Mengonfigurasi domain penerbit aplikasi

  • Artikel

Domain penerbit aplikasi memberi tahu pengguna di mana informasi mereka dikirim. Domain penerbit juga bertindak sebagai input atau prasyarat untuk verifikasi penerbit. Bergantung pada kapan aplikasi terdaftar dan status Verifikasi Penerbit, aplikasi akan ditampilkan langsung kepada pengguna pada permintaan persetujuan aplikasi. Domain penerbit aplikasi ditampilkan kepada pengguna (tergantung pada status Verifikasi Penerbit) pada UX persetujuan untuk memberi tahu pengguna di mana informasi mereka dikirim untuk dapat dipercaya.

Di permintaan persetujuan aplikasi, domain penerbit atau status verifikasi penerbit muncul. Informasi mana yang ditampilkan bergantung pada apakah aplikasi tersebut aplikasi multipenyewa, ketika aplikasi didaftarkan, dan status verifikasi penerbit aplikasi.

Memahami aplikasi multipenyewa

Aplikasi multipenyewa adalah aplikasi yang mendukung akun pengguna yang berada di luar direktori organisasi tunggal. Misalnya, aplikasi multipenyewa mungkin mendukung semua akun kerja atau sekolah Microsoft Entra, atau mungkin mendukung akun kerja atau sekolah Microsoft Entra dan akun Microsoft pribadi.

Memahami nilai domain penerbit default

Beberapa faktor menentukan nilai default yang diatur untuk domain penerbit aplikasi:

  • Apakah aplikasi terdaftar di penyewa.
  • Apakah penyewa memiliki domain yang diverifikasi penyewa.
  • Tanggal pendaftaran aplikasi.

Pendaftaran penyewa dan domain yang diverifikasi penyewa

Saat Anda mendaftarkan aplikasi baru, domain penerbit aplikasi Anda dapat diatur ke nilai default. Nilai default tergantung tempat aplikasi terdaftar. Nilai domain penerbit bergantung terutama pada apakah aplikasi terdaftar di penyewa dan apakah penyewa memiliki domain yang diverifikasi penyewa.

Jika aplikasi memiliki domain yang diverifikasi penyewa, domain penerbit aplikasi secara default adalah domain terverifikasi utama penyewa. Jika aplikasi tidak memiliki domain yang diverifikasi penyewa dan aplikasi tidak terdaftar di penyewa, domain penerbit default aplikasi adalah null.

Tabel berikut menggunakan skenario contoh untuk menjelaskan nilai default untuk domain penerbit:

Domain yang diverifikasi penyewa Nilai default dari domain penerbit
null null
*.onmicrosoft.com *.onmicrosoft.com
- *.onmicrosoft.com
- domain1.com
- domain2.com (utama)		 domain2.com

Tanggal pendaftaran aplikasi

Tanggal pendaftaran aplikasi juga menentukan nilai domain penerbit default aplikasi.

Jika aplikasi multipenyewa Anda terdaftar antara 21 Mei 2019, dan 30 November 2020:

  • Jika domain penerbit aplikasi tidak diatur, atau jika diatur ke domain yang diakhiri dengan .onmicrosoft.com, permintaan izin aplikasi akan menampilkan belum diverifikasi untuk nilai domain penerbit.
  • Jika aplikasi memiliki domain aplikasi terverifikasi, permintaan persetujuan akan menampilkan domain terverifikasi.
  • Jika aplikasi diverifikasi penerbit, domain penerbit akan menampilkan lencana terverifikasi berwarna biru yang menunjukkan statusnya.

Jika multipenyewa Anda terdaftar setelah 30 November 2020:

  • Jika aplikasi tidak diverifikasi penerbit, permintaan persetujuan untuk aplikasi akan menampilkan belum diverifikasi. Tidak ada informasi terkait domain penerbit yang muncul.
  • Jika aplikasi diverifikasi penerbit, permintaan persetujuan aplikasi akan menampilkan lencana terverifikasi berwarna biru.

Aplikasi yang dibuat sebelum 21 Mei 2019

Jika aplikasi Anda didaftarkan sebelum 21 Mei 2019, permintaan persetujuan aplikasi Anda akan menampilkan belum diverifikasi, meskipun Anda belum mengatur domain penerbit. Kami merekomendasikan Anda mengatur nilai domain penerbit sehingga pengguna dapat melihat informasi ini di permintaan persetujuan aplikasi Anda.

Mengatur domain penerbit di pusat admin Microsoft Entra

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Untuk mengatur domain penerbit untuk aplikasi Anda dengan menggunakan pusat admin Microsoft Entra:

  1. Masuk ke Pusat Admin Microsoft Entra.

  2. Jika Anda memiliki akses ke beberapa penyewa, gunakan ikon Pengaturan di kanan atas dan pilih penyewa tempat aplikasi terdaftar dari menu Direktori + langganan.

  3. Di pusat admin Microsoft Entra telusuri ke Aplikasi> Identitas>Pendaftaran aplikasi.

  4. Cari dan pilih aplikasi yang ingin Anda konfigurasi.

  5. Dalam Gambaran umum, dalam menu sumber daya di bawah Kelola, pilih Branding.

  6. Di Domain penerbit, pilih salah satu opsi berikut:

    • Jika Anda belum mengonfigurasi domain, pilih Konfigurasikan domain.
    • Jika Anda telah mengonfigurasi domain, pilih Perbarui domain.

