Configurar o domínio de publicador de um aplicativo

  • Artigo

O domínio do editor de um aplicativo informa aos usuários para onde as informações deles são enviadas. O domínio do editor também atua como uma entrada ou pré-requisito para verificação do editor. Dependendo de quando o aplicativo foi registrado e do status da Verificação do publicador, ele seria exibido diretamente para o usuário no prompt de consentimento do aplicativo. O domínio do publicador de um aplicativo é exibido aos usuários (dependendo do estado da Verificação do publicador) na experiência de consentimento do usuário para que os usuários saibam para onde suas informações estão sendo enviadas para confiabilidade.

Na solicitação de consentimento de um aplicativo, o domínio do editor ou o status de verificação do editor são exibidos. As informações mostradas dependem de o aplicativo ser um aplicativo multilocatário, quando o aplicativo foi registrado e o status de verificação do editor do aplicativo.

Entender os aplicativos de multilocatários

Um aplicativo multilocatário é um aplicativo que dá suporte a contas de usuário fora de um diretório organizacional individual. Por exemplo, um aplicativo multilocatário pode dar suporte a todas as contas corporativas ou de estudante do Microsoft Entra ou a contas corporativas ou de estudante do Microsoft Entra e a contas Microsoft pessoais.

Entender os valores de domínio padrão do editor

Vários fatores determinam o valor padrão definido para o domínio do editor de um aplicativo:

  • Se o aplicativo está registrado em um locatário.
  • Se um locatário tem domínios verificados pelo locatário.
  • A data de registro do aplicativo.

Registro de locatário e domínios verificados pelo locatário

Quando um novo aplicativo é registrado, o domínio do editor do aplicativo pode ser definido com um valor padrão. O valor padrão depende de onde o aplicativo está registrado. O valor do domínio do editor depende de onde o aplicativo está registrado em um locatário e se o locatário tem domínios verificados por locatário.

Se o aplicativo tiver domínios verificados por locatário, o domínio do editor do aplicativo usará como padrão o domínio primário verificado do locatário. Se o aplicativo não tiver domínios verificados pelo locatário e o aplicativo não estiver registrado em um locatário, o domínio do editor padrão do aplicativo será nulo.

A seguinte tabela usa cenários de exemplo para descrever os valores padrão para o domínio do editor:

Domínio verificado pelo locatário Valor padrão do domínio de publicador
nulo nulo
*.onmicrosoft.com *.onmicrosoft.com
- *.onmicrosoft.com
- domain1.com
- domain2.com (primário)		 domain2.com

Data de registro do aplicativo

A data de registro de um aplicativo também determina os valores do domínio padrão do editor do aplicativo.

Se o aplicativo multilocatário foi registrado entre 21 de maio de 2019 e 30 de novembro de 2020:

  • Se o domínio do editor do aplicativo não estiver definido ou se estiver definido para um domínio que termina em .onmicrosoft.com, a solicitação de consentimento do aplicativo mostrará não verificado para o valor do domínio do editor.
  • Se o aplicativo tiver um domínio verificado, a solicitação de consentimento mostrará o domínio verificado.
  • Se o aplicativo for verificado pelo editor, o domínio do editor mostrará um selo azul verificado que indica o status.

Se o multilocatário foi registrado após 30 de novembro de 2020:

  • Se o aplicativo não for verificado pelo editor, a solicitação de consentimento do aplicativo será exibido como não verificado. Nenhuma informação relacionada ao domínio do editor será exibida.
  • Se o aplicativo for verificado pelo editor, a solicitação de consentimento do aplicativo mostrará um selo azul verificado.

Aplicativos criados antes de 21 de maio de 2019

Se o seu aplicativo foi registrado antes de 21 de maio de 2019, sua solicitação de consentimento exibirá não verificado, mesmo que você não tenha definido um domínio de editor. Recomendamos que você defina o valor do domínio do editor para que os usuários possam ver essa informação na solicitação de consentimento do aplicativo.

Definir um domínio do editor no centro de administração do Microsoft Entra

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Para definir o domínio do editor para seu aplicativo usando o centro de administração do Microsoft Entra:

  1. Entre no Centro de administração do Microsoft Entra.

  2. Se você tiver acesso a vários locatários, use o ícone Configurações no canto superior direito e selecione o locatário em que o aplicativo está registrado no menu Diretórios + assinaturas.

  3. No Centro de administração do Microsoft Entra, navegue até Identidade>Aplicativos>Registros de aplicativo.

  4. Pesquise e selecione o aplicativo que você deseja configurar.

  5. Em Visão geral, no menu de recursos em Gerenciar, selecione Identidade Visual.

  6. Em Domínio do editor, selecione uma das seguintes opções:

    • Se você ainda não configurou um domínio, selecione Configurar um domínio.
    • Se você tiver configurado um domínio, selecione Domínio de atualização.

