Configurar o domínio de publicador de um aplicativo

O domínio do editor de um aplicativo informa aos usuários para onde suas informações estão sendo enviadas. O domínio do editor também atua como uma entrada ou pré-requisito para verificação do editor. Dependendo de quando o aplicativo foi registrado e do status da Verificação do publicador, ele seria exibido diretamente para o usuário no prompt de consentimento do aplicativo. O domínio do publicador de um aplicativo é exibido aos usuários (dependendo do estado da Verificação do Publicador) no UX de consentimento para que os usuários saibam para onde suas informações estão sendo enviadas para confiabilidade.

No prompt de consentimento de um aplicativo, o domínio do editor ou o status de verificação do editor são exibidos. As informações mostradas dependem de o aplicativo ser um aplicativo multilocatário, quando o aplicativo foi registrado e o status de verificação do editor do aplicativo.

Entender os aplicativos de multilocatários

Um aplicativo multiusuário é um aplicativo que dá suporte a contas de usuário que estão fora de um único diretório organizacional. Por exemplo, um aplicativo multilocatário pode dar suporte a todas as contas de trabalho ou escola do Microsoft Entra, ou pode dar suporte tanto a contas de trabalho ou escola do Microsoft Entra quanto a contas pessoais da Microsoft.

Entender os valores de domínio do publicador padrão

Vários fatores determinam o valor padrão definido para o domínio do editor de um aplicativo:

• Se o aplicativo está registrado em um locatário.
• Se um locatário tem domínios verificados pelo locatário.
• A data de registro do aplicativo.

Registro de locatário e domínios verificados pelo locatário

Quando você registra um novo aplicativo, o domínio do editor do aplicativo pode ser definido como um valor padrão. O valor padrão depende de onde o aplicativo está registrado. O valor do domínio do editor depende de onde o aplicativo está registrado em um locatário e se o locatário tem domínios verificados por locatário.

Se o aplicativo tiver domínios verificados pelo locatário, o domínio do editor do aplicativo usará como padrão o domínio verificado primário do locatário. Se o aplicativo não tiver domínios verificados pelo locatário e o aplicativo não estiver registrado em um locatário, o domínio do editor padrão do aplicativo será nulo.

A tabela a seguir usa cenários de exemplo para descrever os valores padrão para o domínio do editor:

Domínio verificado pelo locatário	Valor padrão do domínio do editor
nulo	nulo
*.onmicrosoft.com	*.onmicrosoft.com
- *.onmicrosoft.com - domain1.com - domain2.com (primário)	domain2.com

Data de registro do aplicativo

A data de registro de um aplicativo também determina os valores de domínio padrão do editor do aplicativo.

Se o aplicativo multilocatário foi registrado entre 21 de maio de 2019 e 30 de novembro de 2020:

• Se o domínio do editor do aplicativo não estiver definido ou se estiver definido para um domínio que termina em .onmicrosoft.com, a solicitação de consentimento do aplicativo mostrará não verificado para o valor do domínio do editor.
• Se o aplicativo tiver um domínio de aplicativo verificado, o prompt de consentimento mostrará o domínio verificado.
• Se o aplicativo for verificado pelo editor, o domínio do editor mostrará um selo azul verificado que indica o status.

Se o multilocatário foi registrado após 30 de novembro de 2020:

• Se o aplicativo não for verificado pelo editor, a solicitação de consentimento do aplicativo será exibido como não verificado. Nenhuma informação relacionada ao domínio do editor é exibida.
• Se o aplicativo for verificado pelo editor, a solicitação de consentimento do aplicativo mostrará um selo azul verificado.

Aplicativos criados antes de 21 de maio de 2019

Se o seu aplicativo foi registrado antes de 21 de maio de 2019, sua solicitação de consentimento exibirá não verificado, mesmo que você não tenha definido um domínio de editor. Recomendamos que você defina o valor de domínio do editor para que os usuários possam ver essas informações no prompt de consentimento do aplicativo.

Definir um domínio do publicador no Centro de administração do Microsoft Entra

Para definir um domínio de editor para seu aplicativo usando o Centro de administração do Microsoft Entra:

1. Entre no centro de administração do Microsoft Entra.

2. Se você tiver acesso a vários locatários, use o ícone Configurações no canto superior direito e selecione o locatário em que o aplicativo está registrado no menu Diretórios + assinaturas.

3. No Centro de administração do Microsoft Entra, navegue até Identidade>Aplicativos>Registros de aplicativo.

4. Pesquise e selecione o aplicativo que você deseja configurar.

5. Em Visão Geral, no menu de recursos em Gerenciar, selecione Identidade Visual.

6. Em Domínio do editor, selecione uma das seguintes opções:

   • Se você ainda não configurou um domínio, selecione Configurar um domínio.
   • Se você configurou um domínio, selecione Atualizar domínio.