  7. Jika aplikasi Anda terdaftar di penyewa, selanjutnya, pilih dari dua opsi:

    • Pilih domain terverifikasi
    • Memverifikasi domain baru

    Jika domain Anda tidak terdaftar di penyewa, Anda hanya akan melihat opsi untuk memverifikasi domain baru untuk aplikasi Anda.

Verifikasi domain baru untuk aplikasi Anda

Untuk memverifikasi domain penerbit baru untuk aplikasi Anda:

  1. Buat file bernama microsoft-identity-association.json. Salin JSON berikut dan tempelkan di file microsoft-identity-association.json:

    {
   "associatedApplications": [
      {
         "applicationId": "<your-app-id>"
      },
      {
         "applicationId": "<another-app-id>"
      }
   ]
 }

  2. Ganti <your-app-id> dengan ID aplikasi (klien) untuk aplikasi Anda. Gunakan semua ID aplikasi yang relevan jika Anda memverifikasi domain baru untuk beberapa aplikasi.

  3. Host file di https://<your-domain>.com/.well-known/microsoft-identity-association.json. Ganti <your-domain> dengan nama domain terverifikasi.

  4. Pilih Verifikasi dan simpan domain.

Anda tidak diharuskan untuk mempertahankan sumber daya yang digunakan untuk verifikasi setelah Anda memverifikasi domain. Setelah verifikasi selesai, Anda dapat menghapus file yang dihosting.

Pilih domain terverifikasi

Jika penyewa Anda memiliki domain terverifikasi, di dropdown Pilih domain terverifikasi, pilih salah satu domain.

Catatan

Konten akan ditafsirkan sebagai UTF-8 JSON untuk deserialisasi. Header yang didukung Content-Type yang harus mengembalikan adalah application/json, application/json; charset=utf-8, atau . Jika Anda menggunakan header lain, Anda mungkin melihat pesan kesalahan ini:

Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.

Mengonfigurasi domain penerbit memengaruhi apa yang dilihat pengguna di permintaan persetujuan aplikasi. Untuk informasi selengkapnya tentang komponen permintaan izin, lihat Memahami pengalaman persetujuan aplikasi.

Gambar berikut menunjukkan bagaimana domain penerbit muncul di permintaan persetujuan aplikasi untuk aplikasi yang dibuat sebelum 21 Mei 2019:

Diagram that shows consent prompt behavior for apps created before May 21, 2019.

Untuk aplikasi yang dibuat antara 21 Mei 2019 dan 30 November 2020, cara domain penerbit muncul di permintaan persetujuan aplikasi bergantung pada domain penerbit dan jenis aplikasi. Gambar berikut menjelaskan apa yang muncul pada permintaan persetujuan untuk berbagai kombinasi konfigurasi:

Diagram that shows consent prompt behavior for apps created between May 21, 2019, and November 30, 2020.

Untuk aplikasi multipenyewa yang dibuat setelah 30 November 2020, hanya status verifikasi penerbit yang ditampilkan di permintaan persetujuan aplikasi. Tabel berikut menjelaskan apa yang ditampilkan di permintaan persetujuan bergantung pada apakah aplikasi diverifikasi. Permintaan persetujuan untuk aplikasi penyewa tunggal tetap sama.

Diagram that shows consent prompt results for apps that were created after November 30, 2020.

Domain penerbit dan URI pengalihan

Aplikasi yang memasukkan pengguna dengan menggunakan akun kerja atau sekolah atau dengan menggunakan akun Microsoft (multipenyewa) tunduk pada beberapa batasan di URI pengalihan.

Pembatasan domain root tunggal

Saat nilai domain penerbit untuk aplikasi multipenyewa diatur ke null, aplikasi dibatasi untuk berbagi domain akar tunggal untuk URI pengalihan. Misalnya, kombinasi nilai berikut tidak diizinkan karena domain akar contoso.com tidak cocok dengan domain akar fabrikam.com.

"https://contoso.com",  
"https://fabrikam.com",

Pembatasan subdomain

Subdomain diperbolehkan, tetapi Anda harus secara eksplisit mendaftarkan domain root. Misalnya, meskipun URI berikut berbagi domain akar tunggal, kombinasi tersebut tidak diperbolehkan:

"https://app1.contoso.com",
"https://app2.contoso.com",

Namun jika pengembang secara eksplisit menambahkan domain akar, kombinasi diperbolehkan:

"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",

Pengecualian pembatasan

Kasus-kasus berikut ini tidak tunduk pada batasan domain root tunggal:

  • Aplikasi penyewa tunggal, atau aplikasi yang menargetkan akun dalam satu direktori.
  • Penggunaan localhost sebagai redirect URI.
  • URI pengalihan yang memiliki skema kustom (non-HTTP atau HTTPS).

Mengonfigurasi domain penerbit secara terprogram

Saat ini, Anda tidak dapat menggunakan REST API atau PowerShell untuk mengatur domain penerbit secara terprogram.

Langkah berikutnya