Поделиться через

Настройка домена издателя приложения

  • Статья

Домен издателя приложения сообщает пользователям, где отправляются их сведения. Домен издателя также выступает в качестве входных данных или необходимого условия для проверки издателя. В зависимости от того, когда приложение было зарегистрировано и от состояния проверки издателя, оно будет отображаться непосредственно пользователю в запросе на согласие приложения . Домен издателя приложения отображается пользователям (в зависимости от состояния проверки издателя) на пользовательском интерфейсе согласия, чтобы сообщить пользователям, где их информация отправляется для надежности.

В запросе на согласие приложения будет отображаться либо домен издателя, либо статус верификации издателя. Какая информация отображается, зависит от того, является ли приложение мультитенантным, когда приложение зарегистрировано, и состояние проверки издателя приложения.

Общие сведения о мультитенантных приложениях

мультитенантное приложение — это приложение, которое поддерживает учетные записи пользователей, выходящие за рамки одного корпоративного каталога. Например, мультитенантное приложение может поддерживать все рабочие или учебные учетные записи Microsoft Entra, а также поддержку рабочих или учебных учетных записей Microsoft Entra и личных учетных записей Майкрософт.

Общие сведения о значениях домена издателя по умолчанию

Несколько факторов определяют значение по умолчанию, заданное для домена издателя приложения:

  • Зарегистрировано ли приложение в клиенте.
  • Имеет ли клиент проверенные клиентом домены.
  • Дата регистрации приложения.

Регистрация арендатора и домены, проверенные арендатором

При регистрации нового приложения домен издателя приложения может иметь значение по умолчанию. Значение по умолчанию зависит от того, где зарегистрировано приложение. Значение домена издателя зависит особенно от того, зарегистрировано ли приложение в арендаторе и имеет ли арендатор проверенные арендатором домены.

Если у приложения есть проверенные клиентом домены, домен издателя приложения по умолчанию используется для основного проверенного домена клиента. Если у приложения нет доменов, проверенных клиентом, и приложение не зарегистрировано в клиенте, домен издателя по умолчанию приложения имеет значение NULL.

В следующей таблице используются примеры сценариев для описания значений по умолчанию для домена издателя:

Проверенный клиентом домен Значение по умолчанию домена издателя
нулевой нулевой
*.onmicrosoft.com *.onmicrosoft.com
- *.onmicrosoft.com
- domain1.com
- domain2.com (основной)		 domain2.com

Дата регистрации приложения

Дата регистрации приложения также определяет значения домена издателя по умолчанию.

Если многопользовательское приложение зарегистрировано в период с 21 мая 2019 г. по 30 ноября 2020 г.:

  • Если домен издателя приложения не задан, или если он задан на домен, который заканчивается на .onmicrosoft.com, то в запросе на согласие приложения отображается неподтвержденный для значения домена издателя.
  • Если у приложения есть проверенный домен приложения, запрос согласия отображает проверенный домен.
  • Если приложение подтверждено издателем, домен издателя отображает синюю проверенную эмблему, указывающую на статус.

Если ваш мультитенант был зарегистрирован после 30 ноября 2020 года:

  • Если приложение не проверено издателем, запрос согласия для приложения отображает непроверено. Нет сведений о домене издателя.
  • Если приложение проверено, в запросе на согласие приложения отображается синий проверенный значок.

Приложения, созданные до 21 мая 2019 г.

Если ваше приложение зарегистрировано до 21 мая 2019 г., запрос на согласие вашего приложения отображает статус "непроверено", даже если вы не установили домен издателя. Рекомендуется задать значение домена издателя, чтобы пользователи могли видеть эти сведения в запросе на согласие приложения.

Настройка домена издателя в Центре администрирования Microsoft Entra

Чтобы задать домен издателя для приложения с помощью Центра администрирования Microsoft Entra, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra.

  2. Если у вас есть доступ к нескольким арендаторам, используйте значок параметров в правом верхнем углу и выберите арендатора, где приложение зарегистрировано, из меню Каталоги + подписки.

  3. В Центре администрирования Microsoft Entra перейдите к Identity>Приложения>в раздел регистрации приложений.

  4. Найдите и выберите приложение, которое вы хотите настроить.

  5. В Обзорв меню ресурсов в разделе Управлениевыберите Брендинг.

