Compartir a través de

Configuración del dominio del publicador de una aplicación

  • Artículo

El dominio del publicador de una aplicación informa a los usuarios de dónde se envía su información. El dominio del publicador también actúa como entrada o requisito previo para la comprobación del publicador. En función de cuándo se registró la aplicación y del estado de la comprobación del editor, se podría mostrar directamente al usuario en la solicitud de consentimiento de la aplicación. El dominio del publicador de una aplicación se muestra a los usuarios (según el estado de comprobación del publicador) en la experiencia de usuario de consentimiento para informar a los usuarios de dónde se envía su información por confiabilidad.

En el mensaje de consentimiento de una aplicación, aparece el dominio del publicador o el estado de comprobación del publicador. La información que se muestra depende de si la aplicación es una aplicación multiinquilino, cuándo se registró la aplicación y el estado de comprobación del publicador de la aplicación.

Descripción de las aplicaciones multiinquilino

Una aplicación multiinquilino es una aplicación que admite cuentas de usuario que están fuera de un único directorio organizativo. Por ejemplo, una aplicación multiinquilino podría admitir todas las cuentas profesionales o educativas de Microsoft Entra, o bien admitir cuentas profesionales o educativas de Microsoft Entra y cuentas personales de Microsoft.

Comprender los valores de dominio del publicador predefinidos

Varios factores determinan el valor predeterminado establecido para el dominio del publicador de una aplicación:

  • Indica si la aplicación está registrada en un inquilino.
  • Si un inquilino tiene dominios comprobados por el inquilino.
  • Fecha de registro de la aplicación.

Registro de inquilinos y dominios comprobados por el inquilino

Al registrar una nueva aplicación, es posible que el dominio del publicador de la aplicación se establezca en un valor predeterminado. El valor predeterminado depende de dónde está registrada la aplicación. El valor del dominio del publicador depende especialmente de si la aplicación está registrada en un inquilino y de si el inquilino tiene dominios comprobados por el inquilino.

Si la aplicación tiene dominios comprobados por el inquilino, el dominio del publicador de la aplicación tiene como valor predeterminado el dominio comprobado principal del inquilino. Si la aplicación no tiene dominios comprobados por el inquilino y la aplicación no está registrada en un inquilino, el dominio de publicador predeterminado de la aplicación es NULL.

En la tabla siguiente se usan escenarios de ejemplo para describir los valores predeterminados para el dominio del publicador:

Dominio comprobado por el inquilino Valor predeterminado del dominio del publicador
nulo nulo
*.onmicrosoft.com *.onmicrosoft.com
- *.onmicrosoft.com
- domain1.com
- domain2.com (principal)		 domain2.com

Fecha de registro de la aplicación

La fecha de registro de una aplicación también determina los valores de dominio de publicador predeterminados de la aplicación.

Si la aplicación multiinquilino se registró entre el 21 de mayo de 2019 y el 30 de noviembre de 2020:

  • Si no se ha establecido el dominio del publicador de la aplicación, o si se ha establecido en un dominio que termina en .onmicrosoft.com, en la solicitud de consentimiento de la aplicación aparecerá el texto no comprobado como valor del dominio del publicador.
  • Si la aplicación tiene un dominio de aplicación comprobado, el mensaje de consentimiento muestra el dominio comprobado.
  • Si se ha comprobado el publicador de la aplicación, el dominio del publicador muestra un distintivo de comprobado azul que indica el estado.

Si el multiinquilino se registró después del 30 de noviembre de 2020:

  • Si la aplicación no está comprobada por el publicador, la solicitud de consentimiento de la aplicación muestra no comprobado. No aparece información relacionada con el dominio del publicador.
  • Si la aplicación está comprobada por el publicador, la solicitud de consentimiento de la aplicación muestra un distintivo de comprobado azul.

Aplicaciones creadas antes del 21 de mayo de 2019

Si la aplicación se ha registrado antes del 21 de mayo de 2019, la solicitud de consentimiento de la aplicación mostrará el texto no comprobado aunque no haya establecido un dominio del publicador. Se recomienda establecer el valor del dominio del publicador para que los usuarios puedan ver esta información en el mensaje de consentimiento de la aplicación.

Establecer un dominio de publicador en el Centro de administración de Microsoft Entra

Para establecer un dominio de publicador para la aplicación mediante el Centro de administración de Microsoft Entra:

  1. Inicie sesión en el Centro de administración de Microsoft Entra.

  2. Si tiene acceso a varios clientes, use el icono de configuración en la parte superior derecha y seleccione el cliente donde se registra la aplicación en el menú Directorios / suscripciones.

  3. En el centro de administración de Microsoft Entra, vaya a Identidad>aplicaciones>Registros de aplicaciones.

  4. Busque y seleccione la aplicación que desea configurar.

  5. En Información general, en el menú de recursos, en Administrar, seleccione Personalización de marca.

  6. En el dominio Publisher , seleccione una de las siguientes opciones:

    • Si aún no ha configurado un dominio, seleccione Configurar un dominio.
    • Si ha configurado un dominio, seleccione Actualizar dominio.

