Delen via

App multi-instancing configureren

  • Artikel

Multi-instancing van apps verwijst naar de noodzaak voor de configuratie van meerdere exemplaren van dezelfde toepassing binnen een tenant. De organisatie heeft bijvoorbeeld meerdere accounts, die elk een afzonderlijke service-principal nodig hebben voor het afhandelen van exemplaarspecifieke claimtoewijzing en roltoewijzing. Of de klant heeft meerdere exemplaren van een toepassing die geen speciale claimtoewijzing nodig heeft, maar wel afzonderlijke service-principals nodig heeft voor afzonderlijke ondertekeningssleutels.

Aanmeldingsmethoden

Een gebruiker kan zich op een van de volgende manieren aanmelden bij een toepassing:

  • Via de toepassing rechtstreeks, die bekend staat als serviceprovider (SP) geïnitieerde eenmalige aanmelding (SSO).
  • Ga rechtstreeks naar de id-provider (IDP), ook wel IDP geïnitieerde eenmalige aanmelding genoemd.

Afhankelijk van welke benadering binnen uw organisatie wordt gebruikt, volgt u de juiste instructies die in dit artikel worden beschreven.

Door SP geïnitieerde eenmalige aanmelding

In de SAML-aanvraag van door SP geïnitieerde eenmalige aanmelding is de issuer opgegeven app-id meestal de URI van de app-id. Door de app-id-URI te gebruiken, kan de klant niet onderscheiden welk exemplaar van een toepassing wordt gebruikt bij het gebruik van door SP geïnitieerde eenmalige aanmelding.

Door SP geïnitieerde eenmalige aanmelding configureren

Werk de URL van de SAML-service voor eenmalige aanmelding bij die is geconfigureerd binnen de serviceprovider voor elk exemplaar en neem de guid van de service-principal erin op als onderdeel van de URL. De algemene aanmeldings-URL voor SAML is https://login.microsoftonline.com/<tenantid>/saml2bijvoorbeeld, de URL kan worden bijgewerkt om een specifieke service-principal te targeten, zoals https://login.microsoftonline.com/<tenantid>/saml2/<issuer>.

Alleen service-principal-id's in GUID-indeling worden geaccepteerd voor de waarde van de uitgever. De service-principal-id's overschrijven de uitgever in de SAML-aanvraag en -reactie en de rest van de stroom wordt voltooid zoals gebruikelijk. Er is één uitzondering: als de toepassing vereist dat de aanvraag is ondertekend, wordt de aanvraag geweigerd, ook als de handtekening geldig is. De weigering wordt gedaan om beveiligingsrisico's te voorkomen met functioneel overschrijven van waarden in een ondertekende aanvraag.

Door IDP geïnitieerde eenmalige aanmelding

Met de door IDP geïnitieerde SSO-functie worden de volgende instellingen voor elke toepassing weergegeven:

  • Een optie voor het overschrijven van doelgroepen die beschikbaar is voor configuratie met behulp van claimtoewijzing of de portal. De beoogde use-case is toepassingen waarvoor dezelfde doelgroep is vereist voor meerdere exemplaren. Deze instelling wordt genegeerd als geen aangepaste ondertekeningssleutel is geconfigureerd voor de toepassing.

  • Een verlener met een vlag voor de toepassings-id om aan te geven dat de verlener uniek moet zijn voor elke toepassing in plaats van uniek voor elke tenant. Deze instelling wordt genegeerd als geen aangepaste ondertekeningssleutel is geconfigureerd voor de toepassing.

Door IDP geïnitieerde eenmalige aanmelding configureren

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
  2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>.
  3. Open een bedrijfs-app met eenmalige aanmelding waarvoor eenmalige aanmelding is ingeschakeld en navigeer naar de blade eenmalige aanmelding van SAML.
  4. Selecteer Bewerken in het deelvenster Gebruikerskenmerken en -claims .
  5. Selecteer Bewerken om de blade Geavanceerde opties te openen.
  6. Configureer beide opties op basis van uw voorkeuren en selecteer Opslaan.

Volgende stappen