Konfigurowanie wielu stancingów aplikacji
Wielostancja aplikacji odnosi się do potrzeby konfiguracji wielu wystąpień tej samej aplikacji w ramach dzierżawy. Na przykład organizacja ma wiele kont, z których każda wymaga oddzielnej jednostki usługi do obsługi mapowania oświadczeń specyficznych dla wystąpienia i przypisywania ról. Lub klient ma wiele wystąpień aplikacji, które nie wymagają specjalnego mapowania oświadczeń, ale potrzebują oddzielnych jednostek usługi dla oddzielnych kluczy podpisywania.
Metody logowania
Użytkownik może zalogować się do aplikacji na jeden z następujących sposobów:
- Bezpośrednio za pośrednictwem aplikacji, która jest nazywana dostawcą usług (SP) inicjowanym logowaniem jednokrotnym.
- Przejdź bezpośrednio do dostawcy tożsamości (IDP), znanego jako logowanie jednokrotne inicjowane przez dostawcę tożsamości.
W zależności od tego, które podejście jest używane w organizacji, postępuj zgodnie z odpowiednimi instrukcjami opisanymi w tym artykule.
Logowanie jednokrotne inicjowane przez dostawcę usług
W żądaniu SAML inicjowanego logowania jednokrotnego issuer
dostawcy usług określony jest zazwyczaj identyfikatorem URI identyfikatora aplikacji. Użycie identyfikatora URI identyfikatora aplikacji nie umożliwia klientowi odróżnienia, które wystąpienie aplikacji jest celem podczas korzystania z logowania jednokrotnego inicjowanego przez dostawcę usług.
Konfigurowanie logowania jednokrotnego inicjowanego przez dostawcę usług
Zaktualizuj adres URL usługi logowania jednokrotnego SAML skonfigurowany w ramach dostawcy usług dla każdego wystąpienia, aby uwzględnić identyfikator GUID jednostki usługi w ramach adresu URL. Na przykład ogólny adres URL logowania jednokrotnego dla protokołu SAML to https://login.microsoftonline.com/<tenantid>/saml2
, adres URL można zaktualizować tak, aby był przeznaczony dla określonej jednostki usługi, na przykład https://login.microsoftonline.com/<tenantid>/saml2/<issuer>
.
Dla wartości wystawcy akceptowane są tylko identyfikatory jednostki usługi w formacie GUID. Identyfikatory jednostki usługi zastępują wystawcę w żądaniu i odpowiedzi SAML, a reszta przepływu jest wypełniana jak zwykle. Istnieje jeden wyjątek: jeśli aplikacja wymaga podpisania żądania, żądanie zostanie odrzucone, nawet jeśli podpis był prawidłowy. Odrzucenie jest wykonywane w celu uniknięcia wszelkich zagrożeń bezpieczeństwa z funkcjonalnie przesłaniania wartości w podpisanym żądaniu.
Logowanie jednokrotne inicjowane przez dostawcę tożsamości
Funkcja logowania jednokrotnego inicjowanego przez dostawcę tożsamości uwidacznia następujące ustawienia dla każdej aplikacji:
Opcja zastąpienia odbiorców udostępniona dla konfiguracji przy użyciu mapowania oświadczeń lub portalu. Zamierzony przypadek użycia to aplikacje, które wymagają tej samej grupy odbiorców dla wielu wystąpień. To ustawienie jest ignorowane, jeśli dla aplikacji nie skonfigurowano niestandardowego klucza podpisywania.
Wystawca z flagą identyfikatora aplikacji wskazującą, że wystawca powinien być unikatowy dla każdej aplikacji, a nie unikatowy dla każdej dzierżawy. To ustawienie jest ignorowane, jeśli dla aplikacji nie skonfigurowano niestandardowego klucza podpisywania.
Konfigurowanie logowania jednokrotnego inicjowanego przez dostawcę tożsamości
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
- Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
- Otwórz dowolną aplikację dla przedsiębiorstw z obsługą logowania jednokrotnego i przejdź do bloku logowania jednokrotnego SAML.
- Wybierz pozycję Edytuj na panelu Atrybuty użytkownika i oświadczenia .
- Wybierz pozycję Edytuj , aby otworzyć blok opcje zaawansowane.
- Skonfiguruj obie opcje zgodnie z preferencjami, a następnie wybierz pozycję Zapisz.
Następne kroki
- Aby dowiedzieć się więcej o sposobie konfigurowania tych zasad, zobacz Dostosowywanie oświadczeń tokenu SAML aplikacji