Configuración de instancias múltiples de aplicaciones

La creación de instancias múltiples de aplicaciones hace referencia a la necesidad de configurar varias instancias de la misma aplicación dentro de un inquilino. Por ejemplo, la organización tiene varias cuentas, de cada una de las cuales necesita una entidad de servicio distinta para controlar la asignación de notificaciones específicas de la instancia y la asignación de roles. O bien, el cliente tiene varias instancias de una aplicación, lo que no requerirá una asignación de notificaciones especial, pero sí entidades de servicio distintas para claves de firma distintas.

Enfoques de inicio de sesión

Un usuario puede iniciar sesión en una aplicación de una de las siguientes maneras:

• A través de la aplicación directamente, lo que se conoce como inicio de sesión único (SSO) iniciado por proveedor de servicios (SP).
• Vaya directamente al proveedor de identidades (IDP), conocido como inicio de sesión único iniciado por IDP.

Según el enfoque que se utilice en su organización, siga las instrucciones correspondientes que se describen en este artículo.

SSO iniciado por SP

En la solicitud SAML del inicio de sesión único iniciado por SP, el issuer especificado suele ser el URI del identificador de aplicación. El uso del URI del identificador de aplicación no permite al cliente distinguir qué instancia de una aplicación es el destino al usar el inicio de sesión único iniciado por SP.

Configuración del inicio de sesión único iniciado por SP

Actualice la dirección URL del servicio de inicio de sesión único de SAML configurada en el proveedor de servicios para cada instancia a fin de incluir el GUID de la entidad de servicio como parte de la dirección URL. Por ejemplo, la dirección URL de inicio de sesión único general de SAML es https://login.microsoftonline.com/<tenantid>/saml2. La dirección URL se puede actualizar para tener como destino una entidad de servicio específica, como https://login.microsoftonline.com/<tenantid>/saml2/<issuer>.

Solo se aceptan identificadores de entidad de servicio en formato GUID para el valor del emisor. Los identificadores de la entidad de servicio invalidan el emisor en la solicitud y respuesta de SAML, y el resto del flujo se completa de la forma habitual. Hay una excepción: si la aplicación requiere que se firme la solicitud, la solicitud se rechaza incluso si la firma era válida. El rechazo se realiza para evitar riesgos de seguridad con valores invalidados funcionalmente en una solicitud firmada.

El inicio de sesión único iniciado por IDP

La característica de inicio de sesión único iniciado por IDP expone la siguiente configuración para cada aplicación:

• Una opción de invalidación de audiencia expuesta para la configuración mediante la asignación de notificaciones o el portal. El caso de uso previsto son aplicaciones que requieren la misma audiencia para varias instancias. Esta configuración se omite si no hay una clave de firma personalizada configurada para la aplicación.

• Una marca emisor con id. de aplicación para indicar que el emisor debe ser único para cada aplicación en lugar de único para cada inquilino. Esta configuración se omite si no hay una clave de firma personalizada configurada para la aplicación.

Configuración del inicio de sesión único iniciado por IDP

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
2. Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.
3. Abra cualquier aplicación empresarial habilitada para el inicio de sesión único y vaya a la hoja inicio de sesión único de SAML.
4. Seleccione Editar en el panel Atributos y notificaciones del usuario.
5. Seleccione Editar para abrir la hoja de opciones avanzadas.
6. Configure ambas opciones según sus preferencias y seleccione Guardar.

Pasos siguientes

• Para más información sobre cómo configurar esta directiva, consulte Personalización de notificaciones de token SAML de aplicación.