Share via

App Multi-Instancing konfigurieren

  • Artikel

Multi-Instancing bedeutet, dass mehrere Instanzen derselben App innerhalb eines Mandanten konfiguriert werden sollen. Dies ist beispielsweise nötig, wenn eine Organisation über mehrere Konten verfügt und jedes dieser Konten für das instanzspezifische Mapping von Ansprüchen (Hinzufügen des AccountID-Anspruchs für diesen AWS-Mandanten) und die Rollenzuweisung einen separaten Dienstprinzipal benötigt. Oder wenn der Kunde über mehrere Instanzen einer Anwendung verfügt, die zwar keine spezielle Anspruchszuordnung, aber separate Dienstprinzipale für separate Signaturschlüssel benötigen.

Anmeldeansätze

Ein Benutzer kann sich auf eine der folgenden Arten bei einer Anwendung anmelden:

  • Direkt über die Anwendung, was als vom Dienstanbieter (SP) initiiertes einmaliges Anmelden (Single Sign-On, SSO) bezeichnet wird.
  • Gehen Sie direkt zum Identitätsanbieter (IDP), bekannt als IDP-initiiertes SSO.

Je nachdem, welcher Ansatz in Ihrem Unternehmen verwendet wird, befolgen Sie die entsprechenden, in diesem Artikel beschriebenen Anweisungen.

SP-initiiertes einmaliges Anmelden

In der SAML-Anfrage des vom SP initiierten SSO ist das angegebene issuer in der Regel die App-ID-URI. Bei Verwendung des App-ID-URI können Sie nicht unterscheiden, welche Instanz einer Anwendung beim SP-initiierten SSO angesteuert wird.

Konfigurieren des SP-initiierten einmaligen Anmeldens

Nehmen Sie die Dienstprinzipal-GUID in die URL für den SAML-SSO-Dienst auf, die innerhalb des Dienstanbieters für jede Instanz konfiguriert ist, und aktualisieren Sie die URL. Wenn zum Beispiel die allgemeine SSO-Anmelde-URL für SAML https://login.microsoftonline.com/<tenantid>/saml2 lautet, kann die URL so aktualisiert werden, dass sie auf einen bestimmten Dienstprinzipal abzielt, z. B. https://login.microsoftonline.com/<tenantid>/saml2/<issuer>.

Nur Dienstprinzipalkennungen im GUID-Format sind für den Wert „Aussteller“ zulässig. Die Dienstprinzipalkennungen überschreiben den Aussteller in der SAML-Anforderung und -Antwort. Der restliche Flow wird wie gewohnt gehandhabt. Es gibt eine Ausnahme: Wenn die App erfordert, dass die Anforderung signiert werden muss, wird die Anforderung selbst dann abgelehnt, wenn die Signatur gültig war. Dies dient dazu, Sicherheitsrisiken durch funktionsüberschreibende Werte in einer signierten Anforderung zu vermeiden.

IDP-initiiertes einmaliges Anmelden

Das IDP-initiierte SSO-Feature macht die folgenden Einstellungen für jede Anwendung verfügbar:

  • Die Option Zielgruppenüberschreibung ermöglicht die Konfiguration über das Zuordnen von Ansprüchen oder das Portal. Dies ist nützlich für Apps, die dieselbe Zielgruppe für mehrere Instanzen erfordern. Diese Einstellung wird ignoriert, wenn kein benutzerdefinierter Signaturschlüssel für die Anwendung konfiguriert ist.

  • Das Flag Aussteller mit Anwendungs-ID zeigt an, dass der Aussteller anstatt für jeden Mandanten für jede App eindeutig sein muss. Diese Einstellung wird ignoriert, wenn kein benutzerdefinierter Signaturschlüssel für die Anwendung konfiguriert ist.

Konfigurieren des IDP-initiierten einmaligen Anmeldens

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
  3. Öffnen Sie eine beliebige SSO-aktivierte Unternehmensanwendung und gehen Sie zum Blatt „Einmalige SAML-Anmeldung“.
  4. Wählen Sie im BereichBenutzerattribute & Ansprüche die Option Bearbeiten aus.
  5. Wählen Sie Bearbeiten aus, um das Blatt erweiterte Optionen zu öffnen.
  6. Konfigurieren Sie beide Optionen wie gewünscht, und wählen Sie Speichern aus.

Nächste Schritte