  7. Se o aplicativo estiver registrado em um locatário, selecione umas destas duas opções:

    • Selecione um domínio verificado
    • Verifique um novo domínio

    Se o seu domínio não estiver registrado no locatário, você verá apenas a opção para verificar um novo domínio para o aplicativo.

Verificar um novo domínio para seu aplicativo

Para verificar um novo domínio de editor para seu aplicativo:

  1. Crie um arquivo chamado microsoft-identity-association.json. Copie o seguinte JSON e cole-o no arquivo microsoft-identity-association.json:

    {
   "associatedApplications": [
      {
         "applicationId": "<your-app-id>"
      },
      {
         "applicationId": "<another-app-id>"
      }
   ]
 }

  2. Substitua <your-app-id> pela ID do seu aplicativo (cliente). Use todas as IDs de aplicativo relevantes se você estiver verificando um novo domínio para vários aplicativos.

  3. Hospede o arquivo em https://<your-domain>.com/.well-known/microsoft-identity-association.json. Substitua <your-domain> pelo nome do domínio verificado.

  4. Selecione Verificar e salvar o domínio.

Você não precisa manter os recursos usados para verificação depois que um domínio for verificado. Quando a verificação for concluída, você poderá remover o arquivo hospedado.

Selecionar um domínio verificado

Se o seu locatário tiver domínios verificados, no menu suspenso Selecionar um domínio verificado, selecione um dos domínios.

Observação

O conteúdo será interpretado como JSON UTF-8 para desserialização. Os cabeçalhos Content-Type com suporte que serão retornados são application/json, application/json; charset=utf-8ou . Se você usar qualquer outro cabeçalho, poderá ver esta mensagem de erro:

Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.

Configurar o domínio do editor afeta o que os usuários veem na solicitação de consentimento do aplicativo. Para obter mais informações sobre os componentes da solicitação de consentimento, confira Entenda a experiência de consentimento do aplicativo.

A seguinte figura mostra como o domínio do editor aparece nos prompts de consentimento do aplicativo para aplicativos que foram criados antes de 21 de maio de 2019:

Diagram that shows consent prompt behavior for apps created before May 21, 2019.

Para aplicativos que foram criados entre 21 de maio de 2019 e 30 de novembro de 2020, a forma como o domínio do editor aparece na solicitação de consentimento de um aplicativo depende do domínio do editor e do tipo de aplicativo. A seguinte figura descreve o que aparece na solicitação de consentimento para diferentes combinações de configurações:

Diagram that shows consent prompt behavior for apps created between May 21, 2019, and November 30, 2020.

Para aplicativos multilocatários criados após 30 de novembro de 2020, apenas o status de verificação do editor é mostrado na solicitação de consentimento de um aplicativo. A tabela a seguir descreve o que aparece na solicitação de consentimento, dependendo de um aplicativo ser verificado ou não. A solicitação de consentimento em aplicativos de locatário único permanece o mesmo.

Diagram that shows consent prompt results for apps that were created after November 30, 2020.

Domínio do editor e URIs de redirecionamento

Os aplicativos em que os usuários entram usando qualquer conta corporativa ou de estudante ou uma conta Microsoft (multilocatário) estão sujeitos a algumas restrições em URIs de redirecionamento.

Restrição de domínio raiz único

Quando o valor do domínio do editor de um aplicativo multilocatário é definido como nulo, o aplicativo fica restrito a compartilhar um domínio raiz para os URIs de redirecionamento. Por exemplo, a combinação de valores a seguir não é permitida porque o domínio raiz contoso.com não corresponde ao domínio raiz fabrikam.com.

"https://contoso.com",  
"https://fabrikam.com",

Restrições de subdomínio

Subdomínios são permitidos, mas você deve registrar o domínio raiz explicitamente. Por exemplo, embora os seguintes URIs compartilhem um domínio raiz, a combinação não é permitida:

"https://app1.contoso.com",
"https://app2.contoso.com",

No entanto, se o desenvolvedor adicionar o domínio raiz explicitamente, a combinação será permitida:

"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",

Exceções de restrição

Os casos a seguir não estão sujeitos à restrição de domínio raiz único:

  • Aplicativos de locatário único ou que se destinem a contas de diretório único.
  • Uso de localhost como URIs de redirecionamento.
  • URIs de redirecionamento com esquemas personalizados (não HTTP ou HTTPS).

Configurar o domínio de publicador programaticamente

Atualmente, você não pode usar a API REST ou o PowerShell para definir por meio de programação o domínio do editor.

Próximas etapas