Configurare il dominio di pubblicazione di un'app

2023-10-24

Il dominio dell'editore di un'app informa gli utenti della posizione in cui vengono inviate le informazioni. Il dominio del server di pubblicazione funge anche da input o prerequisito per la verifica dell'autore. A seconda della registrazione dell'app e dello stato della verifica dell'editore, l'app verrà visualizzata direttamente all'utente nella richiesta di consenso dell'applicazione. Il dominio del publisher di un'applicazione viene visualizzato agli utenti (a seconda dello stato della verifica del publisher) nell'esperienza utente di consenso per informare gli utenti a chi vengono inviate le informazioni per l'attendibilità.

Nella richiesta di consenso di un'app viene visualizzato il dominio dell'editore o lo stato di verifica dell'editore. Le informazioni visualizzate dipendono dal fatto che l'app sia un'app multi-tenant, quando l'app è stata registrata e lo stato di verifica dell'autore dell'app.

Informazioni sulle app multi-tenant

Un'app multi-tenant è un'app che supporta gli account utente esterni a una singola directory organizzativa. Ad esempio, un'app multi-tenant potrebbe supportare tutti gli account microsoft Entra aziendali o dell'istituto di istruzione oppure potrebbe supportare sia account Microsoft Entra aziendali che dell'istituto di istruzione e account Microsoft personali.

Comprendere i valori di dominio predefiniti dell'editore

Diversi fattori determinano il valore predefinito impostato per il dominio di pubblicazione di un'app:

Verifica se l'applicazione è registrata in un tenant.
Indica se un tenant dispone di domini verificati dal tenant.
Data di registrazione dell'app.

Registrazione del tenant e domini verificati dal tenant

Quando si registra una nuova app, il dominio di pubblicazione dell'app potrebbe essere impostato su un valore predefinito. Il valore predefinito dipende dalla posizione in cui è registrata l'app. Il valore del dominio di pubblicazione dipende in particolare dal fatto che l'app sia registrata in un tenant e se il tenant disponga di domini verificati dal tenant.

Se l'app dispone di domini verificati dal tenant, per impostazione predefinita il dominio di pubblicazione dell'app corrisponde al dominio verificato primario del tenant. Se l'app non dispone di domini verificati dal tenant e l'app non è registrata in un tenant, il dominio di pubblicazione predefinito dell'app è Null.

La tabella seguente usa scenari di esempio per descrivere i valori predefiniti per il dominio del server di pubblicazione:

Dominio verificato dal tenant	Valore predefinito del dominio di pubblicazione
nullo	nullo
`*.onmicrosoft.com`	`*.onmicrosoft.com`
- `*.onmicrosoft.com` - `domain1.com` - `domain2.com` (primario)	`domain2.com`

Data di registrazione dell'app

La data di registrazione di un'app determina anche i valori predefiniti del dominio di pubblicazione dell'app.

Se l'app multi-tenant è stata registrata tra il 21 maggio 2019 e il 30 novembre 2020:

Se il dominio dell'editore dell'app non è impostato o se è impostato su un dominio che termina in .onmicrosoft.com, la richiesta di consenso dell'app mostra non verificato il valore del dominio di pubblicazione.
Se l'app ha un dominio app verificato, la richiesta di consenso mostra il dominio verificato.
Se l'app viene verificata dall'editore, il dominio dell'editore mostra una notifica blu verificata che indica lo stato.

Se il multi-tenant è stato registrato dopo il 30 novembre 2020:

Se l'app non è verificata dall'editore, la richiesta di consenso per l'app mostra non verificato. Non viene visualizzata alcuna informazione relativa al dominio dell'editore.
Se l'app viene verificata dall'editore, la richiesta di consenso dell'app mostra una notifica blu verificata.

App create prima del 21 maggio 2019

Se l'app è stata registrata prima del 21 maggio 2019, la richiesta di consenso dell'app non viene verificata, anche se non è stato impostato un dominio di pubblicazione. È consigliabile impostare il valore del dominio di pubblicazione in modo che gli utenti possano visualizzare queste informazioni nella richiesta di consenso dell'app.

Impostare un dominio di pubblicazione nell'interfaccia di amministrazione di Microsoft Entra

Per impostare un dominio di pubblicazione per l'app tramite l'interfaccia di amministrazione di Microsoft Entra:

Accedere all'interfaccia di amministrazione di Microsoft Entra.
Se si ha accesso a più tenant, usare l'icona Impostazioni in alto a destra e selezionare il tenant in cui è registrata l'app dal menu Directory e sottoscrizioni.
Nell'interfaccia di amministrazione di Microsoft Entra passare a Entra ID>Registrazioni App.
Cercare e selezionare l'app da configurare.
In Panoramica, nel menu delle risorse in Gestisci, selezionare Branding.
In Dominio di pubblicazione selezionare una delle opzioni seguenti:
- Se non è già stato configurato un dominio, selezionare Configura un dominio.
- Se è stato configurato un dominio, selezionare Aggiorna dominio.
Se l'app è registrata in un tenant, selezionare tra due opzioni:
- Selezionare un dominio verificato
- Verificare un nuovo dominio
Se il dominio non è registrato nel tenant, viene visualizzata solo l'opzione per verificare un nuovo dominio per l'app.

