Configuración del dominio de editor de una aplicación

  • Artículo

El dominio del publicador de una aplicación informa a los usuarios acerca de dónde se envía su información. El dominio del publicador también actúa como entrada o requisito previo para la comprobación del publicador. En función de cuándo se registró la aplicación y del estado de la comprobación del editor, se podría mostrar directamente al usuario en la solicitud de consentimiento de la aplicación. El dominio del editor de una aplicación se muestra a los usuarios (según el estado de comprobación del editor) en la experiencia de usuario de consentimiento para que los usuarios sepan dónde se envía su información con fines de confiabilidad.

En la solicitud de consentimiento de una aplicación, aparece el dominio del publicador o el estado de comprobación del publicador. La información que se muestra depende de si la aplicación es una aplicación multiinquilino, cuándo se registró la aplicación y el estado de comprobación del publicador de la aplicación.

Descripción de las aplicaciones multiinquilino

Una aplicación multiinquilino es una aplicación que admite cuentas de usuario que están fuera de un único directorio organizativo. Por ejemplo, una aplicación multiinquilino podría admitir todas las cuentas profesionales o educativas de Microsoft Entra, o podría admitir cuentas profesionales o educativas de Microsoft Entra y cuentas Microsoft personales.

Descripción de los valores predeterminados del dominio del publicador

Varios factores determinan el valor predeterminado establecido para el dominio de publicador de una aplicación:

  • Si la aplicación está registrada en un inquilino.
  • Si un inquilino tiene dominios comprobados por el inquilino.
  • Fecha de registro de la aplicación.

Registro de inquilinos y dominios comprobados por el inquilino

Al registrar una aplicación nueva, el dominio del publicador de la aplicación se puede establecer en un valor predeterminado. El valor predeterminado depende de dónde esté registrada la aplicación. El valor del dominio del publicador depende especialmente de si la aplicación está registrada en un inquilino y de si el inquilino tiene dominios comprobados por el inquilino.

Si la aplicación tiene dominios comprobados por el inquilino, el dominio del publicador de la aplicación tendrá como valor predeterminado el dominio comprobado principal del inquilino. Si la aplicación no tiene dominios comprobados por el inquilino y la aplicación no está registrada en un inquilino, el dominio del publicador predeterminado de la aplicación es NULL.

En la tabla siguiente, se usan escenarios de ejemplo para describir los valores predeterminados para el dominio del publicador:

Dominio comprobado por el inquilino Valor predeterminado de dominio de editor
null null
*.onmicrosoft.com *.onmicrosoft.com
- *.onmicrosoft.com
- domain1.com
- domain2.com (principal)		 domain2.com

Fecha de registro de la aplicación

La fecha de registro de una aplicación también determina los valores predeterminados del dominio del publicador de la aplicación.

Si la aplicación multiinquilino se registró entre el 21 de mayo de 2019 y el 30 de noviembre de 2020:

  • Si no se ha establecido el dominio del publicador de la aplicación, o si se ha establecido en un dominio que termina en .onmicrosoft.com, en la solicitud de consentimiento de la aplicación aparecerá el texto no comprobado como valor del dominio del publicador.
  • Si la aplicación tiene un dominio de aplicación comprobado, la solicitud de consentimiento muestra el dominio comprobado.
  • Si se ha comprobado el publicador de la aplicación, el dominio del publicador muestra un distintivo de comprobado azul que indica el estado.

Si el multiinquilino se registró después del 30 de noviembre de 2020:

  • Si la aplicación no está comprobada por el publicador, la solicitud de consentimiento de la aplicación muestra no comprobado. No aparece información relacionada con el dominio del publicador.
  • Si la aplicación está comprobada por el publicador, la solicitud de consentimiento de la aplicación muestra un distintivo de comprobado azul.

Aplicaciones creadas antes del 21 de mayo de 2019

Si la aplicación se ha registrado antes del 21 de mayo de 2019, la solicitud de consentimiento de la aplicación mostrará el texto no comprobado aunque no haya establecido un dominio del publicador. Le recomendamos que establezca el valor del dominio del publicador para que los usuarios puedan ver esta información en la solicitud de consentimiento de la aplicación.

Establecimiento de un dominio de publicador en el Centro de administración de Microsoft Entra

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Para establecer un dominio de publicador para la aplicación mediante el Centro de administración de Microsoft Entra:

  1. Inicie sesión en el centro de administración de Microsoft Entra.

  2. Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino que contiene el registro de la aplicación desde el menú Directorios y suscripciones.

  3. En el centro de administración de Microsoft Entra, vaya a Identidad>aplicaciones>Registros de aplicaciones.

  4. Busque y seleccione la aplicación que desea configurar.

  5. En Información general, en el menú de recursos, en Administrar, seleccione Personalización de marca.

  6. En Dominio del publicador, seleccione una de las opciones siguientes:

    • Seleccione Configurar un dominio si aún no ha configurado un dominio.
    • Si ha configurado un dominio, seleccione Actualizar dominio.

