アプリのマルチインスタンス化とは、テナント内の同じアプリケーションの複数のインスタンスの構成の必要性を指します。 たとえば、組織には複数のアカウントがあり、それぞれにインスタンス固有の要求マッピングとロールの割り当てを処理するための個別のサービス プリンシパルが必要です。 または、顧客がアプリケーションの複数のインスタンスを持っており、特別な要求マッピングは必要ありませんが、個別の署名キーに個別のサービス プリンシパルが必要です。
サインイン方法
ユーザーは、次のいずれかの方法でアプリケーションにサインインできます。
- サービス プロバイダー (SP) によって開始されるシングル サインオン (SSO) と呼ばれるアプリケーションを直接使用します。
- IDP Initiated SSO と呼ばれる ID プロバイダー (IDP) に直接移動します。
組織内で使用される方法に応じて、この記事で説明されている適切な手順に従います。
サービスプロバイダー(SP)から開始するSSO
SP によって開始される SSO の SAML 要求では、通常、指定された issuer はアプリ ID URI です。 アプリ ID URI を使用しても、SP によって開始される SSO を使用するときに、アプリケーションのどのインスタンスが対象になっているかを顧客が区別することはできません。
SP開始SSOの構成
各インスタンスのサービス プロバイダー内で構成された SAML シングル サインオン サービス URL を更新して、URL の一部としてサービス プリンシパル GUID を含めます。 たとえば、SAML の一般的な SSO サインイン URL が https://login.microsoftonline.com/<tenantid>/saml2され、URL を更新して、 https://login.microsoftonline.com/<tenantid>/saml2/<issuer>などの特定のサービス プリンシパルを対象にすることができます。
発行者の値には、GUID 形式のサービス プリンシパル識別子のみが受け入れられます。 サービス プリンシパル識別子は SAML 要求と応答の発行者をオーバーライドし、残りのフローは通常どおりに完了します。 1 つの例外があります。アプリケーションで要求に署名する必要がある場合、署名が有効であった場合でも要求は拒否されます。 拒否は、署名された要求の値を機能的にオーバーライドするセキュリティ リスクを回避するために行われます。
アイデンティティプロバイダーによるSSOの開始
IDP Initiated SSO 機能は、アプリケーションごとに次の設定を公開します。
クレーム マッピングまたはポータルを使って設定用に公開されるオーディエンスオーバーライドオプション。 目的のユース ケースは、複数のインスタンスに同じ対象ユーザーを必要とするアプリケーションです。 アプリケーションにカスタム署名キーが構成されていない場合、この設定は無視されます。
発行者がテナントごとに一意ではなく、アプリケーションごとに一意である必要があることを示すアプリケーション ID フラグを 持つ発行者 。 アプリケーションにカスタム署名キーが構成されていない場合、この設定は無視されます。
IDPから開始されるSSOの構成
- クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
- Entra ID>エンタープライズアプリケーションに移動します。
- SSO が有効なエンタープライズ アプリを開き、SAML シングル サインオン ブレードに移動します。
- [ユーザー属性と要求] パネルで [編集] を選択します。
- [ 編集] を 選択して、[詳細オプション] ブレードを開きます。
- 設定に従って両方のオプションを構成し、[ 保存] を選択します。
次のステップ
- このポリシーを構成する方法の詳細については、「アプリの SAML トークン要求をカスタマイズする」を参照してください