Konfigurace více instancí aplikací

Více instancí aplikace znamená potřebu konfigurace více instancí stejné aplikace v rámci tenanta. Organizace má například více účtů, z nichž každý potřebuje samostatný instanční objekt pro zpracování mapování deklarací identit specifických pro instanci a přiřazení rolí. Nebo má zákazník více instancí aplikace, které nepotřebují speciální mapování deklarací identity, ale pro samostatné podpisové klíče potřebují samostatné instanční objekty.

Přístupy k přihlášení

Uživatel se může přihlásit k aplikaci jedním z následujících způsobů:

• Prostřednictvím aplikace přímo, která se označuje jako poskytovatel služeb (SP) iniciovaný jednotným přihlašováním (SSO).
• Přejděte přímo ke zprostředkovateli identity (IDP), kterému se říká jednotné přihlašování iniciované protokolem IDP.

V závislosti na tom, který přístup se ve vaší organizaci používá, postupujte podle příslušných pokynů popsaných v tomto článku.

Jednotné přihlašování iniciované sp

V požadavku SAML inicialovaného jednotného přihlašování issuer s aktualizací SP je zadaný obvykle identifikátor URI ID aplikace. Použití identifikátoru URI ID aplikace neumožňuje zákazníkovi rozlišit, na kterou instanci aplikace cílí při použití jednotného přihlašování iniciovaného službou SP.

Konfigurace jednotného přihlašování iniciovaného sp

Aktualizujte adresu URL služby jednotného přihlašování SAML nakonfigurovanou v rámci poskytovatele služeb, aby každá instance zahrnovala identifikátor GUID instančního objektu jako součást adresy URL. Například obecná přihlašovací adresa URL jednotného přihlašování pro SAML je https://login.microsoftonline.com/<tenantid>/saml2, adresu URL je možné aktualizovat tak, aby cílila na konkrétní instanční objekt, například https://login.microsoftonline.com/<tenantid>/saml2/<issuer>.

Pro hodnotu vystavitele se přijímají pouze identifikátory instančního objektu ve formátu GUID. Identifikátory instančního objektu přepíší vystavitele v požadavku SAML a odpovědi a zbytek toku se dokončí obvyklým způsobem. Existuje jedna výjimka: Pokud aplikace vyžaduje podepsání požadavku, žádost se odmítne i v případě, že podpis byl platný. Zamítnutí se provádí, aby nedocházelo k rizikům zabezpečení s funkčním přepsáním hodnot v podepsané žádosti.

Jednotné přihlašování iniciované protokolem IDP

Funkce jednotného přihlašování iniciovaná protokolem IDP zveřejňuje pro každou aplikaci následující nastavení:

• Možnost přepsání cílové skupiny zpřístupněná pro konfiguraci pomocí mapování deklarací identity nebo portálu Zamýšlený případ použití je aplikace, které vyžadují stejnou cílovou skupinu pro více instancí. Toto nastavení se ignoruje, pokud pro aplikaci není nakonfigurovaný žádný vlastní podpisový klíč.

• Vystavitel s příznakem ID aplikace, který označuje vystavitele, by měl být jedinečný pro každou aplikaci místo jedinečných pro každého tenanta. Toto nastavení se ignoruje, pokud pro aplikaci není nakonfigurovaný žádný vlastní podpisový klíč.

Konfigurace jednotného přihlašování iniciovaného protokolem IDP

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
2. Přejděte k podnikovým aplikacím> identit.>
3. Otevřete libovolnou podnikovou aplikaci s povoleným jednotným přihlašováním a přejděte do okna jednotného přihlašování SAML.
4. Na panelu Atributy a deklarace identity uživatele vyberte Upravit.
5. Výběrem možnosti Upravit otevřete okno rozšířených možností.
6. Nakonfigurujte obě možnosti podle vašich předvoleb a pak vyberte Uložit.

Další kroky

• Další informace o tom, jak tuto zásadu nakonfigurovat, najdete v tématu Přizpůsobení deklarací tokenů SAML aplikace.