  7. Si la aplicación está registrada en un inquilino, seleccione entre dos opciones:

    • Seleccione un dominio comprobado
    • Verificar un nuevo dominio

    Si el dominio no está registrado en el inquilino, solo aparece la opción de verificar un nuevo dominio para tu aplicación.

Comprobación de un nuevo dominio para la aplicación

Para comprobar un nuevo dominio de publicador para la aplicación:

  1. Cree un archivo denominado microsoft-identity-association.json. Copie el siguiente código JSON y péguelo en el archivo microsoft-identity-association.json:

    {
   "associatedApplications": [
      {
         "applicationId": "<your-app-id>"
      },
      {
         "applicationId": "<another-app-id>"
      }
   ]
 }

  2. Reemplace <your-app-id> por el identificador de aplicación (cliente) de la aplicación. Use todos los identificadores de aplicación pertinentes si está comprobando un nuevo dominio para varias aplicaciones.

  3. Hospede el archivo en https://<your-domain>.com/.well-known/microsoft-identity-association.json. Reemplace <your-domain> por el nombre del dominio comprobado.

  4. Seleccione Comprobar y guardar el dominio.

No es necesario mantener los recursos que se usan para la comprobación después de comprobar un dominio. Cuando finalice la comprobación, puede quitar el archivo hospedado.

Selección de un dominio comprobado

Si su arrendatario tiene dominios verificados, en la lista desplegable Seleccionar un dominio verificado, seleccione uno de los dominios.

Nota

El contenido se interpretará como JSON UTF-8 para la deserialización. Los encabezados admitidos Content-Type que deben devolverse son application/json, application/json; charset=utf-8 o . Si usa algún otro encabezado, es posible que vea este mensaje de error:

Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.

La configuración del dominio del publicador afecta a lo que ven los usuarios en el mensaje de consentimiento de la aplicación. Para obtener más información sobre los componentes del mensaje de consentimiento, consulte Descripción de la experiencia de consentimiento de la aplicación.

En la ilustración siguiente se muestra cómo aparece el dominio del publicador en las solicitudes de consentimiento de la aplicación para las aplicaciones que se crearon antes del 21 de mayo de 2019:

Diagrama que muestra el comportamiento de solicitud de consentimiento para las aplicaciones creadas antes del 21 de mayo de 2019.

En el caso de las aplicaciones creadas entre el 21 de mayo de 2019 y el 30 de noviembre de 2020, la forma en que el dominio del publicador aparece en el mensaje de consentimiento de una aplicación depende del dominio del publicador y del tipo de aplicación. En la ilustración siguiente se describe lo que aparece en el mensaje de consentimiento para diferentes combinaciones de configuraciones:

Diagrama que muestra el comportamiento de solicitud de consentimiento para las aplicaciones creadas entre el 21 de mayo de 2019 y el 30 de noviembre de 2020.

En el caso de las aplicaciones multiinquilino creadas después del 30 de noviembre de 2020, solo se muestra el estado de comprobación del publicador en el mensaje de consentimiento de una aplicación. En la tabla siguiente se describe lo que aparece en un mensaje de consentimiento en función de si se comprueba una aplicación. La solicitud de consentimiento para las aplicaciones de un solo inquilino sigue siendo la misma.

Diagrama que muestra los resultados de la solicitud de consentimiento para las aplicaciones creadas después del 30 de noviembre de 2020.

Dominio del publicador y URI de redirección

Las aplicaciones que inician sesión de los usuarios mediante cualquier cuenta profesional o educativa o mediante una cuenta Microsoft (multiinquilino) están sujetas a algunas restricciones en los URI de redirección.

Restricción de dominio raíz única

Cuando el valor de dominio del publicador para una aplicación multiinquilino está establecido en NULL, la aplicación está restringida a compartir un dominio raíz único para los URI de redirección. Por ejemplo, no se permite la siguiente combinación de valores porque el dominio raíz contoso.com no coincide con el dominio raíz fabrikam.com.

"https://contoso.com",  
"https://fabrikam.com",

Restricciones de subdominio

Se permiten subdominios, pero debe registrar explícitamente el dominio raíz. Por ejemplo, aunque los siguientes URI comparten un dominio raíz único, no se permite la combinación:

"https://app1.contoso.com",
"https://app2.contoso.com",

Pero si el desarrollador agrega explícitamente el dominio raíz, se permite la combinación:

"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",

Excepciones de restricción

Los casos siguientes no están sujetos a la restricción de dominio raíz único:

  • Aplicaciones de inquilino único o destinadas a cuentas de un único directorio.
  • Uso de localhost como URI de redirección.
  • Identificadores URI de redirección con esquemas personalizados (ni HTTP ni HTTPS).

Configuración del dominio del publicador mediante programación

Actualmente, no puede usar la API REST ni PowerShell para establecer mediante programación un dominio de publicador.

Pasos siguientes