  7. Si la aplicación está registrada en un inquilino, seleccione entre dos opciones:

    • Seleccionar un dominio verificado
    • Verificar un nuevo dominio

    Si el dominio no está registrado en el inquilino, solo aparece la opción para comprobar un dominio nuevo para la aplicación.

Comprobación de un dominio nuevo para la aplicación

Para comprobar un nuevo del publicador para la aplicación:

  1. Cree un archivo llamado microsoft-identity-association.json. Copie el siguiente código JSON y péguelo en el archivo microsoft-identity-association.json:

    {
   "associatedApplications": [
      {
         "applicationId": "<your-app-id>"
      },
      {
         "applicationId": "<another-app-id>"
      }
   ]
 }

  2. Reemplace <your-app-id> por el identificador de aplicación(cliente) de la aplicación. Use todos los identificadores de aplicación pertinentes si está va a comprobar un nuevo dominio para varias aplicaciones.

  3. Hospede el archivo en https://<your-domain>.com/.well-known/microsoft-identity-association.json. Reemplace <your-domain> por el nombre del dominio comprobado.

  4. Seleccione Verificar y guardar dominio.

No es necesario mantener los recursos que se han usado para la comprobación una vez comprobado un dominio. Una vez finalizada la comprobación, puede eliminar el archivo hospedado.

Selección de un dominio comprobado

Si el inquilino ha comprobado dominios, seleccione uno de los dominios en la lista desplegable Seleccionar un dominio verificado.

Nota

El contenido se interpretará como JSON UTF-8 para la deserialización. Los encabezados admitidos Content-Type que deben devolverse son application/json, application/json; charset=utf-8 o . Si usa cualquier otro encabezado, podría aparecer este mensaje de error:

Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.

La configuración del dominio del publicador influye en lo que los usuarios ven en la solicitud de consentimiento de la aplicación. Para más información sobre los componentes de la solicitud de consentimiento, consulte Descripción de las experiencias de consentimiento de la aplicación de Azure AD.

En la ilustración siguiente, se muestra cómo aparece el dominio del publicador en las solicitudes de consentimiento de la aplicación para las aplicaciones que se crearon antes del 21 de mayo de 2019:

Diagram that shows consent prompt behavior for apps created before May 21, 2019.

En el caso de las aplicaciones creadas entre el 21 de mayo de 2019 y el 30 de noviembre de 2020, la forma en la que aparece el dominio del publicador en la solicitud de consentimiento de una aplicación depende del dominio del publicador y del tipo de aplicación. En la ilustración siguiente, se describe lo que se muestra en la solicitud de consentimiento según las diferentes combinaciones de configuraciones:

Diagram that shows consent prompt behavior for apps created between May 21, 2019, and November 30, 2020.

En el caso de las aplicaciones multiinquilino creadas después del 30 de noviembre de 2020, solo se muestra el estado de comprobación del publicador en la solicitud de consentimiento de una aplicación. En la tabla siguiente, se describe lo que se muestra en una solicitud de consentimiento en función de si una aplicación está comprobada. La solicitud de consentimiento de las aplicaciones de un solo inquilino sigue siendo la misma.

Diagram that shows consent prompt results for apps that were created after November 30, 2020.

Dominio del publicador e identificadores URI de redirección

Las aplicaciones que inician la sesión de los usuarios mediante cualquier cuenta profesional o educativa o mediante una cuenta Microsoft (multiinquilino) están sujetas a algunas restricciones en los identificadores URI de redirección.

Restricción de dominio de raíz único

Cuando se establece en NULL el valor del dominio del publicador de una aplicación multiinquilino, la aplicación está restringida a compartir un dominio raíz único para los identificadores URI de redirección. Por ejemplo, no se permite la siguiente combinación de valores porque el dominio raíz contoso.com no coincide con dominio raíz fabrikam.com.

"https://contoso.com",  
"https://fabrikam.com",

Restricciones de subdominio

Se permiten los subdominios, pero debe registrar explícitamente el dominio raíz. Por ejemplo, aunque los identificadores URI siguientes comparten un dominio raíz único, no se permite la combinación:

"https://app1.contoso.com",
"https://app2.contoso.com",

Sin embargo, si el desarrollador agrega explícitamente el dominio raíz, se permite la combinación:

"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",

Excepciones de la restricción

Los casos siguientes no están sujetos a la restricción de dominio de raíz único:

  • Aplicaciones de inquilino único o destinadas a cuentas de un único directorio.
  • Uso de localhost como identificadores URI de redirección.
  • Identificadores URI de redirección con esquemas personalizados (ni HTTP ni HTTPS).

Configuración el dominio de editor mediante programación

Actualmente, no se pueden usar la API REST ni PowerShell para establecer mediante programación un dominio del publicador.

Pasos siguientes