配置应用多实例

应用多实例是指在一个租户中需要配置同一应用程序的多个实例。 例如，组织有多个帐户，每个帐户都需要单独的服务主体来处理特定于实例的声明映射和角色分配。 或者，客户有应用程序的多个实例，这不需要特殊的声明映射，但需要用于单独签名密钥的单独服务主体。

登录方法

用户可以通过以下方式之一登录到应用程序：

• 直接通过应用程序，即所谓的服务提供商 (SP) 发起的单一登录 (SSO)。
• 直接转到标识提供者 (IDP)，称作 IDP 启动的 SSO。

根据贵组织内使用的方法，请按照本文中描述的相应说明进行操作。

SP 发起的 SSO

在 SP 发起的 SSO 的 SAML 请求中，指定的 issuer 通常是应用程序 ID URI。 当使用 SP 发起的 SSO 时，使用应用程序 ID URI 不允许客户区分应用程序的哪个实例是目标。

配置 SP 发起的 SSO

更新在服务提供商中为每个实例配置的 SAML 单一登录服务 URL，以包含作为 URL 的一部分的服务主体 guid。 例如，SAML 的常规 SSO 登录 URL 是 https://login.microsoftonline.com/<tenantid>/saml2，可以更新 URL 来将特定服务主体作为目标，例如 https://login.microsoftonline.com/<tenantid>/saml2/<issuer>。

颁发者值只接受 GUID 格式的服务主体标识符。 服务主体标识符覆盖 SAML 请求和响应中的颁发者，流的其余部分照常完成。 有一个例外：如果应用程序要求对请求进行签名，即使签名有效，请求也会被拒绝。 拒绝是为了避免签名请求中功能重写值的任何安全风险。

IDP 发起的 SSO

IDP 启动的 SSO 功能为每个应用程序公开以下设置：

• 通过使用声明映射或门户公开用于配置的“受众替代”选项。 预期用例是对多个实例要求相同受众的应用程序。 如果没有为应用程序配置自定义签名密钥，则忽略此设置。

• “具有应用程序 ID 的颁发者”标志，指示颁发者对于每个应用程序应是独一无二的，而不是对于每个租户是独一无二的。 如果没有为应用程序配置自定义签名密钥，则忽略此设置。

配置 IDP 发起的 SSO

1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到“标识”>“应用程序”>“企业应用程序”。
3. 打开任何已启用 SSO 的企业应用，并导航到“SAML 单一登录”边栏选项卡。
4. 在“用户属性和声明”面板上选择“编辑”。
5. 选择“编辑”以打开高级边栏选项卡。
6. 根据首选项配置这两个选项，然后选择“保存”。

后续步骤

• 若要详细了解如何配置此策略，请参阅自定义应用 SAML 令牌声明