Sdílet prostřednictvím

Konfigurace domény vydavatele aplikace

  • Článek

Doména vydavatele aplikace informuje uživatele, kde se odesílají jejich informace. Doména vydavatele také funguje jako vstup nebo předpoklad pro ověření vydavatele . V závislosti na tom, kdy byla aplikace zaregistrována, a na stavu ověření vydavatele se uživateli zobrazí přímo na výzvě k vyjádření souhlasu v aplikaci . Doména vydavatele aplikace se zobrazí uživatelům (v závislosti na stavu ověření vydavatele) na uživatelském rozhraní souhlasu, aby uživatelé věděli, kde se informace odesílají kvůli důvěryhodnosti.

V výzvě k vyjádření souhlasu aplikace se zobrazí buď doména vydavatele, nebo stav ověření vydavatele. Zobrazené informace závisí na tom, jestli je aplikace víceklientská aplikace, kdy byla aplikace zaregistrována, a stav ověření vydavatele aplikace.

Pochopte víceklientské aplikace

víceklientská aplikace je aplikace, která podporuje uživatelské účty, které jsou mimo jeden organizační adresář. Například víceklientské aplikace může podporovat všechny pracovní nebo školní účty Microsoft Entra nebo může podporovat pracovní nebo školní účty Microsoft Entra i osobní účty Microsoft.

Vysvětlení výchozích hodnot domény vydavatele

Několik faktorů určuje výchozí hodnotu nastavenou pro doménu vydavatele aplikace:

  • Zda je aplikace zaregistrovaná u nájemce.
  • Zda má tenant domény ověřené nájemcem.
  • Datum registrace aplikace.

Registrace tenanta a domény ověřené tenantem

Když zaregistrujete novou aplikaci, může být doména vydavatele vaší aplikace nastavená na výchozí hodnotu. Výchozí hodnota závisí na tom, kde je aplikace zaregistrovaná. Hodnota domény vydavatele závisí zejména na tom, jestli je aplikace zaregistrovaná v prostředí tenant a jestli má tenant domény ověřené správcem tenantu.

Pokud má aplikace domény ověřené tenantem, doména vydavatele aplikace se ve výchozím nastavení nastaví na primární ověřenou doménu tenanta. Pokud aplikace nemá domény ověřené tenantem a aplikace není zaregistrovaná v tenantovi, výchozí doména vydavatele aplikace má hodnotu null.

Následující tabulka používá ukázkové scénáře k popisu výchozích hodnot pro doménu vydavatele:

Doména ověřená tenantem Výchozí hodnota domény vydavatele
nula nula
*.onmicrosoft.com *.onmicrosoft.com
- *.onmicrosoft.com
- domain1.com
- domain2.com (primární)		 domain2.com

Datum registrace aplikace

Datum registrace aplikace také určuje výchozí hodnoty domény vydavatele aplikace.

Pokud byla vaše víceklientová aplikace zaregistrovaná mezi 21. květnem 2019 a 30. listopadu 2020:

  • Pokud není doména vydavatele aplikace nastavená nebo pokud je nastavená na doménu, která končí .onmicrosoft.com, zobrazí se výzva k vyjádření souhlasu aplikace neověřená pro hodnotu domény vydavatele.
  • Pokud má aplikace ověřenou doménu aplikace, zobrazí se výzva k vyjádření souhlasu s ověřenou doménou.
  • Pokud je aplikace ověřená vydavatelem, v doméně vydavatele se zobrazí modrý ověřený odznak, který označuje stav.

Pokud byl váš multitenant registrován po 30. listopadu 2020:

  • Pokud aplikace není ověřená vydavatelem, zobrazí se výzva k udělení souhlasu s aplikací neověřená. Nezobrazí se žádné informace související s doménou vydavatele.
  • Pokud je aplikace ověřená vydavatelem, zobrazí se výzva k vyjádření souhlasu aplikace s modrou ověřenou odznakem .

Aplikace vytvořené před 21. květnem 2019

Pokud byla vaše aplikace zaregistrovaná před 21. květnem 2019, zobrazí se výzva k vyjádření souhlasu vaší aplikace neověřená, i když jste nenastavili doménu vydavatele. Doporučujeme nastavit hodnotu domény vydavatele, aby uživatelé viděli tyto informace v výzvě k vyjádření souhlasu vaší aplikace.

Nastavení domény vydavatele v Centru pro správu Microsoft Entra

Nastavení domény vydavatele pro vaši aplikaci pomocí Centra pro správu Microsoft Entra:

  1. Přihlaste se do Centra pro správu Microsoft Entra.

  2. Pokud máte přístup k více tenantům, použijte ikonu nastavení v pravém horním rohu a vyberte tenanta, ve kterém je aplikace zaregistrovaná, z menu adresáře a předplatná.

  3. V Centru pro správu Microsoft Entra přejděte na Identity>Applications>Registrace aplikací.

  4. Vyhledejte a vyberte aplikaci, kterou chcete nakonfigurovat.

  5. V Přehled, v menu prostředků pod Spravovat, vyberte Branding.

  6. V doméně publisheruvyberte jednu z následujících možností:

    • Pokud jste ještě nenakonfigurovali doménu, vyberte Konfigurovat doménu.
    • Pokud jste nakonfigurovali doménu, vyberte Aktualizovat doménu.