  6. В домене издателя выберите один из следующих вариантов:

    • Если вы еще не настроили домен, выберите Настроить домен.
    • Если вы настроили домен, выберите Обновить домен.

  7. Если ваше приложение зарегистрировано в клиенте, выберите один из двух вариантов:

    • Выбор проверенного домена
    • Проверка нового домена

    Если домен не зарегистрирован в клиенте, появится только параметр проверки нового домена для вашего приложения.

Проверка нового домена для приложения

Чтобы проверить новый домен издателя для приложения, выполните следующее:

  1. Создайте файл с именем microsoft-identity-association.json. Скопируйте следующий код JSON и вставьте его в файл microsoft-identity-association.json:

    {
   "associatedApplications": [
      {
         "applicationId": "<your-app-id>"
      },
      {
         "applicationId": "<another-app-id>"
      }
   ]
 }

  2. Замените <your-app-id> идентификатором приложения (клиента). Используйте все соответствующие идентификаторы приложений, если вы проверяете новый домен для нескольких приложений.

  3. Разместите файл на https://<your-domain>.com/.well-known/microsoft-identity-association.json. Замените <your-domain> именем проверенного домена.

  4. Выберите Проверить и сохранить домен.

Вам не требуется поддерживать ресурсы, которые используются для проверки после проверки домена. После завершения проверки можно удалить размещенный файл.

Выбор проверенного домена

Если у вашего клиента есть проверенные домены, в раскрывающемся списке Выберите проверенный домен выберите один из доменов.

Заметка

Содержимое будет интерпретировано как JSON UTF-8 для десериализации. Поддерживаемые заголовки Content-Type, которые должны возвращаться: application/json, application/json; charset=utf-8или . Если вы используете любой другой заголовок, может появиться следующее сообщение об ошибке:

Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.

Настройка домена издателя влияет на то, что пользователи видят в запросе согласия приложения. Дополнительные сведения о компонентах запроса на согласие см. в статье Общие сведения о интерфейсе предоставления согласия приложения.

На следующем рисунке показано, как домен издателя отображается в запросах на согласие приложения, созданные до 21 мая 2019 г.:

диаграмма, показывающая поведение запроса согласия для приложений, созданных до 21 мая 2019 г.

Для приложений, созданных с 21 мая 2019 г. по 30 ноября 2020 г., как домен издателя отображается в запросе согласия приложения, это зависит от домена издателя и типа приложения. На следующем рисунке описывается, что отображается в запросе согласия для различных сочетаний конфигураций:

диаграмма, показывающая поведение запроса согласия для приложений, созданных с 21 мая 2019 г. до 30 ноября 2020 г.

Для мультитенантных приложений, созданных после 30 ноября 2020 г., в запросе на согласие приложения отображается только состояние проверки издателя. В следующей таблице описывается, что отображается в запросе согласия в зависимости от того, проверено ли приложение. Запрос согласия для приложений с одним клиентом остается неизменным.

диаграмма с результатами запроса на согласие для приложений, созданных после 30 ноября 2020 г.

Домен издателя и URI перенаправления

Приложения, которые выполняют вход пользователей с помощью любой рабочей или учебной учетной записи или с помощью учетной записи Microsoft в многопользовательском режиме, подвержены некоторым ограничениям в перенаправлениях URI.

Ограничение одного корневого домена

Если для мультитенантного приложения задано значение NULL, приложение ограничено использованием одного корневого домена для перенаправляющих URI. Например, следующее сочетание значений не допускается, так как корневой домен contoso.com не соответствует корневому домену fabrikam.com.

"https://contoso.com",  
"https://fabrikam.com",

Ограничения поддомена

Поддомены разрешены, но необходимо явно зарегистрировать корневой домен. Например, хотя следующие URI совместно используют один корневой домен, сочетание не допускается:

"https://app1.contoso.com",
"https://app2.contoso.com",

Но если разработчик явно добавляет корневой домен, это сочетание допускается:

"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",

Исключения ограничений

Следующие случаи не подлежат ограничению одного корневого домена:

  • Приложения для одного пользователя или приложения, предназначенные для учетных записей в одном каталоге.
  • Использование localhost в качестве URI для перенаправления.
  • URI перенаправления с пользовательскими схемами (не HTTP или HTTPS).

Настройка домена издателя программным способом

В настоящее время нельзя использовать REST API или PowerShell для программного задания домена издателя.

Дальнейшие действия