Konfigurowanie domeny wydawcy aplikacji

  • Artykuł

Domena wydawcy aplikacji informuje użytkowników, gdzie są wysyłane ich informacje. Domena wydawcy działa również jako dane wejściowe lub wymagania wstępne dotyczące weryfikacji wydawcy. W zależności od tego, kiedy aplikacja została zarejestrowana i stan weryfikacji wydawcy, będzie ona wyświetlana bezpośrednio użytkownikowi w monicie zgody aplikacji. Domena wydawcy aplikacji jest wyświetlana użytkownikom (w zależności od stanu weryfikacji wydawcy) w środowisku użytkownika zgody, aby poinformować użytkowników, gdzie są wysyłane informacje o wiarygodności.

W wierszu zgody aplikacji zostanie wyświetlona domena wydawcy lub stan weryfikacji wydawcy. Wyświetlane informacje zależą od tego, czy aplikacja jest aplikacją wielodostępną, kiedy aplikacja została zarejestrowana, a stan weryfikacji wydawcy aplikacji.

Omówienie aplikacji wielodostępnych

Aplikacja wielodostępna to aplikacja, która obsługuje konta użytkowników spoza pojedynczego katalogu organizacyjnego. Na przykład aplikacja wielodostępna może obsługiwać wszystkie konta służbowe firmy Microsoft lub szkolne albo obsługiwać zarówno konta służbowe Firmy Microsoft, jak i osobiste konta Microsoft.

Informacje o domyślnych wartościach domeny wydawcy

Kilka czynników określa wartość domyślną ustawioną dla domeny wydawcy aplikacji:

  • Czy aplikacja jest zarejestrowana w dzierżawie.
  • Czy dzierżawa ma domeny zweryfikowane przez dzierżawę.
  • Data rejestracji aplikacji.

Rejestracja dzierżawy i domeny zweryfikowane przez dzierżawę

Podczas rejestrowania nowej aplikacji domena wydawcy aplikacji może być ustawiona na wartość domyślną. Wartość domyślna zależy od miejsca zarejestrowania aplikacji. Wartość domeny wydawcy zależy szczególnie od tego, czy aplikacja jest zarejestrowana w dzierżawie i czy dzierżawa ma domeny zweryfikowane przez dzierżawę.

Jeśli aplikacja ma domeny zweryfikowane przez dzierżawę, domena wydawcy aplikacji jest domyślnie ustawiona na podstawową zweryfikowaną domenę dzierżawy. Jeśli aplikacja nie ma domen zweryfikowanych przez dzierżawę, a aplikacja nie jest zarejestrowana w dzierżawie, domyślna domena wydawcy aplikacji ma wartość null.

W poniższej tabeli przedstawiono przykładowe scenariusze opisujące wartości domyślne dla domeny wydawcy:

Domena zweryfikowana przez dzierżawę Wartość domyślna domeny wydawcy
null null
*.onmicrosoft.com *.onmicrosoft.com
- *.onmicrosoft.com
- domain1.com
- domain2.com (podstawowy)		 domain2.com

Data rejestracji aplikacji

Data rejestracji aplikacji określa również domyślne wartości domeny wydawcy aplikacji.

Jeśli aplikacja wielodostępna została zarejestrowana między 21 maja 2019 r. a 30 listopada 2020 r.:

  • Jeśli domena wydawcy aplikacji nie jest ustawiona lub jeśli jest ustawiona na domenę, która kończy się na .onmicrosoft.com, monit zgody aplikacji wyświetla niezweryfikowane dla wartości domeny wydawcy.
  • Jeśli aplikacja ma zweryfikowaną domenę aplikacji, zostanie wyświetlony monit o wyrażenie zgody dla zweryfikowanej domeny.
  • Jeśli aplikacja jest zweryfikowana przez wydawcę, domena wydawcy wyświetla niebieski wskaźnik zweryfikowany, który wskazuje stan.

Jeśli multitenant został zarejestrowany po 30 listopada 2020 r.:

  • Jeśli aplikacja nie jest zweryfikowana przez wydawcę, zostanie wyświetlony monit o wyrażenie zgody dla aplikacji niezweryfikowany. Nie są wyświetlane żadne informacje związane z domeną wydawcy.
  • Jeśli aplikacja zostanie zweryfikowana przez wydawcę, w wierszu zgody aplikacji zostanie wyświetlony niebieski wskaźnik zweryfikowany.

Aplikacje utworzone przed 21 maja 2019 r.

Jeśli aplikacja została zarejestrowana przed 21 maja 2019 r., monit o wyrażenie zgody aplikacji będzie wyświetlany jako niezweryfikowany, nawet jeśli nie ustawiono domeny wydawcy. Zalecamy ustawienie wartości domeny wydawcy, aby użytkownicy mogli wyświetlać te informacje w monicie zgody aplikacji.

Ustawianie domeny wydawcy w centrum administracyjnym firmy Microsoft Entra

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Aby ustawić domenę wydawcy dla aplikacji przy użyciu centrum administracyjnego firmy Microsoft Entra:

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w prawym górnym rogu i wybierz dzierżawę, w której aplikacja jest zarejestrowana w menu Katalogi i subskrypcje.

  3. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Aplikacje> tożsamości>Rejestracje aplikacji.

  4. Wyszukaj i wybierz aplikację, którą chcesz skonfigurować.

  5. W obszarze Przegląd w menu zasobów w obszarze Zarządzaj wybierz pozycję Znakowanie.

  6. W domenie programu Publisher wybierz jedną z następujących opcji:

    • Jeśli domena nie została jeszcze skonfigurowana, wybierz pozycję Konfiguruj domenę.
    • Jeśli skonfigurowano domenę, wybierz pozycję Aktualizuj domenę.

