Partage via

Configurer le domaine de l’éditeur d’une application

  • Article

Le domaine d’éditeur d’une application informe les utilisateurs où leurs informations sont envoyées. Le domaine de l’éditeur fait également office d’entrée ou de prérequis pour la vérification de l’éditeur. En fonction de la date d’enregistrement de l’application et de l’état de la vérification de l’éditeur, celle-ci sera affichée directement à l’utilisateur dans l’invite de consentement de l’application. Le domaine d’éditeur d’une application s’affiche aux utilisateurs (en fonction de l’état de vérification du serveur de publication) sur l’expérience utilisateur de consentement pour informer les utilisateurs de l’emplacement d’envoi de leurs informations à des fins de fiabilité.

Dans l’invite de consentement d’une application, le domaine de l’éditeur ou l’état de vérification de l’éditeur s’affiche. Les informations affichées varient selon que l’application est une application multilocataire ou non, et en fonction du moment où l’application a été inscrite et de l’état de vérification de l’éditeur de l’application.

Comprendre les applications mutualisées

Une application multilocataire est une application qui prend en charge les comptes d’utilisateur qui se trouvent en dehors d’un seul annuaire organisationnel. Par exemple, une application multilocataire peut prendre en charge tous les comptes Microsoft Entra professionnel ou scolaire, ou elle peut prendre en charge les comptes Microsoft Entra professionnels ou scolaires et les comptes Microsoft personnels.

Comprendre les valeurs de domaine de l’éditeur par défaut

Plusieurs facteurs déterminent la valeur par défaut définie pour le domaine d’éditeur d’une application :

  • Si l’application est inscrite dans un locataire.
  • Indique si un locataire a des domaines vérifiés par le locataire lui-même.
  • Date d’inscription de l’application.

Enregistrement des locataires et domaines validés par le locataire

Lorsque vous inscrivez une nouvelle application, le domaine de l’éditeur de votre application peut être défini sur une valeur par défaut. La valeur par défaut dépend de l’emplacement où l’application est inscrite. La valeur du domaine de l'éditeur dépend notamment du fait que l'application soit enregistrée dans un locataire et si ce locataire dispose de domaines vérifiés.

Si l’application a des domaines vérifiés par le locataire, le domaine d’éditeur de l’application est défini par défaut sur le domaine vérifié principal du locataire. Si l’application n’a pas de domaines vérifiés par le tenant et que l’application n’est pas inscrite dans un tenant, le domaine d’éditeur par défaut de l’application est nul.

Le tableau suivant utilise des exemples de scénarios pour décrire les valeurs par défaut pour le domaine de l’éditeur :

Domaine vérifié par le locataire Valeur par défaut du domaine de l’éditeur
zéro zéro
*.onmicrosoft.com *.onmicrosoft.com
- *.onmicrosoft.com
- domain1.com
- domain2.com (principal)		 domain2.com

Date d’inscription de l’application

La date d’inscription d’une application détermine également les valeurs de domaine de l’éditeur par défaut de l’application.

Si votre application mutualisée a été enregistrée entre le 21 mai 2019 et le 30 novembre 2020:

  • Si le domaine d’éditeur de l’application n’est pas défini ou s’il est défini sur un domaine qui se termine par .onmicrosoft.com, l’invite de consentement de l’application affiche non vérifié pour la valeur du domaine d’éditeur.
  • Si l’application a un domaine d’application vérifié, l’invite de consentement affiche le domaine vérifié.
  • Si l’application est vérifiée par l’éditeur, le domaine de l'éditeur affiche un badge bleu vérifié pour indiquer l’état.

Si votre application multilocataire a été inscrite après le 30 novembre 2020 :

  • Si l’application n’est pas vérifiée par l’éditeur, l’invite de consentement de l’application affiche non vérifié. Aucune information relative au domaine de l’éditeur n’apparaît.
  • Si l’application est vérifiée par l’éditeur, l’invite de consentement de l’application affiche un badge vérifié bleu.

Applications créées avant le 21 mai 2019

Si votre application a été inscrite avant le 21 mai 2019, l’invite de consentement de votre application affiche non vérifié, même si vous n’avez pas défini de domaine d’éditeur. Nous vous recommandons de définir la valeur du domaine de l’éditeur afin que les utilisateurs puissent voir ces informations dans l’invite de consentement de votre application.

Définir un domaine d’éditeur dans le Centre d’administration Microsoft Entra

Pour définir un domaine d’éditeur pour votre application à l’aide du Centre d’administration Microsoft Entra :

  1. Connectez-vous au centre d’administration Microsoft Entra .

  2. Si vous avez accès à plusieurs locataires, utilisez l’icône paramètres de en haut à droite et sélectionnez le locataire dans lequel l’application est inscrite dans le menu Répertoires + abonnements.

  3. Dans le centre d’administration Microsoft Entra, accédez àIdentité>Applications>Inscriptions d’applications.

  4. Recherchez et sélectionnez l’application que vous souhaitez configurer.

  5. Dans Vue d’ensemble, dans le menu des ressources sous Gérer, sélectionnez Branding.

  6. Dans le domaine Publisher, sélectionnez l'une des options suivantes :

    • Si vous n’avez pas encore configuré de domaine, sélectionnez Configurer un domaine.
    • Si vous avez configuré un domaine, sélectionnez Mettre à jour le domaine.