  7. Pokud je vaše aplikace zaregistrovaná v tenantovi, vyberte v dalším kroku dvě možnosti:

    • Vyberte ověřenou doménu
    • Ověření nové domény

    Pokud vaše doména není zaregistrovaná v tenantovi, zobrazí se jenom možnost ověření nové domény pro vaši aplikaci.

Ověření nové domény pro vaši aplikaci

Ověření nové domény vydavatele pro vaši aplikaci:

  1. Vytvořte soubor s názvem microsoft-identity-association.json. Zkopírujte následující JSON a vložte ho do souboru microsoft-identity-association.json:

    {
   "associatedApplications": [
      {
         "applicationId": "<your-app-id>"
      },
      {
         "applicationId": "<another-app-id>"
      }
   ]
 }

  2. Nahraďte <your-app-id> ID aplikace (klienta) pro svou aplikaci. Pokud ověřujete novou doménu pro více aplikací, použijte všechna relevantní ID aplikací.

  3. Hostujte soubor v https://<your-domain>.com/.well-known/microsoft-identity-association.json. Nahraďte <your-domain> názvem ověřené domény.

  4. Vyberte Ověřit a uložit doménu.

Po ověření domény nemusíte udržovat prostředky, které se použijí k ověření. Po dokončení ověření můžete hostovaný soubor odebrat.

Výběr ověřené domény

Pokud váš tenant ověřil domény, v rozevíracím seznamu Vyberte ověřenou doménu zvolte jednu z domén.

Poznámka

Obsah bude interpretován jako UTF-8 JSON pro deserializaci. Podporované hlavičky Content-Type, které by se měly vrátit, jsou application/json, application/json; charset=utf-8nebo . Pokud používáte jiné záhlaví, může se zobrazit tato chybová zpráva:

Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.

Konfigurace domény vydavatele má vliv na to, co se uživatelům zobrazí v výzvě k vyjádření souhlasu aplikace. Další informace o komponentách výzvy k vyjádření souhlasu najdete v tématu Vysvětlení prostředí souhlasu aplikace.

Následující obrázek ukazuje, jak se doména vydavatele zobrazuje v výzev k vyjádření souhlasu aplikace pro aplikace vytvořené před 21. květnem 2019:

Diagram znázorňující chování výzvy k vyjádření souhlasu pro aplikace vytvořené před 21. květnem 2019

U aplikací vytvořených mezi 21. květnem 2019 a 30. listopadu 2020 závisí to, jak se doména vydavatele zobrazí v výzvě k vyjádření souhlasu aplikace, závisí na doméně vydavatele a typu aplikace. Následující obrázek popisuje, co se zobrazí na výzvě k vyjádření souhlasu pro různé kombinace konfigurací:

Diagram znázorňující chování výzvy k vyjádření souhlasu pro aplikace vytvořené od 21. května 2019 do 30. listopadu 2020

U víceklientských aplikací vytvořených po 30. listopadu 2020 se v výzvě k vyjádření souhlasu aplikace zobrazí jenom stav ověření vydavatele. Následující tabulka popisuje, co se zobrazí v výzvě k vyjádření souhlasu v závislosti na tom, jestli je aplikace ověřená. Výzva k vyjádření souhlasu pro aplikace s jedním tenantem zůstane stejná.

diagram, který zobrazuje výsledky výzvy k vyjádření souhlasu pro aplikace vytvořené po 30. listopadu 2020.

Doména vydavatele a identifikátory URI pro přesměrování

Aplikace, které přihlašují uživatele pomocí libovolného pracovního nebo školního účtu nebo pomocí účtu Microsoft (multitenantní), podléhají několika omezením v přesměrovacích URI.

Omezení jedné kořenové domény

Pokud je hodnota domény vydavatele pro víceklientské aplikace nastavená na hodnotu null, je aplikace omezena na sdílení jedné kořenové domény pro identifikátory URI přesměrování. Například následující kombinace hodnot není povolená, protože kořenová doména contoso.com neodpovídá kořenové doméně fabrikam.com.

"https://contoso.com",  
"https://fabrikam.com",

Omezení subdomény

Subdomény jsou povolené, ale je nutné explicitně zaregistrovat kořenovou doménu. I když například následující identifikátory URI sdílejí jednu kořenovou doménu, tato kombinace není povolená:

"https://app1.contoso.com",
"https://app2.contoso.com",

Pokud ale vývojář explicitně přidá kořenovou doménu, je tato kombinace povolená:

"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",

Výjimky omezení

Následující případy se nevztahují na omezení jediné kořenové domény:

  • Aplikace s jedním tenantem nebo aplikace, které cílí na účty v jednom adresáři.
  • Použití localhost jako přesměrovacích URI.
  • Přesměrovací URI, která mají vlastní schémata (která nejsou HTTP nebo HTTPS).

Konfigurace domény vydavatele prostřednictvím kódu programu

V současné době nemůžete k programovému nastavení domény vydavatele použít rozhraní REST API ani PowerShell.

Další kroky