Pular para o conteúdo principal

Domínios personalizados

nota:

Alterar o domínio após publicar seu serviço pode causar problemas porque o código do seu aplicativo e integrações podem ainda referenciar o domínio antigo. Para garantir uma transição tranquila, recomendamos configurar seus domínios personalizados no início durante a criação do tenant de Produção.

Seu tenant Logto vem com um domínio padrão gratuito {{tenant-id}}.app.logto. No entanto, você pode elevar a experiência do usuário e o reconhecimento da sua marca usando domínios personalizados, como auth.example.com.

Seus domínios personalizados são usados para várias funções:

Múltiplos domínios personalizados

O Logto agora suporta a configuração de múltiplos domínios personalizados para um único tenant, tornando sua página de login acessível a partir de mais de um domínio de marca.

Limites por plano:

  • Tenant de desenvolvimento: Adicione até 2 domínios personalizados gratuitamente (para fins de teste)
  • Plano gratuito: Adicione 1 domínio personalizado sem custo
  • Plano Pro: Inclui 1 domínio personalizado, com possibilidade de adicionar até 10 domínios personalizados no total através de complementos
  • Plano Enterprise: Para mais de 10 domínios personalizados ou requisitos personalizados, por favor entre em contato conosco

Veja a tabela de preços do Logto para informações detalhadas.

Com múltiplos domínios personalizados, você pode:

  • Usar domínios diferentes para várias regiões, localidades, aplicativos, organizações ou domínios de topo
  • Construir confiança mantendo uma experiência de marca consistente antes e depois do login
  • Oferecer experiências de autenticação específicas por região ou marca através da UI personalizada

Configurar domínios personalizados no Console

Para adicionar um novo domínio personalizado no Logto Console, siga estes passos:

  1. Navegue até Console > Configurações > Domínios.

  2. Na seção "Adicionar um domínio personalizado", insira seu subdomínio (ex: auth.example.com, auth.us.example.com) e clique em "adicionar domínio".

    Adicionar domínio

  3. Copie o valor CNAME domains.logto.app na tabela e vá até o provedor de DNS do seu domínio para adicionar o registro.

    Processando domínio personalizado

  4. Aguarde o processo de verificação e SSL.

    1. Verificaremos automaticamente seus registros a cada 10 segundos até que o domínio personalizado seja adicionado. Apenas certifique-se de que o nome do domínio inserido ou os registros DNS estejam corretos.
    2. A verificação normalmente leva alguns minutos, mas pode levar até 24 horas, dependendo do provedor de DNS. Sinta-se à vontade para navegar para outras páginas durante o processo.

Para adicionar múltiplos domínios personalizados, basta repetir os passos acima para cada domínio que deseja configurar.

Solução de problemas

Problemas com certificado SSL

Se você encontrar problemas com o certificado SSL ao configurar seu domínio personalizado, isso pode estar relacionado a registros CAA na configuração do seu DNS. Registros CAA especificam quais Autoridades Certificadoras (CAs) estão autorizadas a emitir certificados para seu domínio. Se você estiver usando registros CAA, será necessário autorizar tanto "letsencrypt.org" quanto "pki.goog" para que o Logto possa emitir certificados SSL.

Para solucionar e resolver problemas de certificado SSL relacionados a registros CAA, consulte a documentação da Cloudflare sobre registros CAA.

Erro "The hostname is associated with a held zone"

Se você encontrar a mensagem de erro "The hostname is associated with a held zone, please contact the owner to have the hold removed" ao adicionar um domínio personalizado, isso significa que o domínio já está em uma zona Cloudflare, e está definido como status "Zone Hold". Veja esta documentação da Cloudflare para mais informações.

Para resolver esse problema, será necessário liberar o "zone hold". Siga o link acima para instruções de como liberar o "zone hold" na Cloudflare.

Tempo de conexão esgotado (Erro 522) para domínio hospedado na Cloudflare

Se seu domínio está hospedado na Cloudflare, desative o proxy da Cloudflare para o registro CNAME.

Erro "Redirect URI does not match" após configurar domínio personalizado

Se você receber um erro "redirect URI does not match" após adicionar seu domínio personalizado, será necessário atualizar a configuração do seu SDK para usar o domínio personalizado como endpoint.

Sobre "domínio primário":

Não existe uma configuração separada de "domínio primário" no Logto. Após adicionar um domínio personalizado, tanto seu domínio personalizado quanto o domínio padrão {tenant-id}.logto.app permanecem válidos. O domínio que você configurar no parâmetro endpoint do seu SDK determina qual domínio será usado nos fluxos de autenticação.

Solução:

Atualize o parâmetro endpoint na inicialização do seu SDK para usar seu domínio personalizado:

const client = new LogtoClient({
  endpoint: 'https://auth.example.com', // Use seu domínio personalizado
  appId: 'your-app-id',
  // ... outras opções
});

Também verifique se as URIs de redirecionamento registradas em Console → Aplicativos correspondem ao domínio que você está usando.