  7. Si votre application est inscrite dans un client, sélectionnez ensuite parmi deux options :

    • Sélectionner un domaine vérifié
    • Vérifier un nouveau domaine

    Si votre domaine n’est pas inscrit dans le locataire, seule l’option de vérification d’un nouveau domaine pour votre application apparaît.

Vérifier un nouveau domaine pour votre application

Pour vérifier un nouveau domaine d’éditeur pour votre application :

  1. Créez un fichier nommé microsoft-identity-association.json. Copiez le code JSON suivant et collez-le dans le fichier microsoft-identity-association.json :

    {
   "associatedApplications": [
      {
         "applicationId": "<your-app-id>"
      },
      {
         "applicationId": "<another-app-id>"
      }
   ]
 }

  2. Remplacez <your-app-id> par l’ID d’application (client) de votre application. Utilisez tous les ID d’application pertinents si vous vérifiez un nouveau domaine pour plusieurs applications.

  3. Hébergez le fichier à https://<your-domain>.com/.well-known/microsoft-identity-association.json. Remplacez <your-domain> par le nom du domaine vérifié.

  4. Sélectionnez Vérifier et enregistrer le domaine.

Vous n’êtes pas obligé de conserver les ressources utilisées pour la vérification après avoir vérifié un domaine. Une fois la vérification terminée, vous pouvez supprimer le fichier hébergé.

Sélectionner un domaine vérifié

Si votre locataire contient des domaines vérifiés, dans la liste déroulante Sélectionner un domaine vérifié, sélectionnez l’un des domaines.

Remarque

Le contenu sera interprété en tant que JSON UTF-8 pour la désérialisation. Les en-têtes Content-Type pris en charge qui doivent être retournés sont application/json, application/json; charset=utf-8 ou . Si vous utilisez un autre en-tête, ce message d’erreur peut s’afficher :

Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.

La configuration du domaine d’éditeur affecte ce que les utilisateurs voient dans l’invite de consentement de l’application. Pour plus d’informations sur les composants de l’invite de consentement, consultez Comprendre l’expérience de consentement de l’application.

La figure suivante montre comment le domaine de l’éditeur apparaît dans les invites de consentement de l’application pour les applications créées avant le 21 mai 2019 :

Diagramme montrant le comportement d’invite de consentement pour les applications créées avant le 21 mai 2019.

Pour les applications créées entre le 21 mai 2019 et le 30 novembre 2020, la façon dont le domaine d’éditeur apparaît dans l’invite de consentement d’une application dépend du domaine de l’éditeur et du type d’application. La figure suivante décrit ce qui apparaît à l’invite de consentement pour différentes combinaisons de configurations :

Diagramme montrant le comportement d’invite de consentement pour les applications créées entre le 21 mai 2019 et le 30 novembre 2020.

Pour les applications mutualisées créées après le 30 novembre 2020, seul l’état de vérification de l’éditeur s’affiche dans l’invite de consentement d’une application. Le tableau suivant décrit ce qui apparaît dans une invite de consentement selon que l’application est vérifiée. L’invite de consentement pour les applications monolocataires reste inchangée.

Diagramme montrant les résultats des invites de consentement pour les applications créées après le 30 novembre 2020.

Domaine de l’éditeur et URI de redirection

Les applications qui connectent des utilisateurs à l’aide de n’importe quel compte professionnel ou scolaire ou à l’aide d’un compte Microsoft (multilocataire) sont soumises à quelques restrictions dans les URI de redirection.

Restriction de domaine racine unique

Lorsque la valeur du domaine de l’éditeur pour une application mutualisée est définie sur Null, l’application est limitée au partage d’un domaine racine unique pour les URI de redirection. Par exemple, la combinaison suivante de valeurs n’est pas autorisée, car le domaine racine contoso.com ne correspond pas au domaine racine fabrikam.com.

"https://contoso.com",  
"https://fabrikam.com",

Restrictions de sous-domaine

Les sous-domaines sont autorisés, mais vous devez inscrire explicitement le domaine racine. Par exemple, bien que les URI suivants partagent un seul domaine racine, la combinaison n’est pas autorisée :

"https://app1.contoso.com",
"https://app2.contoso.com",

Toutefois, si le développeur ajoute explicitement le domaine racine, la combinaison est autorisée :

"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",

Exceptions de restriction

Les cas suivants ne sont pas soumis à la restriction de domaine racine unique :

  • Applications à locataire unique ou applications ciblant des comptes dans un annuaire unique.
  • Utilisation de localhost comme URI de redirection.
  • URI de redirection qui ont des schémas personnalisés (non-HTTP ou HTTPS).

Configurer le domaine de l’éditeur par programmation

Actuellement, vous ne pouvez pas utiliser l’API REST ou PowerShell pour définir par programme un domaine d’éditeur.

Étapes suivantes