Megosztás a következőn keresztül:

Alkalmazás több instancing konfigurálása

  • Cikk

Az alkalmazások több instancingja azt jelenti, hogy ugyanazon alkalmazás több példányának konfigurálására van szükség egy bérlőn belül. A szervezet például több fiókkal rendelkezik, amelyek mindegyikéhez külön szolgáltatásnévre van szükség a példányspecifikus jogcímleképezés és a szerepkör-hozzárendelés kezeléséhez. Vagy az ügyfél több alkalmazáspéldánysal is rendelkezik, amelyhez nincs szükség speciális jogcímleképezésre, de külön szolgáltatásnevekre van szükség a különálló aláírókulcsokhoz.

Bejelentkezési módszerek

A felhasználók az alábbi módok egyikével jelentkezhetnek be egy alkalmazásba:

  • Közvetlenül az alkalmazáson keresztül, amelyet szolgáltatónak (SP) nevezünk, egyszeri bejelentkezést (SSO) kezdeményezett.
  • Lépjen közvetlenül az identitásszolgáltatóhoz (IDP), más néven IDP által kezdeményezett egyszeri bejelentkezéshez.

Attól függően, hogy a szervezeten belül milyen megközelítést használ, kövesse az ebben a cikkben ismertetett megfelelő utasításokat.

SP által kezdeményezett egyszeri bejelentkezés

Az SP által kezdeményezett egyszeri bejelentkezés SAML-kérésében a issuer megadott általában az alkalmazásazonosító URI. Az alkalmazásazonosító URI-jának használata nem teszi lehetővé az ügyfél számára, hogy megkülönböztesse az alkalmazás melyik példányát célozza meg az SP által kezdeményezett egyszeri bejelentkezés használatakor.

Sp által kezdeményezett egyszeri bejelentkezés konfigurálása

Frissítse a saml egyszeri bejelentkezési szolgáltatás URL-címét, amely a szolgáltatón belül konfigurálva van minden egyes példányhoz, hogy az tartalmazza a szolgáltatásnév guid azonosítóját az URL-cím részeként. Az SAML általános egyszeri bejelentkezési URL-címe például az, hogy https://login.microsoftonline.com/<tenantid>/saml2az URL-cím frissíthető egy adott szolgáltatásnév, például https://login.microsoftonline.com/<tenantid>/saml2/<issuer>.

A rendszer csak a GUID formátumú egyszerű szolgáltatásazonosítókat fogadja el a kiállító értékéhez. A szolgáltatásnév-azonosítók felülbírálják a kiállítót az SAML-kérelemben és a válaszban, a folyamat többi része pedig a szokásos módon fejeződik be. Van egy kivétel: ha az alkalmazás megköveteli a kérés aláírását, akkor a rendszer akkor is elutasítja a kérelmet, ha az aláírás érvényes volt. Az elutasítással elkerülhetők a biztonsági kockázatok, ha egy aláírt kérelemben funkcionálisan felülírják az értékeket.

IdP által kezdeményezett egyszeri bejelentkezés

Az identitásszolgáltató által kezdeményezett egyszeri bejelentkezés funkció az alábbi beállításokat teszi elérhetővé az egyes alkalmazásokhoz:

  • A jogcímleképezés vagy a portál használatával elérhető célközönség-felülbírálási lehetőség a konfigurációhoz. A tervezett használati eset olyan alkalmazások, amelyek több példány esetében ugyanazt a célközönséget igénylik. Ez a beállítás figyelmen kívül lesz hagyva, ha nincs egyéni aláírókulcs konfigurálva az alkalmazáshoz.

  • Egy alkalmazásazonosító-jelzővel rendelkező kiállítónak az egyes bérlők egyedi alkalmazásai helyett egyedinek kell lennie az egyes alkalmazásokhoz. Ez a beállítás figyelmen kívül lesz hagyva, ha nincs egyéni aláírókulcs konfigurálva az alkalmazáshoz.

IdP által kezdeményezett egyszeri bejelentkezés konfigurálása

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat.
  3. Nyissa meg az SSO-kompatibilis vállalati alkalmazásokat, és lépjen az SAML egyszeri bejelentkezés paneljére.
  4. Válassza a Szerkesztés lehetőséget a Felhasználói attribútumok > Jogcímek panelen.
  5. A Speciális beállítások panel megnyitásához válassza a Szerkesztés lehetőséget.
  6. Konfigurálja mindkét beállítást a beállításoknak megfelelően, majd válassza a Mentés lehetőséget.

További lépések

  • A szabályzat konfigurálásáról további információt az alkalmazás SAML-jogkivonat-jogcímeinek testreszabása című témakörben talál .