Проверьте домен издателя для мультитенантного приложения AAD при миграции клиентов

Question

Мы переносим существующую регистрацию приложений с нашего корпоративного арендатора (foo-corporate.com) на нового выделенного арендатора (bar-app.com).

Процесс перемещения регистрации приложения требует создания новой регистрации приложения в арендаторе bar-app.com.

Согласно этой статье нам нужно проверьте домен издателя (foo-corporate.com) в новом выделенном арендаторе (bar-app.com).

Это необходимо, поскольку в противном случае пользователь увидит непроверенный как издатель на экране согласия (см. # 5 на скриншоте) вместо издателя (foo-corporate).

Процесс проверки издателя включает в себя хостинг microsoft-identity-association.json на https://foo -corporate.com / .well-known / для проверки издателя.

Вопросы

• Есть ли другой способ проверить издателя foo-corporate.com для регистрации нового приложения в арендаторе bar-app.com? Мы являемся крупным предприятием, и наша команда разработчиков не имеет доступа к хостингу foo-corporate.com (общедоступный веб-сайт), поэтому мы не можем поместить туда файл json. Я предполагаю, что это относится к большинству крупных предприятий.
• Если нет другого варианта, нужно ли нам постоянно размещать этот файл или он нужен только для первой проверки и может быть удален после этого?

Обновление 1

Вопрос касается подтверждения домена издателя и , а не пользовательского доменапроверка в качестве первого ответа на этот вопрос предполагается.

Пример экрана согласия

Answer 1

Вы можете подтвердить свой домен в Azure AD, добавив пользовательский домен. Вы можете проверить это, используя любой из методов здесь , которые включают создание записей DNS или размещение файла на сайте. Файл требуется только при проверке домена;Его можно удалить после того, как статус отобразится как подтвержденный.

Портал Azure -> Azure AD -> Пользовательские домены:

С эта страница:

Новые приложения

При регистрации нового приложения для домена издателя вашего приложения может быть установлено значение по умолчанию. Значение зависит от того, где зарегистрировано приложение, в частности от того, зарегистрировано ли приложение у арендатора и есть ли у арендатора проверенные домены.

Если существует проверенных арендатором доменов , приложениеДомен издателя по умолчанию будет основным проверенным доменом арендатора. Если нет подтвержденных арендатором доменов (что является случаем, когда приложение не зарегистрировано в арендаторе), домен издателя приложения будет иметь значение NULL.

Добавление подтвержденного арендатором домена дает вам большеварианты проверки. Верификация гарантирует невозможность отказа от авторства, что важно для Microsoft, чтобы показать издателю приложения конечного пользователя.

Без размещения файла на веб-сайте для домена (у меня нет веб-сайта) мне доступны следующие параметры:

Первый - это домен, который я проверил через DNS, второй - домен по умолчанию на onmicrosoft.com. Однако использование домена onmicrosoft будет недостаточно, поскольку это домен Available , а не домен Verified .

.