Настройка домена издателя приложения

  • Статья

Домен издателя приложения сообщает пользователям, куда отправляется их информация. Домен издателя также выступает в качестве входных данных или необходимого условия для проверки издателя. В зависимости от того, когда приложение зарегистрировано и состояние проверки издателя, оно будет отображаться непосредственно пользователю в запросе на согласие приложения. Домен издателя приложения отображается пользователям (в зависимости от состояния проверки издателя) на пользовательском интерфейсе согласия, чтобы сообщить пользователям, где их информация отправляется для надежности.

В запросе согласия приложения отображается либо домен издателя, либо статус проверки издателя. Отображаемая информация зависит следующих факторов: является ли приложение мультитенантным, когда оно было зарегистрировано, а также какой статус подтверждения издателя приложения.

Общие сведения о мультитенантных приложениях

Мультитенантное приложение — это приложение, которое поддерживает учетные записи пользователей, которые находятся за пределами одного каталога организации. Например, мультитенантное приложение может поддерживать все рабочие или учебные учетные записи Microsoft Entra, а также поддержку рабочих или учебных учетных записей Microsoft Entra и личных учетных записей Майкрософт.

Общие сведения о значениях домена издателя по умолчанию

Несколько факторов определяют значение по умолчанию, заданное для домена издателя приложения:

  • Указывает, зарегистрировано ли приложение в арендаторе.
  • Наличие в арендатора доменов, проверенных арендатором.
  • Дата регистрации приложения.

Регистрация арендатора и подтвержденные арендатором домены

При регистрации нового приложения в качестве домена издателя приложения может быть указано значение по умолчанию. Значение по умолчанию зависит от того, где зарегистрировано приложение. Значение домена издателя зависит, в частности, от того, зарегистрировано ли приложение в арендаторе и есть ли у арендатора проверенные домены.

При наличии доменов, одобренных арендатором, в качестве домена издателя приложения по умолчанию будет установлен основной проверенный домен арендатора. Если у приложения нет доменов, проверенных арендатором, и приложение не зарегистрировано в арендаторе, домен издателя приложения по умолчанию имеет значение NULL.

В следующей таблице используются примеры сценариев для описания значений по умолчанию для домена издателя:

Домены, проверенные арендатором Значение по умолчанию для домена издателя
null null
*.onmicrosoft.com *.onmicrosoft.com
- *.onmicrosoft.com
- domain1.com
- domain2.com (основной)		 domain2.com

Дата регистрации приложения

Дата регистрации приложения также определяет значения домена издателя приложения по умолчанию.

Если ваше мультитенантное приложение было зарегистрировано в период с 21 мая 2019 г. по 30 ноября 2020 г.:

  • Если домен издателя приложения не задан или же заканчивается на .onmicrosoft.com, в запросе согласия приложения отображается не проверено для значения домена издателя.
  • Если у приложения есть проверенный домен приложения, в запросе согласия отображается проверенный домен.
  • Если приложение проверено издателем, домен издателя отображает синий значок проверено, указывающий статус.

Если мультитенантное приложение зарегистрировано после 30 ноября 2020 г.:

  • Если приложение не проверено издателем, в запросе согласия для приложения отображается не проверено. Информация, связанная с доменом издателя, не отображается.
  • Если приложение проверено издателем, в запросе согласия с условиями использования приложения отображается синий значок проверено.

Приложение создано до 21 мая 2019 г.

Если приложение было зарегистрировано до 21 мая 2019 года, в запросе согласия приложения не будет отображаться значок не проверено, если домен издателя не задан. Рекомендуется задать значение домена издателя, чтобы пользователи могли видеть эту информацию в запросе согласия вашего приложения.

Настройка домена издателя в Центре администрирования Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Чтобы задать домен издателя для приложения с помощью Центра администрирования Microsoft Entra, выполните следующие действия.

  1. Войдите в центр администрирования Microsoft Entra.

  2. Если у вас есть доступ к нескольким клиентам, используйте значок Параметры в правом верхнем углу и выберите клиент, где приложение зарегистрировано в меню каталогов и подписок.

  3. В Центре администрирования Microsoft Entra перейдите к приложениям> удостоверений>Регистрация приложений.

  4. Найдите и выберите приложение, которое необходимо настроить.

  5. В разделе Обзор в меню ресурсов в разделе Управление выберите Фирменная символика.

