Configuración del dominio de editor de una aplicación

El dominio de editor de una aplicación se muestra a los usuarios en la petición de consentimiento de la aplicación para que los usuarios sepan dónde se envía su información. Las aplicaciones multiinquilino registradas después del 21 de mayo de 2019 que no tengan un dominio de editor se muestran como no verificadas. Las aplicaciones multiinquilino son aquellas que admiten cuentas ajenas a un único directorio organizativo; por ejemplo, admiten todas las cuentas de Azure AD o admiten todas las cuentas de Azure AD y las cuentas personales de Microsoft.

Aplicaciones nuevas

Al registrar una aplicación nueva, el dominio de editor de la aplicación puede establecerse en un valor predeterminado. El valor depende de dónde esté registrada la aplicación, especialmente si esta está registrada en un inquilino y si el inquilino tiene dominios que haya verificado.

Si hay dominios verificados por el inquilino, el dominio de editor de la aplicación se configurará de manera predeterminada en el dominio verificado principal del inquilino. Si no hay dominios verificados por el inquilino (que es lo que sucede cuando la aplicación no está registrada en un inquilino), el dominio de editor de la aplicación se establecerá en null.

En la tabla siguiente se resume el comportamiento predeterminado del valor del dominio de editor.

Dominios verificados por el inquilino Valor predeterminado de dominio de editor
null null
*.onmicrosoft.com *.onmicrosoft.com
- *.onmicrosoft.com
- domain1.com
- domain2.com (primary)
domain2.com

Si no se ha establecido el dominio de editor de una aplicación multiinquilino, o si se establece en un dominio que termina en .onmicrosoft.com, en la petición de consentimiento de la aplicación se mostrará el texto no verificado en lugar del dominio de editor.

Aplicaciones con derechos por antigüedad

Si su aplicación se ha registrado antes del 21 de mayo de 2019, en la petición de consentimiento de la aplicación no se mostrará el texto no verificado si no ha establecido un dominio de editor. Le recomendamos que establezca el valor del dominio de editor para que los usuarios puedan ver esta información en la petición de consentimiento de la aplicación.

Configuración del dominio de editor mediante Azure Portal

Para establecer el dominio de editor de la aplicación, siga estos pasos.

  1. Inicie sesión en Azure Portal.

  2. Si tiene acceso a varios inquilinos, use el filtro Directorio + suscripción del menú superior para seleccionar el inquilino donde está registrada la aplicación.

  3. Vaya a Azure Active Directory > Registros de aplicaciones para buscar y seleccionar la aplicación que quiere configurar.

    Cuando haya seleccionado la aplicación, verá la página Introducción de la aplicación.

  4. En Administrar, seleccione Personalización de marca.

  5. Busque el campo Dominio de editor y seleccione una de las opciones siguientes:

    • Seleccione Configurar un dominio si aún no ha configurado un dominio.
    • Seleccione Actualizar dominio si ya ha configurado un dominio.

Si la aplicación está registrada en un inquilino, verá dos pestañas en que podrá seleccionar entre: Seleccionar un dominio verificado y Verificar un dominio nuevo.

Si su dominio no está registrada en el inquilino, solo verá la opción para verificar un dominio nuevo para su aplicación.

Para verificar un dominio nuevo para la aplicación

  1. Cree un archivo denominado microsoft-identity-association.json y pegue el siguiente fragmento de código JSON.

    {
       "associatedApplications": [
          {
             "applicationId": "{YOUR-APP-ID-HERE}"
          },
          {
             "applicationId": "{YOUR-OTHER-APP-ID-HERE}"
          }
       ]
     }
    
  2. Reemplace el marcador de posición {YOUR-APP-ID-HERE} por el identificador de aplicación (cliente) que corresponde a la aplicación.

  3. Hospede el archivo en: https://{YOUR-DOMAIN-HERE}.com/.well-known/microsoft-identity-association.json. Reemplace el marcador de posición {YOUR-DOMAIN-HERE} para que coincida con el dominio verificado.

  4. Haga clic en el botón Verificar y guardar dominio.

No es necesario mantener los recursos que se han usado para la comprobación una vez comprobado un dominio. Una vez finalizada la comprobación, puede eliminar el archivo hospedado.

Para seleccionar un dominio verificado

Si el inquilino ha verificado los dominios, seleccione uno de los dominios en la lista desplegable Seleccionar un dominio verificado.

Nota:

El encabezado Content-Type esperado que se debe devolver es application/json. Es posible que aparezca un error si usa cualquier otro elemento, como application/json; charset=utf-8:

Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.

Configurar el dominio de editor influye en lo que los usuarios ven en la petición de consentimiento de la aplicación. Para comprender completamente los componentes de la petición de consentimiento, consulte Descripción de las experiencias de consentimiento de la aplicación.

En la tabla siguiente se describe el comportamiento de las aplicaciones creadas antes del 21 de mayo de 2019.

Consent prompt for apps created before May 21, 2019

El comportamiento de las aplicaciones nuevas creadas después del 21 de mayo de 2019 dependerá del dominio de editor y del tipo de aplicación. En la tabla siguiente se describen los cambios que debe esperar ver con las distintas combinaciones de configuraciones.

Consent prompt for apps created after May 21, 2019

Implicaciones en los URI de redireccionamiento

Las aplicaciones en que inician sesión los usuarios con cualquier cuenta profesional o educativa o con cuentas personales de Microsoft (multiinquilino) están sujetas a algunas restricciones al especificar URI de redireccionamiento.

Restricción de dominio de raíz único

Cuando se establece en null el valor del dominio de editor para aplicaciones multiinquilino, las aplicaciones están restringidas a compartir un dominio de raíz único para los URI de redireccionamiento. Por ejemplo, la siguiente combinación de valores no se permite porque el dominio raíz, contoso.com, no coincide con fabrikam.com.

"https://contoso.com",
"https://fabrikam.com",

Restricciones de subdominio

Se permiten los subdominios, pero debe registrar explícitamente el dominio raíz. Por ejemplo, si bien los URI siguientes comparten un dominio de raíz único, no se permite la combinación.

"https://app1.contoso.com",
"https://app2.contoso.com",

Sin embargo, si el desarrollador agrega explícitamente el dominio raíz, se permite la combinación.

"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",

Excepciones

Los casos siguientes no están sujetos a la restricción de dominio de raíz único:

  • Aplicaciones de inquilino único o destinadas a cuentas de un único directorio
  • Uso de localhost como URI de redireccionamiento
  • URI de redireccionamiento con esquemas personalizados (no HTTP o HTTPS)

Configuración el dominio de editor mediante programación

Actualmente, no se admiten API de REST ni PowerShell para configurar el dominio de editor mediante programación.