Configurare il dominio di pubblicazione di un'app

Il dominio dell'editore di un'app informa gli utenti della posizione in cui vengono inviate le informazioni. Il dominio del server di pubblicazione funge anche da input o prerequisito per la verifica dell'autore. A seconda della registrazione dell'app e dello stato della verifica dell'editore, l'app verrà visualizzata direttamente all'utente nella richiesta di consenso dell'applicazione. Il dominio dell'editore di un'applicazione viene visualizzato agli utenti (a seconda dello stato della verifica del server di pubblicazione) dell'esperienza utente di consenso per informare gli utenti della posizione in cui vengono inviate le informazioni per l'attendibilità.

Nella richiesta di consenso di un'app viene visualizzato il dominio dell'editore o lo stato di verifica dell'editore. Le informazioni visualizzate dipendono dal fatto che l'app sia un'app multi-tenant, quando l'app è stata registrata e lo stato di verifica dell'autore dell'app.

Informazioni sulle app multi-tenant

Un'app multi-tenant è un'app che supporta gli account utente esterni a una singola directory organizzativa. Ad esempio, un'app multi-tenant potrebbe supportare tutti gli account microsoft Entra aziendali o dell'istituto di istruzione oppure potrebbe supportare sia account Microsoft Entra aziendali che dell'istituto di istruzione e account Microsoft personali.

Informazioni sui valori di dominio predefiniti del server di pubblicazione

Diversi fattori determinano il valore predefinito impostato per il dominio di pubblicazione di un'app:

• Indica se l'app è registrata in un tenant.
• Indica se un tenant dispone di domini verificati dal tenant.
• Data di registrazione dell'app.

Registrazione del tenant e domini verificati dal tenant

Quando si registra una nuova app, il dominio di pubblicazione dell'app potrebbe essere impostato su un valore predefinito. Il valore predefinito dipende dalla posizione in cui è registrata l'app. Il valore del dominio di pubblicazione dipende in particolare dal fatto che l'app sia registrata in un tenant e se il tenant disponga di domini verificati dal tenant.

Se l'app dispone di domini verificati dal tenant, per impostazione predefinita il dominio di pubblicazione dell'app corrisponde al dominio verificato primario del tenant. Se l'app non dispone di domini verificati dal tenant e l'app non è registrata in un tenant, il dominio di pubblicazione predefinito dell'app è Null.

La tabella seguente usa scenari di esempio per descrivere i valori predefiniti per il dominio del server di pubblicazione:

Dominio verificato dal tenant	Valore predefinito del dominio di pubblicazione
Null	Null
*.onmicrosoft.com	*.onmicrosoft.com
- *.onmicrosoft.com - domain1.com - domain2.com (primario)	domain2.com

Data di registrazione dell'app

La data di registrazione di un'app determina anche i valori predefiniti del dominio di pubblicazione dell'app.

Se l'app multi-tenant è stata registrata tra il 21 maggio 2019 e il 30 novembre 2020:

• Se il dominio dell'editore dell'app non è impostato o se è impostato su un dominio che termina in .onmicrosoft.com, la richiesta di consenso dell'app mostra non verificato il valore del dominio di pubblicazione.
• Se l'app ha un dominio app verificato, la richiesta di consenso mostra il dominio verificato.
• Se l'app viene verificata dall'editore, il dominio dell'editore mostra una notifica blu verificata che indica lo stato.

Se il multi-tenant è stato registrato dopo il 30 novembre 2020:

• Se l'app non è verificata dall'autore, la richiesta di consenso per l'app viene visualizzata senza verifica. Non viene visualizzata alcuna informazione relativa al dominio dell'editore.
• Se l'app viene verificata dall'editore, la richiesta di consenso dell'app mostra una notifica blu verificata.

App create prima del 21 maggio 2019

Se l'app è stata registrata prima del 21 maggio 2019, la richiesta di consenso dell'app non viene verificata, anche se non è stato impostato un dominio di pubblicazione. È consigliabile impostare il valore del dominio di pubblicazione in modo che gli utenti possano visualizzare queste informazioni nella richiesta di consenso dell'app.

Impostare un dominio di pubblicazione nell'interfaccia di amministrazione di Microsoft Entra

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Per impostare un dominio di pubblicazione per l'app tramite l'interfaccia di amministrazione di Microsoft Entra:

1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

2. Se si ha accesso a più tenant, usare l'icona Impostazioni in alto a destra e selezionare il tenant in cui è registrata l'app dal menu Directory e sottoscrizioni.

3. Nell'interfaccia di amministrazione di Microsoft Entra passare a Applicazioni> di identità>Registrazioni app.

4. Cercare e selezionare l'app da configurare.

5. In Panoramica, nel menu delle risorse in Gestisci selezionare Personalizzazione.

6. In Dominio di pubblicazione selezionare una delle opzioni seguenti:

   • Se non è già stato configurato un dominio, selezionare Configura un dominio.
   • Se è stato configurato un dominio, selezionare Aggiorna dominio.

