앱 다중 인스턴스 구성

앱 다중 인스턴싱은 테넌트 내에서 동일한 애플리케이션의 여러 인스턴스를 구성해야 함을 나타냅니다. 예를 들어, 조직에는 인스턴스별 클레임 매핑 및 역할 할당을 처리하기 위해 각 계정에 별도의 서비스 주체가 필요한 여러 계정이 있습니다. 또는 고객에게 특별한 클레임 매핑이 필요하지 않지만 별도의 서명 키에 대한 별도의 서비스 주체가 필요한 여러 애플리케이션 인스턴스가 있습니다.

로그인 방식

사용자는 다음 방법 중 하나로 애플리케이션에 로그인할 수 있습니다.

• SP(서비스 공급자)라고 하는 애플리케이션을 직접 통해 SSO(Single Sign-On)를 시작했습니다.
• IDP 시작 SSO라고 하는 IDP(ID 공급자)로 직접 이동합니다.

조직 내에서 사용되는 방식에 따라 이 문서에 설명된 적절한 지침을 따릅니다.

SP 시작 SSO

SP 시작 SSO의 SAML 요청에서 지정된 issuer는 일반적으로 앱 ID URI입니다. 앱 ID URI를 활용하더라도 고객은 SP 시작 SSO를 사용할 때 대상으로 하는 애플리케이션의 인스턴스를 구분할 수 없습니다.

SP 시작 SSO 구성

서비스 주체 GUID를 URL의 일부로 포함하도록 각 인스턴스에 대해 서비스 공급자 내에 구성된 SAML Single Sign-On 서비스 URL을 업데이트합니다. 예를 들어, SAML에 대한 일반 SSO 로그인 URL은 https://login.microsoftonline.com/<tenantid>/saml2이며, URL은 https://login.microsoftonline.com/<tenantid>/saml2/<issuer>와 같은 특정 서비스 주체를 대상으로 업데이트될 수 있습니다.

GUID 형식의 서비스 주체 식별자만 발급자 값으로 허용됩니다. 서비스 주체 식별자는 SAML 요청 및 응답에서 발급자를 재정의하고 나머지 흐름은 평소와 같이 완료됩니다. 한 가지 예외가 있습니다. 애플리케이션에서 요청에 서명해야 하는 경우 서명이 유효하더라도 요청이 거부됩니다. 거부는 서명된 요청의 값을 기능적으로 재정의하는 보안 위험을 방지하기 위해 수행됩니다.

IDP 시작 SSO

IDP 시작 SSO 기능은 각 애플리케이션에 대해 다음 설정을 노출합니다.

• 클레임 매핑 또는 포털을 사용하여 구성에 대해 공개되는 대상 그룹 재정의 옵션. 의도된 사용 사례는 여러 인스턴스에 대해 동일한 대상 그룹이 필요한 애플리케이션입니다. 애플리케이션에 대해 사용자 지정 서명 키가 구성되지 않은 경우 이 설정은 무시됩니다.

• 발급자가 각 테넌트에 대해 고유하지 않고 각 애플리케이션에 대해 고유해야 함을 나타내는 애플리케이션 ID가 있는 발급자 플래그입니다. 애플리케이션에 대해 사용자 지정 서명 키가 구성되지 않은 경우 이 설정은 무시됩니다.

IDP 시작 SSO 구성

1. 최소한 클라우드 애플리케이션 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. ID>애플리케이션>엔터프라이즈 애플리케이션으로 이동합니다.
3. SSO 사용 엔터프라이즈 앱을 열고, SAML Single Sign-On 블레이드로 이동합니다.
4. 사용자 특성 및 클레임 패널에서 편집을 선택합니다.
5. 편집을 선택하여 고급 옵션 블레이드를 엽니다.
6. 기본 설정에 따라 두 옵션을 모두 구성한 다음 저장을 선택합니다.

다음 단계

• 이 정책을 구성하는 방법에 대한 자세한 내용은 앱 SAML 토큰 클레임 사용자 지정을 참조하세요.