Configurar o domínio do editor de um aplicativo

  • Artigo

O domínio do editor de um aplicativo informa aos usuários para onde suas informações estão sendo enviadas. O domínio do editor também atua como uma entrada ou pré-requisito para a verificação do editor. Dependendo de quando o aplicativo foi registrado e do status da Verificação do Editor, ele seria exibido diretamente para o usuário no prompt de consentimento do aplicativo. O domínio do editor de um aplicativo é exibido aos usuários (dependendo do estado da Verificação do Editor) na experiência do usuário de consentimento para informar aos usuários para onde suas informações estão sendo enviadas para fins de confiabilidade.

No prompt de consentimento de um aplicativo, o domínio do editor ou o status de verificação do editor são exibidos. As informações mostradas dependem se o aplicativo é um aplicativo multilocatário, quando o aplicativo foi registrado e o status de verificação do editor do aplicativo.

Compreender as aplicações multiinquilinas

Um aplicativo multilocatário é um aplicativo que oferece suporte a contas de usuário que estão fora de um único diretório organizacional. Por exemplo, uma aplicação multilocatária pode suportar todas as contas escolares ou profissionais do Microsoft Entra ou pode suportar contas escolares ou profissionais do Microsoft Entra e contas pessoais da Microsoft.

Compreender os valores de domínio do editor padrão

Vários fatores determinam o valor padrão definido para o domínio do editor de um aplicativo:

  • Se o aplicativo está registrado em um locatário.
  • Se um locatário tem domínios verificados pelo locatário.
  • A data de registo da aplicação.

Registo de inquilinos e domínios verificados por inquilinos

Quando você registra um novo aplicativo, o domínio do editor do seu aplicativo pode ser definido como um valor padrão. O valor padrão depende de onde o aplicativo está registrado. O valor do domínio do editor depende especialmente se o aplicativo está registrado em um locatário e se o locatário tem domínios verificados pelo locatário.

Se o aplicativo tiver domínios verificados pelo locatário, o domínio do editor do aplicativo será padronizado para o domínio verificado principal do locatário. Se o aplicativo não tiver domínios verificados pelo locatário e não estiver registrado em um locatário, o domínio do editor padrão do aplicativo será nulo.

A tabela a seguir usa cenários de exemplo para descrever os valores padrão para o domínio do editor:

Domínio verificado pelo locatário Valor padrão do domínio do editor
nulo nulo
*.onmicrosoft.com *.onmicrosoft.com
- *.onmicrosoft.com
- domain1.com
- domain2.com (primário)		 domain2.com

Data de registo da aplicação

A data de registro de um aplicativo também determina os valores de domínio de editor padrão do aplicativo.

Se seu aplicativo multilocatário foi registrado entre 21 de maio de 2019 e 30 de novembro de 2020:

  • Se o domínio do editor do aplicativo não estiver definido, ou se estiver definido como um domínio que termina em .onmicrosoft.com, o prompt de consentimento do aplicativo mostrará não verificado para o valor do domínio do editor.
  • Se o aplicativo tiver um domínio de aplicativo verificado, o prompt de consentimento mostrará o domínio verificado.
  • Se o aplicativo for verificado pelo editor, o domínio do editor mostrará um selo azul verificado que indica o status.

Se o seu multilocatário foi registrado após 30 de novembro de 2020:

  • Se o aplicativo não for verificado pelo editor, o prompt de consentimento do aplicativo será exibido como não verificado. Nenhuma informação relacionada ao domínio do editor é exibida.
  • Se o aplicativo for verificado pelo editor, o prompt de consentimento do aplicativo mostrará um selo azul de verificação.

Aplicações criadas antes de 21 de maio de 2019

Se o seu aplicativo foi registrado antes de 21 de maio de 2019, o prompt de consentimento do aplicativo mostra não verificado, mesmo que você não tenha definido um domínio de editor. Recomendamos que você defina o valor de domínio do editor para que os usuários possam ver essas informações no prompt de consentimento do seu aplicativo.

Definir um domínio de editor no centro de administração do Microsoft Entra

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Para definir um domínio de editor para seu aplicativo usando o Centro de administração do Microsoft Entra:

  1. Inicie sessão no centro de administração do Microsoft Entra.

  2. Se você tiver acesso a vários locatários, use o ícone Configurações no canto superior direito e selecione o locatário onde o aplicativo está registrado no menu Diretórios + assinaturas.

  3. No Centro de administração do Microsoft Entra, navegue até Registros do aplicativo Identity>Applications>.

  4. Procure e selecione o aplicativo que deseja configurar.

  5. Em Visão geral, no menu de recursos em Gerenciar, selecione Marca.

  6. No domínio do Publisher, selecione uma das seguintes opções:

    • Se ainda não configurou um domínio, selecione Configurar um domínio.
    • Se você configurou um domínio, selecione Atualizar domínio.