Nota: O Logto provisiona e gerencia automaticamente certificados SSL para seu domínio personalizado. Você não precisa configurar seus próprios certificados.

Usar domínios personalizados

Depois de configurar suas definições, tanto o nome do seu domínio personalizado quanto o nome do domínio padrão Logto estarão disponíveis para seu tenant. No entanto, certas configurações são necessárias para ativar seu domínio personalizado.

nota:

Neste artigo, assumimos que seu domínio personalizado é auth.example.com.

Atualizando o endpoint do SDK para aplicativos

Altere seu código de inicialização do SDK do Logto modificando o nome do domínio do endpoint.

const client = new LogtoClient({
  ...,// outras opções
  endpoint: 'https://auth.example.com',
});

Na página de detalhes do seu aplicativo em Console > Aplicativos, role até a seção "Endpoints & Credenciais". Altere o domínio no menu suspenso para visualizar e copiar os endpoints correspondentes para atualizar as configurações do seu aplicativo.

Modificando endpoints de autenticação para outros aplicativos

Se você possui aplicativos que não utilizam o SDK do Logto, é necessário atualizar seus endpoints de autenticação.

Você pode localizar os endpoints de autenticação na URL well-known:

https://auth.example.com/oidc/.well-known/openid-configuration

Atualizando URIs de redirecionamento de conectores sociais

Conectores sociais usam o protocolo OIDC/OAuth. Quando os usuários fazem login por um domínio personalizado, a URI de redirecionamento usará automaticamente esse domínio personalizado. Você precisa atualizar a URI de redirecionamento no console do desenvolvedor do seu provedor social.

Passos:

  1. Navegue até Console > Conectores > Conectores Sociais e selecione seu conector.
  2. Copie a URI de redirecionamento exibida nos detalhes do conector. O Logto lista todas as URIs de redirecionamento disponíveis para seus domínios personalizados configurados.
  3. Adicione essa URI de redirecionamento no console do desenvolvedor do seu provedor social (ex: Google, GitHub, Facebook).

Para múltiplos domínios personalizados:

  • Adicione todas as URIs de redirecionamento para cada domínio personalizado que você configurou. Isso garante que o login social funcione independentemente de qual domínio os usuários acessam.
  • O domínio padrão do Logto (*.logto.app) permanece válido. Inclua-o apenas se quiser permitir logins também pelo domínio padrão.
  • Para o conector do GitHub, utilize GitHub Apps em vez de aplicativos OAuth configurados no painel do GitHub, pois GitHub Apps suportam múltiplas URIs de redirecionamento. Aplicativos OAuth suportam apenas uma URI de redirecionamento.

Atualizando URIs de redirecionamento de conectores de SSO corporativo baseados em OIDC

Conectores corporativos baseados em OIDC seguem o mesmo padrão dos conectores sociais.

Passos:

  1. Navegue até Console > SSO Corporativo e selecione seu conector OIDC.
  2. Copie as URIs de redirecionamento dos detalhes do conector. O Logto lista todas as URIs de redirecionamento disponíveis para seus domínios personalizados configurados.
  3. Atualize a URI de redirecionamento nas configurações do seu provedor de identidade (IdP).

Para múltiplos domínios personalizados: Adicione todas as URIs de redirecionamento correspondentes ao seu IdP para garantir que o SSO corporativo funcione em todos os domínios.

Atualizando URLs ACS de conectores de SSO corporativo baseados em SAML

Conectores corporativos baseados em SAML usam uma URL de Serviço Consumidor de Asserção (ACS) em vez de uma URI de redirecionamento.

Passos:

  1. Navegue até Console > SSO Corporativo e selecione seu conector SAML.
  2. Na seção "Configurar no IdP", use o menu suspenso de domínio para alternar entre seus domínios personalizados.
  3. Copie a URL ACS para o domínio que deseja suportar.
  4. Adicione essas URLs ACS à configuração do seu provedor de identidade SAML.

Importante: O domínio selecionado determina para onde os usuários serão redirecionados após a autenticação SSO. Configure isso com base em qual domínio seu aplicativo espera receber a resposta SAML.

Passkey para MFA

Passkeys para autenticação multifatorial (MFA) são vinculadas ao domínio onde foram registradas. Os usuários devem fazer login pelo mesmo domínio para usar suas Passkeys.

Limitação atual: O Logto ainda não suporta verificação de Passkey entre domínios. Se um usuário registrar uma Passkey em auth.us.example.com, ele deve fazer login por auth.us.example.com para usar essa Passkey para autenticação. A Passkey registrada em um domínio não pode ser usada ao fazer login por outro domínio personalizado.