Configurar multi-instanciação de aplicativos

A multi-instanciação de aplicativos refere-se à necessidade de configuração de várias instâncias do mesmo aplicativo dentro de um locatário. Por exemplo, a organização tem várias contas, cada uma das quais precisa de uma entidade de serviço separada para lidar com o mapeamento de declarações e a atribuição de funções específicas da instância. Ou o cliente tem várias instâncias de um aplicativo, que não precisa de mapeamento de declarações especiais, mas precisa de entidades de serviço separadas para chaves de assinatura separadas.

Abordagens de início de sessão

Um usuário pode entrar em um aplicativo de uma das seguintes maneiras:

• Através do aplicativo diretamente, que é conhecido como provedor de serviços (SP) iniciado logon único (SSO).
• Vá diretamente para o provedor de identidade (IDP), conhecido como SSO iniciado pelo IDP.

Dependendo da abordagem usada em sua organização, siga as instruções apropriadas descritas neste artigo.

SSO iniciado pelo SP

Na solicitação SAML do SSO iniciado pelo SP, o especificado geralmente é o issuer URI do ID do aplicativo. A utilização do URI da ID do aplicativo não permite que o cliente distinga qual instância de um aplicativo está sendo direcionada ao usar o SSO iniciado pela controladora de armazenamento.

Configurar o SSO iniciado pela controladora de armazenamento

Atualize a URL do serviço de logon único SAML configurada no provedor de serviços para cada instância para incluir o guid da entidade de serviço como parte da URL. Por exemplo, a URL de entrada SSO geral para SAML é https://login.microsoftonline.com/<tenantid>/saml2, a URL pode ser atualizada para direcionar uma entidade de serviço específica, como https://login.microsoftonline.com/<tenantid>/saml2/<issuer>.

Somente identificadores de entidade de serviço no formato GUID são aceitos para o valor do emissor. Os identificadores da entidade de serviço substituem o emissor na solicitação e resposta SAML, e o restante do fluxo é concluído como de costume. Há uma exceção: se o aplicativo exigir que a solicitação seja assinada, a solicitação será rejeitada mesmo que a assinatura fosse válida. A rejeição é feita para evitar quaisquer riscos de segurança com valores funcionalmente superiores em uma solicitação assinada.

O IDP iniciou o SSO

O recurso SSO iniciado pelo IDP expõe as seguintes configurações para cada aplicativo:

• Uma opção de substituição de audiência exposta para configuração usando o mapeamento de declarações ou o portal. O caso de uso pretendido são aplicativos que exigem o mesmo público para várias instâncias. Essa configuração será ignorada se nenhuma chave de assinatura personalizada estiver configurada para o aplicativo.

• Um emissor com sinalizador de ID de aplicativo para indicar o emissor deve ser exclusivo para cada aplicativo em vez de exclusivo para cada locatário. Essa configuração será ignorada se nenhuma chave de assinatura personalizada estiver configurada para o aplicativo.

Configurar o SSO iniciado pelo IDP

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
2. Navegue até Aplicativos de identidade>>Aplicativos corporativos.
3. Abra qualquer aplicativo empresarial habilitado para SSO e navegue até a folha de logon único SAML.
4. Selecione Editar no painel Atributos do usuário & Declarações .
5. Selecione Editar para abrir a folha de opções avançadas.
6. Configure ambas as opções de acordo com as suas preferências e, em seguida, selecione Guardar.

Próximos passos

• Para saber mais sobre como configurar essa política, consulte Personalizar declarações de token SAML do aplicativo