Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Multiinstanzierung von Apps bezieht sich auf die Notwendigkeit zur Konfiguration mehrerer Instanzen derselben Applikation innerhalb eines Mandanten. Dies ist beispielsweise nötig, wenn eine Organisation über mehrere Konten verfügt und jedes dieser Konten für das instanzspezifische Mapping von Ansprüchen (Hinzufügen des AccountID-Anspruchs für diesen AWS-Mandanten) und die Rollenzuweisung einen separaten Dienstprinzipal benötigt. Oder der Kunde verfügt über mehrere Instanzen einer Anwendung, die keine spezielle Anspruchszuordnung benötigt, sondern separate Dienstprinzipale für separate Signaturschlüssel benötigt.
Anmeldeansätze
Ein Benutzer kann sich auf eine der folgenden Arten bei einer Anwendung anmelden:
- Direkt über die Anwendung, was als vom Dienstanbieter (SP) initiiertes einmaliges Anmelden (Single Sign-On, SSO) bezeichnet wird.
- Wechseln Sie direkt zum Identitätsanbieter (IDP), was als vom IDP initiiertes SSO bezeichnet wird.
Je nachdem, welcher Ansatz in Ihrer Organisation verwendet wird, befolgen Sie die in diesem Artikel beschriebenen entsprechenden Anweisungen.
SP-initiiertes einmaliges Anmelden
In der SAML-Anfrage des vom SP initiierten SSO ist das angegebene issuer in der Regel die App-ID-URI. Durch die Verwendung der App-ID-URI kann der Kunde nicht erkennen, welche Instanz einer Anwendung bei der Verwendung von durch SP initiiertem SSO angezielt wird.
Konfiguration von SP-initiiertem SSO
Nehmen Sie die Dienstprinzipal-GUID in die URL für den SAML-SSO-Dienst auf, die innerhalb des Dienstanbieters für jede Instanz konfiguriert ist, und aktualisieren Sie die URL. Die allgemeine SSO-Anmelde-URL für SAML lautet https://login.microsoftonline.com/<tenantid>/saml2. Die URL kann aktualisiert werden, um auf einen bestimmten Dienstprinzipal abzuzielen, z. B. https://login.microsoftonline.com/<tenantid>/saml2/<issuer>.
Nur Dienstprinzipalbezeichner im GUID-Format werden für den Ausstellerwert akzeptiert. Die Dienstprinzipalkennungen überschreiben den Aussteller in der SAML-Anforderung und -Antwort. Der restliche Flow wird wie gewohnt gehandhabt. Es gibt eine Ausnahme: Wenn die Anwendung erfordert, dass die Anforderung signiert werden muss, wird die Anforderung abgelehnt, auch wenn die Signatur gültig war. Die Ablehnung erfolgt, um Sicherheitsrisiken mit funktionsüberschreibenden Werten in einer signierten Anforderung zu vermeiden.
IDP-initiiertes einmaliges Anmelden
Das vom IDP initiierte SSO-Feature macht die folgenden Einstellungen für jede Anwendung verfügbar:
Die Option Zielgruppenüberschreibung ermöglicht die Konfiguration über das Zuordnen von Ansprüchen oder das Portal. Der beabsichtigte Anwendungsfall ist Anwendungen, die dieselbe Zielgruppe für mehrere Instanzen erfordern. Diese Einstellung wird ignoriert, wenn kein benutzerdefinierter Signaturschlüssel für die Anwendung konfiguriert ist.
Das Flag Aussteller mit Anwendungs-ID zeigt an, dass der Aussteller anstatt für jeden Mandanten für jede App eindeutig sein muss. Diese Einstellung wird ignoriert, wenn kein benutzerdefinierter Signaturschlüssel für die Anwendung konfiguriert ist.
Konfigurieren des IDP-initiierten einmaligen Anmeldens
- Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
- Navigieren Sie zu Entra ID>Enterprise-Apps.
- Öffnen Sie eine SSO-aktivierte Unternehmens-App, und navigieren Sie zum SAML-Blatt für einmaliges Anmelden.
- Wählen Sie " Bearbeiten" im Bereich "Benutzerattribute und Ansprüche " aus.
- Wählen Sie "Bearbeiten" aus, um das Blatt "Erweiterte Optionen" zu öffnen.
- Konfigurieren Sie beide Optionen entsprechend Ihren Einstellungen, und wählen Sie dann "Speichern" aus.
Nächste Schritte
- Weitere Informationen zum Konfigurieren dieser Richtlinie finden Sie unter Anpassen von SAML-Tokenansprüchen der App