  7. Jeśli aplikacja jest zarejestrowana w dzierżawie, wybierz elementy z dwóch opcji:

    • Wybieranie zweryfikowanej domeny
    • Weryfikowanie nowej domeny

    Jeśli domena nie jest zarejestrowana w dzierżawie, zostanie wyświetlona tylko opcja zweryfikowania nowej domeny aplikacji.

Weryfikowanie nowej domeny dla aplikacji

Aby zweryfikować nową domenę wydawcy dla aplikacji:

  1. Utwórz plik o nazwie microsoft-identity-association.json. Skopiuj następujący kod JSON i wklej go w pliku microsoft-identity-association.json :

    {
   "associatedApplications": [
      {
         "applicationId": "<your-app-id>"
      },
      {
         "applicationId": "<another-app-id>"
      }
   ]
 }

  2. Zastąp <your-app-id> ciąg identyfikatorem aplikacji (klienta) aplikacji. Użyj wszystkich odpowiednich identyfikatorów aplikacji, jeśli weryfikujesz nową domenę dla wielu aplikacji.

  3. Hostuj plik pod adresem https://<your-domain>.com/.well-known/microsoft-identity-association.json. Zastąp <your-domain> ciąg nazwą zweryfikowanej domeny.

  4. Wybierz pozycję Weryfikuj i zapisz domenę.

Nie musisz utrzymywać zasobów używanych do weryfikacji po zweryfikowaniu domeny. Po zakończeniu weryfikacji można usunąć hostowany plik.

Wybieranie zweryfikowanej domeny

Jeśli dzierżawa ma zweryfikowane domeny, na liście rozwijanej Wybierz zweryfikowaną domenę wybierz jedną z domen.

Uwaga

Zawartość będzie interpretowana jako kod JSON UTF-8 na potrzeby deserializacji. Obsługiwane Content-Type nagłówki, które powinny zwracać, to application/json, application/json; charset=utf-8lub . Jeśli używasz innego nagłówka, może zostać wyświetlony następujący komunikat o błędzie:

Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.

Skonfigurowanie domeny wydawcy wpływa na to, co użytkownicy widzą w wierszu zgody aplikacji. Aby uzyskać więcej informacji na temat składników monitu o wyrażenie zgody, zobacz Omówienie środowiska zgody aplikacji.

Na poniższej ilustracji przedstawiono sposób wyświetlania domeny wydawcy w monitach o wyrażenie zgody aplikacji dla aplikacji utworzonych przed 21 maja 2019 r.:

Diagram that shows consent prompt behavior for apps created before May 21, 2019.

W przypadku aplikacji utworzonych od 21 maja 2019 r. do 30 listopada 2020 r. sposób wyświetlania domeny wydawcy w monicie zgody aplikacji zależy od domeny wydawcy i typu aplikacji. Na poniższej ilustracji opisano, co pojawia się w wierszu zgody dla różnych kombinacji konfiguracji:

Diagram that shows consent prompt behavior for apps created between May 21, 2019, and November 30, 2020.

W przypadku wielodostępnych aplikacji utworzonych po 30 listopada 2020 r. w wierszu zgody aplikacji jest wyświetlany tylko stan weryfikacji wydawcy. W poniższej tabeli opisano, co pojawia się w wierszu zgody w zależności od tego, czy aplikacja została zweryfikowana. Monit o wyrażenie zgody dla aplikacji z jedną dzierżawą pozostaje taki sam.

Diagram that shows consent prompt results for apps that were created after November 30, 2020.

Identyfikatory URI domeny i przekierowania wydawcy

Aplikacje logujące użytkowników przy użyciu dowolnego konta służbowego lub konta Microsoft (wielodostępnego) podlegają kilku ograniczeniom w identyfikatorach URI przekierowania.

Ograniczenie pojedynczej domeny głównej

Gdy wartość domeny wydawcy dla aplikacji wielodostępnej ma wartość null, aplikacja jest ograniczona do udostępniania pojedynczej domeny głównej dla identyfikatorów URI przekierowania. Na przykład następująca kombinacja wartości nie jest dozwolona, ponieważ domena contoso.com główna nie jest zgodna z domeną fabrikam.comgłówną .

"https://contoso.com",  
"https://fabrikam.com",

Ograniczenia poddomeny

Poddomeny są dozwolone, ale musisz jawnie zarejestrować domenę główną. Na przykład, mimo że następujące identyfikatory URI współużytkuje pojedynczą domenę główną, kombinacja nie jest dozwolona:

"https://app1.contoso.com",
"https://app2.contoso.com",

Jeśli jednak deweloper jawnie dodaje domenę główną, kombinacja jest dozwolona:

"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",

Wyjątki ograniczeń

Następujące przypadki nie podlegają ograniczeniu pojedynczej domeny głównej:

  • Aplikacje lub aplikacje z jedną dzierżawą przeznaczone dla kont w jednym katalogu.
  • Użyj hosta lokalnego jako identyfikatorów URI przekierowania.
  • Identyfikatory URI przekierowania z niestandardowymi schematami (bez protokołu HTTP lub HTTPS).

Programowe konfigurowanie domeny wydawcy

Obecnie nie można programowo ustawić domeny wydawcy przy użyciu interfejsu API REST ani programu PowerShell.

Następne kroki