Konfigurace domény vydavatele aplikace
Doména vydavatele aplikace informuje uživatele, kde se odesílají jejich informace. Doména vydavatele také funguje jako vstup nebo předpoklad pro ověření vydavatele. V závislosti na tom, kdy byla aplikace zaregistrována a stav ověření vydavatele, se uživateli zobrazí přímo na výzvě k vyjádření souhlasu aplikace. Doména vydavatele aplikace se zobrazí uživatelům (v závislosti na stavu ověření vydavatele) na uživatelském rozhraní souhlasu, aby uživatelé věděli, kde se informace odesílají kvůli důvěryhodnosti.
V výzvě k vyjádření souhlasu aplikace se zobrazí buď doména vydavatele, nebo stav ověření vydavatele. Zobrazené informace závisí na tom, jestli je aplikace víceklientská aplikace, kdy byla aplikace zaregistrována, a na stavu ověření vydavatele aplikace.
Principy víceklientských aplikací
Víceklientová aplikace je aplikace , která podporuje uživatelské účty, které jsou mimo jeden adresář organizace. Například víceklientské aplikace může podporovat všechny pracovní nebo školní účty Microsoft Entra nebo může podporovat pracovní nebo školní účty Microsoft Entra i osobní účty Microsoft.
Vysvětlení výchozích hodnot domény vydavatele
Několik faktorů určuje výchozí hodnotu nastavenou pro doménu vydavatele aplikace:
- Určuje, jestli je aplikace zaregistrovaná v tenantovi.
- Určuje, jestli má tenant domény ověřené tenantem.
- Datum registrace aplikace.
Registrace tenanta a domény ověřené tenantem
Když zaregistrujete novou aplikaci, může být doména vydavatele vaší aplikace nastavená na výchozí hodnotu. Výchozí hodnota závisí na tom, kde je aplikace zaregistrovaná. Hodnota domény vydavatele závisí zejména na tom, jestli je aplikace zaregistrovaná v tenantovi a jestli má tenant domény ověřené tenantem.
Pokud má aplikace domény ověřené tenantem, doména vydavatele aplikace se ve výchozím nastavení nastaví na primární ověřenou doménu tenanta. Pokud aplikace nemá domény ověřené tenantem a aplikace není zaregistrovaná v tenantovi, výchozí doména vydavatele aplikace má hodnotu null.
Následující tabulka používá ukázkové scénáře k popisu výchozích hodnot pro doménu vydavatele:
Doména ověřená tenantem | Výchozí hodnota domény vydavatele |
---|---|
null | null |
*.onmicrosoft.com |
*.onmicrosoft.com |
- *.onmicrosoft.com - domain1.com - domain2.com (primární) |
domain2.com |
Datum registrace aplikace
Datum registrace aplikace také určuje výchozí hodnoty domény vydavatele aplikace.
Pokud byla vaše víceklientová aplikace zaregistrovaná mezi 21. květnem 2019 a 30. listopadu 2020:
- Pokud není doména vydavatele aplikace nastavená nebo pokud je nastavená na doménu, která končí
.onmicrosoft.com
, zobrazí se výzva k vyjádření souhlasu aplikace neověřená pro hodnotu domény vydavatele. - Pokud má aplikace ověřenou doménu aplikace, zobrazí se výzva k vyjádření souhlasu s ověřenou doménou.
- Pokud je aplikace ověřená vydavatelem, zobrazí se v doméně vydavatele modrý ověřený odznáček , který označuje stav.
Pokud byl váš víceklient zaregistrovaný po 30. listopadu 2020:
- Pokud aplikace není ověřená vydavatelem, zobrazí se výzva k vyjádření souhlasu pro aplikaci neověřená. Nezobrazí se žádné informace související s doménou vydavatele.
- Pokud je aplikace ověřená vydavatelem, zobrazí se výzva k vyjádření souhlasu s aplikací modrým ověřeným odznáček.
Aplikace vytvořené před 21. květnem 2019
Pokud byla vaše aplikace zaregistrovaná před 21. květnem 2019, zobrazí se výzva k vyjádření souhlasu vaší aplikace neověřená, i když jste nenastavili doménu vydavatele. Doporučujeme nastavit hodnotu domény vydavatele, aby uživatelé viděli tyto informace v výzvě k vyjádření souhlasu vaší aplikace.
Nastavení domény vydavatele v Centru pro správu Microsoft Entra
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Nastavení domény vydavatele pro vaši aplikaci pomocí Centra pro správu Microsoft Entra:
Přihlaste se do Centra pro správu Microsoft Entra.
Pokud máte přístup k více tenantům, použijte ikonu Nastavení v pravém horním rohu a vyberte tenanta, ve kterém je aplikace zaregistrovaná v nabídce Adresáře a předplatná.
V Centru pro správu Microsoft Entra přejděte na Identity>Applications> Registrace aplikací.
Vyhledejte a vyberte aplikaci, kterou chcete nakonfigurovat.
V části Přehled v nabídce prostředků v části Spravovat vyberte Branding.
