Configurar instâncias múltiplas do aplicativo

A instanciação múltipla do aplicativo refere-se à necessidade da configuração de várias instâncias do mesmo aplicativo dentro de um locatário. Por exemplo, a organização tem várias contas, cada uma delas precisa de uma entidade de serviço separada para lidar com o mapeamento de declarações específico da instância e com a atribuição de funções. Ou o cliente tem várias instâncias de um aplicativo que não precisa de mapeamento de declarações especiais, mas precisa de entidades de serviço separadas para chaves de assinatura separadas.

Abordagens de entrada

Um usuário pode entrar em um aplicativo de uma das seguintes maneiras:

• Diretamente por meio do aplicativo, o que é conhecido como logon único (SSO) iniciado pelo provedor de serviços (SP).
• Acesse diretamente o provedor de identidade (IDP), conhecido como SSO iniciado por IDP.

Dependendo de qual abordagem sua organização usa, você precisará seguir as instruções apropriadas descritas neste artigo.

SSO iniciado por SP

Na solicitação SAML do SSO iniciado por SP, o issuer especificado geralmente é o URI da ID do Aplicativo. Utilizar o URI da ID do Aplicativo não permite que o cliente distingua qual instância de um aplicativo está sendo direcionada ao usar o SSO iniciado por SP.

Configurar o SSO iniciado por SP

Atualize a URL de serviço de logon único SAML configurada no provedor de serviços para cada instância para incluir o guid da entidade de serviço como parte da URL. Por exemplo, a URL de entrada geral do SSO para SAML é https://login.microsoftonline.com/<tenantid>/saml2, a URL agora pode ser atualizada para direcionar uma entidade de serviço específica, como https://login.microsoftonline.com/<tenantid>/saml2/<issuer>.

Somente identificadores de entidade de serviço no formato GUID são aceitos para o valor emissor. Os identificadores da entidade de serviço substituem o emissor na solicitação e resposta SAML e o restante do fluxo é concluído como de costume. Há uma exceção: se o aplicativo exigir que a solicitação seja assinada, a solicitação será rejeitada mesmo se a assinatura for válida. A rejeição é feita para evitar riscos de segurança com valores de substituição funcional em uma solicitação assinada.

SSO iniciado por IdP

O recurso de SSO iniciado por IDP expõe as seguintes configurações para cada aplicativo:

• Uma opção de substituição audiência exposta para configuração usando o mapeamento de declarações ou o portal. O caso de uso pretendido são aplicativos que exigem o mesmo público-alvo para várias instâncias. Essa configuração será ignorada se nenhuma chave de assinatura personalizada estiver configurada para o aplicativo.

• Um sinalizador emissor com id do aplicativo para indicar que o emissor deve ser exclusivo para cada aplicativo em vez de exclusivo para cada locatário. Essa configuração será ignorada se nenhuma chave de assinatura personalizada estiver configurada para o aplicativo.

Configurar o SSO iniciado por IDP

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Acesso Condicional.
2. Navegue até Identidade>Aplicativos>Aplicativos Empresariais.
3. Abra qualquer aplicativo empresarial habilitado para SSO e navegue até a folha de logon único do SAML.
4. Selecione Editar no painel Atributos e Declarações do Usuário.
5. Selecione Editar para abrir a folha de opções avançadas.
6. Configure ambas as opções de acordo com suas preferências e, em seguida, selecione Salvar.

Próximas etapas

• Para saber mais sobre como configurar essa política, confira Personalizar declarações de token SAML do aplicativo