Verificare un nuovo dominio per l'app

Per verificare un nuovo dominio di pubblicazione per l'app:

Creare un file denominato microsoft-identity-association.json. Copiare il codice JSON seguente e incollarlo nel file microsoft-identity-association.json :

{
   "associatedApplications": [
      {
         "applicationId": "<your-app-id>"
      },
      {
         "applicationId": "<another-app-id>"
      }
   ]
 }

Sostituire <your-app-id> con l'ID applicazione (client) per l'app. Usa tutti gli ID app pertinenti se stai verificando un nuovo dominio per più app.
Carica il file su https://<your-domain>.com/.well-known/microsoft-identity-association.json. Sostituire <your-domain> con il nome del dominio verificato.
Selezionare Verifica e salva dominio.

Non è necessario gestire le risorse usate per la verifica dopo aver verificato un dominio. Al termine della verifica, è possibile rimuovere il file ospitato.

Selezionare un dominio verificato

Se il tenant ha domini verificati, nell'elenco a discesa Selezionare un dominio verificato selezionare uno dei domini.

Annotazioni

Il contenuto verrà interpretato come JSON UTF-8 per la deserializzazione. Le intestazioni supportate Content-Type che devono restituire sono application/json, application/json; charset=utf-8, o . Se si usa un'altra intestazione, è possibile che venga visualizzato questo messaggio di errore:

Verification of publisher domain failed. Error getting JSON file from https:///.well-known/microsoft-identity-association. The server returned an unexpected content type header value.

La configurazione del dominio di pubblicazione influisce sugli elementi visualizzati dagli utenti nella richiesta di consenso dell'app. Per altre informazioni sui componenti della richiesta di consenso, vedere Informazioni sull'esperienza di consenso dell'applicazione.

La figura seguente mostra come viene visualizzato il dominio di pubblicazione nelle richieste di consenso dell'app per le app create prima del 21 maggio 2019:

Diagramma che mostra il comportamento della richiesta di consenso per le app create prima del 21 maggio 2019.

Per le app create tra il 21 maggio 2019 e il 30 novembre 2020, il modo in cui il dominio dell'editore viene visualizzato nella richiesta di consenso di un'app dipende dal dominio dell'editore e dal tipo di app. La figura seguente descrive cosa viene visualizzato nella richiesta di consenso per diverse combinazioni di configurazioni:

Diagramma che mostra il comportamento della richiesta di consenso per le app create tra il 21 maggio 2019 e il 30 novembre 2020.

Per le app multi-tenant create dopo il 30 novembre 2020, nella richiesta di consenso di un'app viene visualizzato solo lo stato di verifica dell'editore. La tabella seguente descrive cosa viene visualizzato in una richiesta di consenso a seconda che un'app sia verificata. La richiesta di consenso per le app a tenant singolo rimane invariata.

Diagramma che mostra i risultati della richiesta di consenso per le app create dopo il 30 novembre 2020.

Domini del publisher e URI di reindirizzamento

Le app che consentono agli utenti di accedere usando qualsiasi account aziendale o dell'istituto di istruzione o usando un account Microsoft (multi-tenant) sono soggette a alcune restrizioni negli URI di reindirizzamento.

Restrizione su un unico dominio radice

Quando il valore del dominio di pubblicazione per un'app multi-tenant è impostato su Null, l'app è limitata alla condivisione di un singolo dominio radice per gli URI di reindirizzamento. Ad esempio, la combinazione di valori seguente non è consentita perché il dominio contoso.com radice non corrisponde al dominio fabrikam.comradice.

"https://contoso.com",  
"https://fabrikam.com",

Restrizioni del sottodominio

I sottodomini sono consentiti, ma è necessario registrare in modo esplicito il dominio radice. Ad esempio, anche se gli URI seguenti condividono un singolo dominio radice, la combinazione non è consentita:

"https://app1.contoso.com",
"https://app2.contoso.com",

Tuttavia, se lo sviluppatore aggiunge in modo esplicito il dominio radice, la combinazione è consentita:

"https://contoso.com",
"https://app1.contoso.com",
"https://app2.contoso.com",

Eccezioni di restrizione

I casi seguenti non sono soggetti alla restrizione del singolo dominio radice:

Applicazioni a tenant singolo che si rivolgono agli account in una singola directory.
Uso di localhost come URI di reindirizzamento.
URI di reindirizzamento che hanno schemi personalizzati (non HTTP o HTTPS).

Configurare il dominio del server di pubblicazione a livello di codice

Attualmente, non è possibile usare l'API REST o PowerShell per impostare a livello di codice un dominio di pubblicazione.

Passaggi successivi

Informazioni su come contrassegnare un'app come autore verificato.
Risolvere i problemi di verifica dell'editore.