  6. В домене издателя выберите один из следующих вариантов:

    • Выберите Настройка домена, если он еще не настроен.
    • Если вы настроили домен, выберите Обновление домена.

  7. Если приложение зарегистрировано в арендаторе, выберите один из двух вариантов:

    • Выберите проверенный домен
    • Проверить новый домен

    Если ваш домен не зарегистрирован в арендаторе, отображается только вариант проверки нового домена для вашего приложения.

Проверка нового домена для приложения

Чтобы проверить новый домен издателя для приложения, сделайте следующее:

  1. Создайте файл с именем microsoft-identity-association.json. Скопируйте следующий код JSON и вставьте его в файл microsoft-identity-association.json:

    {
   "associatedApplications": [
      {
         "applicationId": "<your-app-id>"
      },
      {
         "applicationId": "<another-app-id>"
      }
   ]
 }

  2. Замените <your-app-id> идентификатором приложения (клиента) для вашего приложения. Используйте все соответствующие идентификаторы приложений, если вы проверяете новый домен для нескольких приложений.

  3. Разместите файл здесь: https://<your-domain>.com/.well-known/microsoft-identity-association.json. Замените <your-domain> именем проверенного домена.

  4. Выберите Проверить и сохранить домен.

Не требуется поддерживать ресурсы, используемые для проверки после проверки домена. Когда проверка будет завершена, можно удалить размещенный файл.

Выберите проверенный домен

Если у вашего арендатора есть проверенные домены, в раскрывающемся списке Выберите проверенный домен выберите один из доменов.

Примечание.

Содержимое будет интерпретировано как JSON UTF-8 для десериализации. Поддерживаемые Content-Type заголовки, которые должны возвращать , application/jsonapplication/json; charset=utf-8или . Если вы используете любой другой заголовок, может появиться следующее сообщение об ошибке:

Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.

Настройка домена издателя влияет на то, что пользователи видят в запросе согласия приложения. Дополнительные сведения о компонентах запроса согласия см. в статье Понятие согласия для приложения.

На следующем изображении показано, как домен издателя отображается в запросах согласия приложений по отношению к приложениям, созданным до 21 мая 2019 г.:

Diagram that shows consent prompt behavior for apps created before May 21, 2019.

Для приложений, созданных с 21 мая 2019 г. до 30 ноября 2020 г., отображение домена издателя в запросе согласия приложения зависит от домена издателя и типа приложения. На следующем изображении показано, что отображается в запросе согласия для различных комбинаций конфигураций:

Diagram that shows consent prompt behavior for apps created between May 21, 2019, and November 30, 2020.

Для мультитенантных приложений, созданных после 30 ноября 2020 г., в запросе согласия приложения отображается только статус проверки издателя. В следующей таблице описано, что отображается в запросе согласия в зависимости от того, является ли приложение проверенным. Запрос согласия для однотенантных приложений остается неизменным.

Diagram that shows consent prompt results for apps that were created after November 30, 2020.

Домен издателя и URI перенаправления

В приложениях, где выполняется вход пользователей с помощью любой рабочей или учебной учетной записи или с помощью учетной записи Майкрософт (мультитенантная), URI перенаправления могут быть ограничены.

Ограничение для одного корневого домена

Если в качестве значения домена издателя для мультитенантных приложений установлено значение NULL, приложения могут использовать только один корневой домен для URI перенаправления. Например, следующее сочетание значений не допускается, так как корневой домен contoso.com не соответствует корневому доменуfabrikam.com.

"https://contoso.com",  
"https://fabrikam.com",

Ограничения для поддомена

Поддомены разрешены, но необходимо явным образом зарегистрировать корневой домен. Например, несмотря на то, что следующие URI используют один корневой домен, их комбинация не допускается:

"https://app1.contoso.com",
"https://app2.contoso.com",

Однако если разработчик явно добавляет корневой домен, это сочетание будет разрешено:

"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",

Исключения ограничений

Ограничение для одного корневого домена не распространяется на следующие случаи:

  • Приложения с одним арендатором или приложения, предназначенные для учетных записей в одном каталоге.
  • Использование localhost в качестве URI перенаправления.
  • URI перенаправления с пользовательскими схемами (без использования HTTP или HTTPS).

Настройка домена издателя программными средствами

В настоящее время использование REST API или PowerShell для программного задания домена издателя невозможно.

Следующие шаги