.logto.app siguen siendo válidos. El dominio que configures en el parámetro endpoint de tu SDK determina cuál se usará para los flujos de autenticación.
Solución:
Actualiza el parámetro endpoint en la inicialización de tu SDK para usar tu dominio personalizado:
const client = new LogtoClient({
endpoint: 'https://auth.example.com', // Usa tu dominio personalizado
appId: 'your-app-id',
// ... otras opciones
});
Verifica también que las URIs de redirección registradas en Consola → Aplicaciones coincidan con el dominio que estás utilizando.
Nota: Logto aprovisiona y gestiona automáticamente los certificados SSL para tu dominio personalizado. No necesitas configurar tus propios certificados.
Usar dominios personalizados
Una vez que hayas configurado tus ajustes, tanto tu nombre de dominio personalizado como el nombre de dominio predeterminado de Logto estarán disponibles para tu tenant. Sin embargo, se requieren ciertas configuraciones para activar tu nombre de dominio personalizado.
En este artículo, asumimos que tu dominio personalizado es auth.example.com.
Actualizar el endpoint del SDK para aplicaciones
Modifica tu código de inicialización para el SDK de Logto cambiando el nombre de dominio del endpoint.
const client = new LogtoClient({
...,// otras opciones
endpoint: 'https://auth.example.com',
});
En la página de detalles de tu aplicación en Consola > Aplicaciones, desplázate a la sección "Endpoints y Credenciales". Cambia el dominio en el desplegable para ver y copiar los endpoints correspondientes para actualizar la configuración de tu aplicación.
Modificar los endpoints de autenticación para otras aplicaciones
Si tienes aplicaciones que no usan el SDK de Logto, es necesario actualizar sus endpoints de autenticación.
Puedes encontrar los endpoints de autenticación en la URL well-known:
https://auth.example.com/oidc/.well-known/openid-configuration
Actualizar las URIs de redirección de conectores sociales
Los conectores sociales utilizan el protocolo OIDC/OAuth. Cuando los usuarios inician sesión a través de un dominio personalizado, la URI de redirección usará automáticamente ese dominio personalizado. Debes actualizar la URI de redirección en la consola de desarrollador de tu proveedor social.
Pasos:
- Navega a Consola > Conectores > Conectores Sociales y selecciona tu conector.
- Copia la URI de redirección que aparece en los detalles del conector. Logto muestra todas las URIs de redirección disponibles para tus dominios personalizados configurados.
- Añade esta URI de redirección en la consola de desarrollador de tu proveedor social (por ejemplo, Google, GitHub, Facebook).
Para múltiples dominios personalizados:
- Añade todas las URIs de redirección para cada dominio personalizado que hayas configurado. Esto asegura que el inicio de sesión social funcione sin importar a qué dominio accedan los usuarios.
- El dominio predeterminado de Logto (
*.logto.app) sigue siendo válido. Inclúyelo solo si también deseas admitir inicios de sesión a través del dominio predeterminado. - Para el conector de GitHub, utiliza GitHub Apps en lugar de aplicaciones OAuth configuradas en el panel de GitHub, ya que GitHub Apps admite múltiples URIs de redirección. Las aplicaciones OAuth solo admiten una URI de redirección.
Actualizar las URIs de redirección de conectores SSO empresariales basados en OIDC
Los conectores empresariales basados en OIDC siguen el mismo patrón que los conectores sociales.
Pasos:
- Navega a Consola > SSO Empresarial y selecciona tu conector OIDC.
- Copia las URIs de redirección de los detalles del conector. Logto muestra todas las URIs de redirección disponibles para tus dominios personalizados configurados.
- Actualiza la URI de redirección en la configuración de tu proveedor de identidad (IdP).
Para múltiples dominios personalizados: Añade todas las URIs de redirección correspondientes en tu IdP para asegurar que el SSO empresarial funcione en todos los dominios.
Actualizar las URLs ACS de conectores SSO empresariales basados en SAML
Los conectores empresariales basados en SAML utilizan una URL de Servicio de Consumidor de Aserciones (ACS) en lugar de una URI de redirección.
Pasos:
- Navega a Consola > SSO Empresarial y selecciona tu conector SAML.
- En la sección "Configurar en el IdP", usa el desplegable de dominio para cambiar entre tus dominios personalizados.
- Copia la URL ACS para el dominio que deseas admitir.
- Añade estas URLs ACS a la configuración de tu proveedor de identidad SAML.
Importante: El dominio que selecciones determina a dónde se redirige a los usuarios después de la autenticación SSO. Configura esto según el dominio en el que tu aplicación espera recibir la respuesta SAML.
Passkey para MFA
Los Passkeys para autenticación multifactor (MFA) están vinculados al dominio donde fueron registrados. Los usuarios deben iniciar sesión a través del mismo dominio para usar sus Passkeys.
Limitación actual: Logto aún no admite la verificación de Passkey entre dominios. Si un usuario registra un Passkey en auth.us.example.com, debe iniciar sesión a través de auth.us.example.com para usar ese Passkey para autenticarse. El Passkey registrado en un dominio no puede usarse al iniciar sesión a través de un dominio personalizado diferente.