Jak skonfigurować domenę wydawcy aplikacji

Domena wydawcy aplikacji jest wyświetlana użytkownikom w wierszu zgody aplikacji, aby dać użytkownikom informacje o tym, dokąd są wysyłane ich informacje. Aplikacje wielodostępne zarejestrowane po 21 maja 2019 r., które nie mają domeny wydawcy, są wyświetlane jako niezweryfikowane. Aplikacje wielodostępne to aplikacje, które obsługują konta spoza jednego katalogu organizacyjnego. na przykład obsługują wszystkie konta usługi Azure AD lub obsługują wszystkie konta usługi Azure AD i osobiste konta Microsoft.

Nowe aplikacje

Podczas rejestrowania nowej aplikacji domenę wydawcy aplikacji można ustawić na wartość domyślną. Wartość zależy od tego, gdzie aplikacja jest zarejestrowana, szczególnie od tego, czy aplikacja jest zarejestrowana w dzierżawie i czy dzierżawa ma zweryfikowane domeny dzierżawy.

Jeśli istnieją domeny zweryfikowane przez dzierżawę, domyślna domena wydawcy aplikacji to podstawowa zweryfikowana domena dzierżawy. Jeśli nie ma żadnych domen zweryfikowanych przez dzierżawę (tak się dzieje, gdy aplikacja nie jest zarejestrowana w dzierżawie), domena wydawcy aplikacji zostanie ustawiona na wartość null.

W poniższej tabeli przedstawiono podsumowanie domyślnego zachowania wartości domeny wydawcy.

Domeny zweryfikowane przez dzierżawę Wartość domyślna domeny wydawcy
null null
*.onmicrosoft.com *.onmicrosoft.com
- *.onmicrosoft.com
— domain1.com
— domain2.com (podstawowy)
domain2.com

Jeśli domena wydawcy aplikacji wielodostępnych nie została ustawiona lub ustawiono ją na domenę, która kończy się na .onmicrosoft.com, w wierszu zgody aplikacji zostanie wyświetlony niezweryfikowany w miejsce domeny wydawcy.

Aplikacje ze zdjętą łem

Jeśli Twoja aplikacja została zarejestrowana przed 21 maja 2019 r., monit o wyrażenie zgody aplikacji nie będzie wyświetlany w stanie niezweryfikowanego, jeśli nie ustawiono domeny wydawcy. Zalecamy ustawienie wartości domeny wydawcy, aby użytkownicy widzieli te informacje w wierszu zgody aplikacji.

Konfigurowanie domeny wydawcy przy użyciu Azure Portal

Aby ustawić domenę wydawcy aplikacji, wykonaj następujące kroki.

  1. Zaloguj się w witrynie Azure Portal.

  2. Jeśli masz dostęp do wielu dzierżaw, użyj filtru Katalog i subskrypcja w górnym menu, aby wybrać dzierżawę, w której aplikacja jest zarejestrowana.

  3. Przejdź do Azure Active Directory > Rejestracje aplikacji, aby znaleźć i wybrać aplikację, którą chcesz skonfigurować.

    Po wybraniu aplikacji zostanie wyświetlony jej strona Przegląd.

  4. W obszarze Zarządzanie wybierz znakowanie.

  5. Znajdź pole Domena wydawcy i wybierz jedną z następujących opcji:

    • Wybierz pozycję Konfiguruj domenę, jeśli domena nie została jeszcze skonfigurowana.
    • Wybierz pozycję Aktualizuj domenę, jeśli domena została już skonfigurowana.

Jeśli aplikacja jest zarejestrowana w dzierżawie, zobaczysz dwie karty do wyboru: Wybierz zweryfikowaną domenę i Weryfikuj nową domenę.

Jeśli twoja aplikacja nie jest zarejestrowana w dzierżawie, zobaczysz tylko opcję zweryfikowania nowej domeny dla aplikacji.