7. Se l'app è registrata in un tenant, selezionare tra due opzioni:

   • Selezionare un dominio verificato
   • Verificare un nuovo dominio

   Se il dominio non è registrato nel tenant, viene visualizzata solo l'opzione per verificare un nuovo dominio per l'app.

Verificare un nuovo dominio per l'app

Per verificare un nuovo dominio di pubblicazione per l'app:

1. Creare un file denominato microsoft-identity-association.json. Copiare il codice JSON seguente e incollarlo nel file microsoft-identity-association.json :

   {
      "associatedApplications": [
         {
            "applicationId": "<your-app-id>"
         },
         {
            "applicationId": "<another-app-id>"
         }
      ]
    }
   

2. Sostituire <your-app-id> con l'ID applicazione (client) per l'app. Usa tutti gli ID app pertinenti se stai verificando un nuovo dominio per più app.

3. Ospitare il file in https://<your-domain>.com/.well-known/microsoft-identity-association.json. Sostituire <your-domain> con il nome del dominio verificato.

4. Selezionare Verifica e salva dominio.

Non è necessario gestire le risorse usate per la verifica dopo aver verificato un dominio. Al termine della verifica, è possibile rimuovere il file ospitato.

Selezionare un dominio verificato

Se il tenant ha domini verificati, nell'elenco a discesa Selezionare un dominio verificato selezionare uno dei domini.

Nota

Il contenuto verrà interpretato come JSON UTF-8 per la deserializzazione. Le intestazioni supportate Content-Type che devono restituire sono application/json, application/json; charset=utf-8o . Se si usa un'altra intestazione, è possibile che venga visualizzato questo messaggio di errore:

Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.

Dominio del server di pubblicazione e richiesta di consenso dell'app

La configurazione del dominio di pubblicazione influisce sugli elementi visualizzati dagli utenti nella richiesta di consenso dell'app. Per altre informazioni sui componenti della richiesta di consenso, vedere Informazioni sull'esperienza di consenso dell'applicazione.

La figura seguente mostra come viene visualizzato il dominio di pubblicazione nelle richieste di consenso dell'app per le app create prima del 21 maggio 2019:

Per le app create tra il 21 maggio 2019 e il 30 novembre 2020, il modo in cui il dominio dell'editore viene visualizzato nella richiesta di consenso di un'app dipende dal dominio dell'editore e dal tipo di app. La figura seguente descrive cosa viene visualizzato nella richiesta di consenso per diverse combinazioni di configurazioni:

Per le app multi-tenant create dopo il 30 novembre 2020, nella richiesta di consenso di un'app viene visualizzato solo lo stato di verifica dell'editore. La tabella seguente descrive cosa viene visualizzato in una richiesta di consenso a seconda che un'app sia verificata. La richiesta di consenso per le app a tenant singolo rimane invariata.

URI di dominio e reindirizzamento del server di pubblicazione

Le app che consentono agli utenti di accedere usando qualsiasi account aziendale o dell'istituto di istruzione o usando un account Microsoft (multi-tenant) sono soggette a alcune restrizioni negli URI di reindirizzamento.

Restrizione del dominio radice singola

Quando il valore del dominio di pubblicazione per un'app multi-tenant è impostato su Null, l'app è limitata alla condivisione di un singolo dominio radice per gli URI di reindirizzamento. Ad esempio, la combinazione di valori seguente non è consentita perché il dominio contoso.com radice non corrisponde al dominio fabrikam.comradice.

"https://contoso.com",  
"https://fabrikam.com",

Restrizioni del sottodominio

I sottodomini sono consentiti, ma è necessario registrare in modo esplicito il dominio radice. Ad esempio, anche se gli URI seguenti condividono un singolo dominio radice, la combinazione non è consentita:

"https://app1.contoso.com",
"https://app2.contoso.com",

Tuttavia, se lo sviluppatore aggiunge in modo esplicito il dominio radice, la combinazione è consentita:

"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",

Eccezioni di restrizione

I casi seguenti non sono soggetti alla restrizione del singolo dominio radice:

• App o app a tenant singolo destinate agli account in una singola directory.
• Uso di localhost come URI di reindirizzamento.
• URI di reindirizzamento con schemi personalizzati (non HTTP o HTTPS).

Configurare il dominio del server di pubblicazione a livello di codice

Attualmente, non è possibile usare l'API REST o PowerShell per impostare a livello di codice un dominio di pubblicazione.

Passaggi successivi

• Scoprire come contrassegnare un'app come con autore verificato.
• Risolvere i problemi di verifica dell'autore.