7. Se o aplicativo estiver registrado em um locatário, selecione entre duas opções:

   • Selecione um domínio verificado
   • Verificar um novo domínio

   Se o domínio não estiver registrado no locatário, apenas a opção de verificar um novo domínio para seu aplicativo será exibida.

Verificar um novo domínio para seu aplicativo

Para verificar um novo domínio do editor para seu aplicativo:

1. Criar um arquivo chamado microsoft-identity-association.json. Copie o seguinte JSON e cole-o no arquivo microsoft-identity-association.json:

   {
      "associatedApplications": [
         {
            "applicationId": "<your-app-id>"
         },
         {
            "applicationId": "<another-app-id>"
         }
      ]
    }
   

2. Substitua <your-app-id> pela ID do aplicativo (cliente) do seu app. Use todas as IDs de aplicativo relevantes se estiver verificando um novo domínio para vários aplicativos.

3. Hospede o arquivo em https://<your-domain>.com/.well-known/microsoft-identity-association.json. Substitua <your-domain> pelo nome do domínio verificado.

4. Selecione Verificar e salvar domínio.

Não é necessário manter os recursos usados para verificação depois de verificar um domínio. Quando a verificação for concluída, você poderá remover o arquivo hospedado.

Selecionar um domínio verificado

Se o seu locatário tiver domínios verificados, no menu suspenso Selecionar um domínio verificado, selecione um dos domínios.

Nota

O conteúdo será interpretado como JSON UTF-8 para desserialização. Os cabeçalhos de Content-Type com suporte que devem ser retornados são application/json, application/json; charset=utf-8ou . Se você usar qualquer outro cabeçalho, poderá ver esta mensagem de erro:

Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.

Domínio do editor e a solicitação de consentimento do aplicativo

A configuração do domínio do editor afeta o que os usuários veem no prompt de consentimento do aplicativo. Para obter mais informações sobre os componentes do prompt de consentimento, consulte Noções básicas sobre a experiência de consentimento do aplicativo.

A figura a seguir mostra como o domínio do editor aparece nos prompts de consentimento do aplicativo para aplicativos que foram criados antes de 21 de maio de 2019:

Para aplicativos que foram criados entre 21 de maio de 2019 e 30 de novembro de 2020, a forma como o domínio do editor aparece no prompt de consentimento de um aplicativo depende do domínio do editor e do tipo de aplicativo. A figura a seguir descreve o que aparece no prompt de consentimento para diferentes combinações de configurações:

Para aplicativos multilocatários criados após 30 de novembro de 2020, apenas o status de verificação do editor é mostrado na solicitação de consentimento de um aplicativo. A tabela a seguir descreve o que aparece em um prompt de consentimento, dependendo se um aplicativo é verificado. A solicitação de consentimento em aplicativos de locatário único permanece o mesmo.

DOMÍNIO do publicador e URIs de redirecionamento

Os aplicativos que autenticam usuários usando qualquer conta corporativa ou de estudante ou usando uma conta da Microsoft (multicliente) estão sujeitos a algumas restrições nos URIs de redirecionamento.

Restrição de domínio raiz única

Quando o valor do domínio do editor de um aplicativo multilocatário é definido como nulo, o aplicativo fica restrito a compartilhar um domínio raiz para os URIs de redirecionamento. Por exemplo, a seguinte combinação de valores não é permitida porque o domínio raiz contoso.com não corresponde ao domínio raiz fabrikam.com.

"https://contoso.com",  
"https://fabrikam.com",

Restrições de subdomínio

Os subdomínios são permitidos, mas você deve registrar explicitamente o domínio raiz. Por exemplo, embora as URIs a seguir compartilhem um único domínio raiz, a combinação não é permitida:

"https://app1.contoso.com",
"https://app2.contoso.com",

Mas se o desenvolvedor adiciona explicitamente o domínio raiz, a combinação é permitida:

"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",

Exceções de restrição

Os seguintes casos não estão sujeitos à restrição de domínio raiz única:

• Aplicativos de locatário único ou que se destinem a contas de diretório único.
• Uso do localhost como URI de redirecionamento.
• URIs de redirecionamento que têm esquemas personalizados (não HTTP ou HTTPS).

Configurar o domínio do publicador programaticamente

Atualmente, você não pode usar a API REST ou o PowerShell para definir programaticamente um domínio do publicador.

Próximas etapas

• Saiba como marcar um aplicativo como editor verificado.
• Solucionar problemas de verificação do editor.