Aby zweryfikować nową domenę dla aplikacji

  1. Utwórz plik o nazwie microsoft-identity-association.json i wklej poniższy fragment kodu JSON.

    {
       "associatedApplications": [
          {
             "applicationId": "{YOUR-APP-ID-HERE}"
          },
          {
             "applicationId": "{YOUR-OTHER-APP-ID-HERE}"
          }
       ]
     }
    
  2. Zastąp symbol zastępczy {YOUR-APP-ID-HERE} identyfikatorem aplikacji (klienta) odpowiadającym Twojej aplikacji.

  3. Hostuj plik pod: https://{YOUR-DOMAIN-HERE}.com/.well-known/microsoft-identity-association.json . Zastąp symbol zastępczy {YOUR-DOMAIN-HERE}, aby był zgodne ze zweryfikowaną domeną.

  4. Kliknij przycisk Weryfikuj i zapisz domenę.

Nie trzeba utrzymywać zasobów używanych do weryfikacji po zweryfikowaniu domeny. Po zakończeniu weryfikacji możesz usunąć hostowany plik.

Aby wybrać zweryfikowaną domenę

Jeśli dzierżawa ma zweryfikowane domeny, wybierz jedną z domen z listy rozwijanej Wybierz zweryfikowaną domenę.

Uwaga

Oczekiwanym Content-Type nagłówkiem, który powinien zostać zwrócony, jest application/json . Jeśli używasz innych funkcji, takich jak , może wystąpić błąd, jak wspomniano application/json; charset=utf-8 poniżej:

Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.

Konfigurowanie domeny wydawcy ma wpływ na to, co użytkownicy widzą w wierszu zgody aplikacji. Aby w pełni zrozumieć składniki monitu o wyrażenie zgody, zobacz Understanding the application consent experiences (Opis obsługi wyrażania zgody przez aplikację).

W poniższej tabeli opisano zachowanie aplikacji utworzonych przed 21 maja 2019 r.

Monit o wyrażenie zgody dla aplikacji utworzonych przed 21 maja 2019 r.

Zachowanie nowych aplikacji utworzonych po 21 maja 2019 r. będzie zależeć od domeny wydawcy i typu aplikacji. W poniższej tabeli opisano zmiany, których należy oczekiwać w przypadku różnych kombinacji konfiguracji.

Monit o zgodę dla aplikacji utworzonych po 21 maja 2019 r.

Implikacje dotyczące interfejsów URIs przekierowania

Aplikacje, które logują użytkowników przy użyciu dowolnego konta służbowego lub osobistych kont Microsoft(zwieloma dzierżawami), podlegają kilku ograniczeniom podczas określania UM przekierowania.

Ograniczenie domeny pojedynczego katalogu głównego

Gdy wartość domeny wydawcy dla aplikacji wielodostępnych jest ustawiona na wartość null, aplikacje są ograniczone do udostępniania pojedynczej domeny głównej dla interfejsów URI przekierowania. Na przykład następująca kombinacja wartości nie jest dozwolona, ponieważ domena główna, contoso.com, nie jest fabrikam.com.

"https://contoso.com",
"https://fabrikam.com",

Ograniczenia poddomeny

Domeny podrzędne są dozwolone, ale należy jawnie zarejestrować domenę główną. Na przykład następujące URI współdzielą jedną domenę główną, ale kombinacja nie jest dozwolona.

"https://app1.contoso.com",
"https://app2.contoso.com",

Jeśli jednak deweloper jawnie dodaje domenę główną, kombinacja jest dozwolona.

"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",

Wyjątki

Następujące przypadki nie podlegają ograniczeniu domeny pojedynczego katalogu głównego:

  • Aplikacje z jedną dzierżawą lub aplikacje, które są kontami docelowymi w jednym katalogu
  • Użycie hosta lokalnego jako przekierowania 44
  • Przekieruj URI ze schematami niestandardowymi (bez protokołu HTTP lub HTTPS)

Programowe konfigurowanie domeny wydawcy

Obecnie nie jest dostępny interfejs API REST ani program PowerShell do programowego konfigurowania domeny wydawcy.