  7. Se seu aplicativo estiver registrado em um locatário, selecione uma das duas opções:

    • Selecione um domínio verificado
    • Verificar um novo domínio

    Se o seu domínio não estiver registado no inquilino, apenas será apresentada a opção de verificar um novo domínio para a sua aplicação.

Verificar um novo domínio para seu aplicativo

Para verificar um novo domínio de editor para seu aplicativo:

  1. Crie um arquivo chamado microsoft-identity-association.json. Copie o seguinte JSON e cole-o no arquivo microsoft-identity-association.json :

    {
   "associatedApplications": [
      {
         "applicationId": "<your-app-id>"
      },
      {
         "applicationId": "<another-app-id>"
      }
   ]
 }

  2. Substitua <your-app-id> pela ID do aplicativo (cliente) do seu aplicativo. Use todas as IDs de aplicativo relevantes se estiver verificando um novo domínio para vários aplicativos.

  3. Hospede o arquivo em https://<your-domain>.com/.well-known/microsoft-identity-association.json. Substitua <your-domain> pelo nome do domínio verificado.

  4. Selecione Verificar e salvar domínio.

Não é necessário manter os recursos usados para verificação depois de verificar um domínio. Quando a verificação estiver concluída, pode remover o ficheiro alojado.

Selecione um domínio verificado

Se o seu locatário tiver domínios verificados, na lista suspensa Selecione um domínio verificado, selecione um dos domínios.

Nota

O conteúdo será interpretado como UTF-8 JSON para desserialização. Os cabeçalhos suportados Content-Type que devem retornar são application/json, application/json; charset=utf-8ou . Se utilizar qualquer outro cabeçalho, poderá ver esta mensagem de erro:

Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.

A configuração do domínio do editor afeta o que os usuários veem no prompt de consentimento do aplicativo. Para obter mais informações sobre os componentes do prompt de consentimento, consulte Compreender a experiência de consentimento do aplicativo.

A figura a seguir mostra como o domínio do editor aparece nos prompts de consentimento do aplicativo para aplicativos criados antes de 21 de maio de 2019:

Diagram that shows consent prompt behavior for apps created before May 21, 2019.

Para aplicativos criados entre 21 de maio de 2019 e 30 de novembro de 2020, a forma como o domínio do editor aparece no prompt de consentimento de um aplicativo depende do domínio do editor e do tipo de aplicativo. A figura a seguir descreve o que aparece no prompt de consentimento para diferentes combinações de configurações:

Diagram that shows consent prompt behavior for apps created between May 21, 2019, and November 30, 2020.

Para aplicativos multilocatários criados após 30 de novembro de 2020, apenas o status de verificação do editor é mostrado no prompt de consentimento de um aplicativo. A tabela a seguir descreve o que aparece em um prompt de consentimento, dependendo se um aplicativo é verificado. O prompt de consentimento para aplicativos de locatário único permanece o mesmo.

Diagram that shows consent prompt results for apps that were created after November 30, 2020.

URIs de domínio e redirecionamento do editor

Os aplicativos que entram em usuários usando qualquer conta corporativa ou de estudante ou usando uma conta da Microsoft (multilocatário) estão sujeitos a algumas restrições em URIs de redirecionamento.

Restrição de domínio raiz única

Quando o valor do domínio do editor para um aplicativo multilocatário é definido como nulo, o aplicativo fica restrito ao compartilhamento de um único domínio raiz para os URIs de redirecionamento. Por exemplo, a seguinte combinação de valores não é permitida porque o domínio contoso.com raiz não corresponde ao domínio fabrikam.comraiz.

"https://contoso.com",  
"https://fabrikam.com",

Restrições de subdomínio

Subdomínios são permitidos, mas você deve registrar explicitamente o domínio raiz. Por exemplo, embora os seguintes URIs compartilhem um único domínio raiz, a combinação não é permitida:

"https://app1.contoso.com",
"https://app2.contoso.com",

Mas se o desenvolvedor adicionar explicitamente o domínio raiz, a combinação é permitida:

"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",

Exceções de restrição

Os seguintes casos não estão sujeitos à restrição de domínio raiz única:

  • Aplicativos de locatário único ou aplicativos que segmentam contas em um único diretório.
  • Uso de localhost como URIs de redirecionamento.
  • Redirecionar URIs que tenham esquemas personalizados (não HTTP ou HTTPS).

Configurar o domínio do editor programaticamente

Atualmente, não é possível usar a API REST ou o PowerShell para definir programaticamente um domínio de editor.

Próximos passos