Mengonfigurasi multi-instancing aplikasi

  • Artikel

Multi-instancing aplikasi mengacu pada kebutuhan untuk konfigurasi beberapa instans dari aplikasi yang sama dalam penyewa. Misalnya, organisasi memiliki beberapa akun, yang masing-masing memerlukan perwakilan layanan terpisah untuk menangani pemetaan klaim khusus instans dan penetapan peran. Atau pelanggan memiliki beberapa instans aplikasi, yang tidak memerlukan pemetaan klaim khusus, tetapi memerlukan perwakilan layanan terpisah untuk kunci penandatanganan terpisah.

Pendekatan masuk

Pengguna dapat masuk ke aplikasi dengan salah satu cara berikut:

  • Melalui aplikasi secara langsung, yang dikenal sebagai penyedia layanan (SP) memulai akses menyeluruh (SSO).
  • Buka langsung idP ( IDP), yang dikenal sebagai SSO yang diinisiasi IDP.

Bergantung pada pendekatan mana yang digunakan dalam organisasi Anda, ikuti instruksi yang sesuai yang dijelaskan dalam artikel ini.

SSO yang diinisiasi SP

Dalam permintaan SAML SSO yang diinisiasi SP, issuer yang ditentukan biasanya adalah URI ID aplikasi. Memanfaatkan URI ID Aplikasi tidak memungkinkan pelanggan untuk membedakan instans aplikasi mana yang ditargetkan saat menggunakan SSO yang diinisiasi SP.

Mengonfigurasi SSO yang diinisiasi SP

Perbarui URL layanan akses menyeluruh SAML yang dikonfigurasi dalam penyedia layanan untuk setiap instans guna menyertakan guid perwakilan layanan sebagai bagian dari URL. Misalnya, URL masuk SSO umum untuk SAML adalah https://login.microsoftonline.com/<tenantid>/saml2, URL dapat diperbarui untuk menargetkan perwakilan layanan tertentu, seperti https://login.microsoftonline.com/<tenantid>/saml2/<issuer>.

Hanya pengidentifikasi perwakilan layanan dalam format GUID yang diterima untuk nilai penerbit. Pengidentifikasi perwakilan layanan mengambil alih pengeluar sertifikat dalam permintaan dan respons SAML, dan sisa alur selesai seperti biasa. Terdapat satu pengecualian: jika aplikasi mengharuskan permintaan ditandatangani, permintaan ditolak meskipun tanda tangan valid. Penolakan dilakukan untuk menghindari risiko keamanan dengan nilai yang diambil alih secara fungsional dalam permintaan yang ditandatangani.

SSO yang diinisiasi IDP

Fitur SSO yang diinisiasi IDP mengekspos pengaturan berikut untuk setiap aplikasi:

  • Opsi penimpaan audiens yang diekspos untuk konfigurasi dengan menggunakan pemetaan klaim atau portal. Kasus penggunaan yang dimaksudkan adalah aplikasi yang memerlukan audiens yang sama untuk beberapa instans. Pengaturan ini diabaikan jika tidak ada kunci penandatanganan kustom yang dikonfigurasi untuk aplikasi.

  • Penerbit dengan bendera id aplikasi untuk menunjukkan bahwa pengeluar sertifikat harus unik untuk setiap aplikasi alih-alih unik untuk setiap penyewa. Pengaturan ini diabaikan jika tidak ada kunci penandatanganan kustom yang dikonfigurasi untuk aplikasi.

Mengonfigurasi SSO yang diinisiasi IDP

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri aplikasi Identity>Applications>Enterprise.
  3. Buka aplikasi perusahaan yang diaktifkan SSO apa pun dan navigasikan ke bilah akses menyeluruh SAML.
  4. Pilih Edit pada panel Atribut & Klaim Pengguna.
  5. Pilih Edit untuk membuka bilah opsi tingkat lanjut.
  6. Konfigurasikan kedua opsi sesuai dengan preferensi Anda lalu pilih Simpan.

Langkah berikutnya