V doméně Publisheru vyberte jednu z následujících možností:
- Pokud jste doménu ještě nenakonfigurovali, vyberte Konfigurovat doménu.
- Pokud jste nakonfigurovali doménu, vyberte Aktualizovat doménu.
Pokud je vaše aplikace zaregistrovaná v tenantovi, vyberte v dalším kroku dvě možnosti:
- Výběr ověřené domény
- Ověření nové domény
Pokud vaše doména není zaregistrovaná v tenantovi, zobrazí se jenom možnost ověření nové domény pro vaši aplikaci.
Ověření nové domény pro vaši aplikaci
Ověření nové domény vydavatele pro vaši aplikaci:
Vytvořte soubor s názvem microsoft-identity-association.json. Zkopírujte následující JSON a vložte ho do souboru microsoft-identity-association.json :
{ "associatedApplications": [ { "applicationId": "<your-app-id>" }, { "applicationId": "<another-app-id>" } ] }
Nahraďte
<your-app-id>
ID aplikace (klienta) vaší aplikace. Pokud ověřujete novou doménu pro více aplikací, použijte všechna relevantní ID aplikací.Hostujte soubor na adrese
https://<your-domain>.com/.well-known/microsoft-identity-association.json
. Nahraďte<your-domain>
názvem ověřené domény.Vyberte Ověřit a uložit doménu.
Po ověření domény nemusíte udržovat prostředky, které se použijí k ověření. Po dokončení ověření můžete hostovaný soubor odebrat.
Výběr ověřené domény
Pokud váš tenant ověřil domény, vyberte v rozevíracím seznamu Vybrat ověřenou doménu jednu z domén.
Poznámka:
Obsah bude interpretován jako UTF-8 JSON pro deserializaci. Podporované Content-Type
hlavičky, které by se měly vrátit, jsou application/json
, application/json; charset=utf-8
nebo
. Pokud používáte jiné záhlaví, může se zobrazit tato chybová zpráva:
Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.
Doména vydavatele a výzva k vyjádření souhlasu aplikace
Konfigurace domény vydavatele má vliv na to, co se uživatelům zobrazí v výzvě k vyjádření souhlasu aplikace. Další informace o součástech výzvy k vyjádření souhlasu najdete v tématu Vysvětlení prostředí souhlasu aplikace.
Následující obrázek ukazuje, jak se doména vydavatele zobrazuje v výzev k vyjádření souhlasu aplikace pro aplikace vytvořené před 21. květnem 2019:
U aplikací vytvořených mezi 21. květnem 2019 a 30. listopadu 2020 závisí to, jak se doména vydavatele zobrazí v výzvě k vyjádření souhlasu aplikace, závisí na doméně vydavatele a typu aplikace. Následující obrázek popisuje, co se zobrazí na výzvě k vyjádření souhlasu pro různé kombinace konfigurací:
U víceklientských aplikací vytvořených po 30. listopadu 2020 se v výzvě k vyjádření souhlasu aplikace zobrazí jenom stav ověření vydavatele. Následující tabulka popisuje, co se zobrazí v výzvě k vyjádření souhlasu v závislosti na tom, jestli je aplikace ověřená. Výzva k vyjádření souhlasu pro aplikace s jedním tenantem zůstane stejná.
Doména vydavatele a identifikátory URI pro přesměrování
Aplikace, které přihlašují uživatele pomocí libovolného pracovního nebo školního účtu nebo pomocí účtu Microsoft (víceklientů), podléhají několika omezením v identifikátorech URI přesměrování.
Omezení jedné kořenové domény
Pokud je hodnota domény vydavatele pro víceklientské aplikace nastavená na hodnotu null, je aplikace omezena na sdílení jedné kořenové domény pro identifikátory URI přesměrování. Například následující kombinace hodnot není povolená, protože kořenová doména contoso.com
neodpovídá kořenové doméně fabrikam.com
.
"https://contoso.com",
"https://fabrikam.com",
Omezení subdomény
Subdomény jsou povolené, ale je nutné explicitně zaregistrovat kořenovou doménu. I když například následující identifikátory URI sdílejí jednu kořenovou doménu, tato kombinace není povolená:
"https://app1.contoso.com",
"https://app2.contoso.com",
Pokud ale vývojář explicitně přidá kořenovou doménu, je tato kombinace povolená:
"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",
Výjimky omezení
Následující případy se nevztahují na omezení jediné kořenové domény:
- Aplikace s jedním tenantem nebo aplikace, které cílí na účty v jednom adresáři.
- Používá se jako identifikátory URI přesměrování místního hostitele.
- Identifikátory URI přesměrování, které mají vlastní schémata (jiná než HTTP nebo HTTPS).
Konfigurace domény vydavatele prostřednictvím kódu programu
V současné době nemůžete k programovému nastavení domény vydavatele použít rozhraní REST API ani PowerShell.
Další kroky
- Zjistěte, jak označit aplikaci jako ověřenou vydavatelem.
- Řešení potíží s ověřením vydavatele