Konfigurera multi-instancing för appar

Multi-instancing för appar syftar på behovet av konfiguration av flera instanser av samma program i en klientorganisation. Organisationen har till exempel flera konton, som var och en behöver ett separat tjänsthuvudnamn för att hantera instansspecifik anspråksmappning och rolltilldelning. Eller så har kunden flera instanser av ett program, som inte behöver särskild anspråksmappning, men som behöver separata tjänsthuvudnamn för separata signeringsnycklar.

Inloggningsmetoder

En användare kan logga in på ett program på något av följande sätt:

• Via programmet direkt, som kallas tjänstleverantör (SP) initierad enkel inloggning (SSO).
• Gå direkt till identitetsprovidern (IDP), som kallas IDP-initierad enkel inloggning.

Beroende på vilken metod som används i din organisation följer du lämpliga instruktioner som beskrivs i den här artikeln.

SP-initierad enkel inloggning

I SAML-begäran för SP-initierad enkel inloggning är den issuer angivna vanligtvis app-ID-URI:n. Användning av app-ID-URI tillåter inte att kunden särskiljer vilken instans av ett program som riktas när du använder SP-initierad enkel inloggning.

Konfigurera SP-initierad enkel inloggning

Uppdatera url:en för saml-tjänsten för enkel inloggning som konfigurerats i tjänstleverantören för varje instans så att den innehåller guid för tjänstens huvudnamn som en del av URL:en. Till exempel är https://login.microsoftonline.com/<tenantid>/saml2den allmänna SSO-inloggnings-URL:en för SAML , URL:en kan uppdateras för att rikta in sig på ett specifikt huvudnamn för tjänsten, till exempel https://login.microsoftonline.com/<tenantid>/saml2/<issuer>.

Endast identifierare för tjänstens huvudnamn i GUID-format accepteras för utfärdarvärdet. Tjänstens huvudnamnsidentifierare åsidosätter utfärdaren i SAML-begäran och -svaret, och resten av flödet slutförs som vanligt. Det finns ett undantag: om programmet kräver att begäran signeras avvisas begäran även om signaturen var giltig. Avvisningen görs för att undvika säkerhetsrisker med funktionellt åsidosättande värden i en signerad begäran.

IDP-initierad enkel inloggning

Den IDP-initierade SSO-funktionen visar följande inställningar för varje program:

• Ett åsidosättningsalternativ för målgrupper som exponeras för konfiguration med hjälp av anspråksmappning eller portalen. Det avsedda användningsfallet är program som kräver samma målgrupp för flera instanser. Den här inställningen ignoreras om ingen anpassad signeringsnyckel har konfigurerats för programmet.

• En utfärdare med program-ID-flagga som anger att utfärdaren ska vara unik för varje program i stället för unikt för varje klientorganisation. Den här inställningen ignoreras om ingen anpassad signeringsnyckel har konfigurerats för programmet.

Konfigurera IDP-initierad enkel inloggning

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
2. Bläddra till Identity>Applications Enterprise-program.>
3. Öppna valfri SSO-aktiverad företagsapp och gå till bladet enkel inloggning med SAML.
4. Välj Redigera på panelen Användarattribut och anspråk .
5. Välj Redigera för att öppna bladet avancerade alternativ.
6. Konfigurera båda alternativen enligt dina inställningar och välj sedan Spara.

Nästa steg

• Mer information om hur du konfigurerar den här principen finns i Anpassa saml-tokenanspråk för appar