Настройка многоуровневой настройки приложения

Возможность создания нескольких экземпляров приложения требуется для настройки нескольких экземпляров одного приложения в арендаторе. Например, у организации есть несколько учетных записей, каждая из которых требует отдельного субъекта-службы для обработки сопоставления утверждений конкретного экземпляра и назначения ролей. Или клиент имеет несколько экземпляров приложения, которое не требует специального сопоставления утверждений, но требует отдельных субъектов-служб для отдельных ключей подписывания.

Подходы к входу

Пользователь может войти в приложение одним из следующих способов:

• Через приложение непосредственно, которое называется поставщиком услуг (SP), инициированным единым входом (SSO).
• Перейдите непосредственно к поставщику удостоверений (IDP), известному как единый вход, инициированный поставщиком удостоверений.

В зависимости от того, какой подход используется в организации, следуйте соответствующим инструкциям, описанным в этой статье.

Единый вход, инициированный поставщиком службы

В запросе SAML на единый вход, инициированный поставщиком служб, issuer указанный обычно является универсальным кодом ресурса (URI) идентификатора приложения. Использование URI идентификатора приложения не позволяет клиенту различать, какой экземпляр приложения предназначен при использовании единого входа, инициированного поставщиком услуг.

Настройка единого входа, инициированного поставщиком служб

Обновите URL-адрес службы единого входа SAML, настроенный в поставщике службы для каждого экземпляра, чтобы включить GUID субъекта-службы как часть URL-адреса. Например, общий URL-адрес единого входа для SAML— это https://login.microsoftonline.com/<tenantid>/saml2URL-адрес, который можно обновить для конкретного субъекта-службы, например https://login.microsoftonline.com/<tenantid>/saml2/<issuer>.

Для значения издателя принимаются только идентификаторы субъекта-службы в формате GUID. Идентификаторы субъекта-службы переопределяют значение issuer в запросе и ответе SAML, а остальная часть потока выполняется как обычно. Есть одно исключение: если приложение требует, чтобы запрос был подписан, запрос будет отклонен, даже если подпись была действительной. Этот позволяет избежать любых угроз безопасности, связанных с функционально переопределяющими значениями в подписанном запросе.

Единый вход, инициированный поставщиком удостоверений

Функция единого входа, инициированная поставщиком удостоверений, предоставляет следующие параметры для каждого приложения:

• Параметр переопределения аудитории, предоставляемый для настройки, с помощью сопоставления утверждений или портала. Предполагаемым вариантом использования являются приложения, для которых требуется одна аудитория для нескольких экземпляров. Этот параметр игнорируется, если для приложения не настроен пользовательский ключ подписывания.

• Издатель с флагом идентификатора приложения, указывающий, что издатель должен быть уникальным для каждого приложения, а не уникальным для каждого клиента. Этот параметр игнорируется, если для приложения не настроен пользовательский ключ подписывания.

Настройка единого входа, инициированного поставщиком удостоверений

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
2. Перейдите к приложениям Identity>Applications>Enterprise.
3. Откройте любое корпоративное приложение с поддержкой единого входа и перейдите в колонку единого входа SAML.
4. Выберите "Изменить " на панели "Атрибуты пользователя" и "Утверждения ".
5. Выберите "Изменить", чтобы открыть колонку расширенных параметров.
6. Настройте оба параметра в соответствии с вашими предпочтениями и нажмите кнопку "Сохранить".

Следующие шаги

• Дополнительные сведения о настройке этой политики см. в статье Настройка утверждений токена SAML приложения.