Partager via

Configurer la multi-instanciation d’application

La multi-instanciation d'applications désigne le besoin de configurer plusieurs instances de la même application au sein d'un espace locataire. Par exemple, l’organisation a plusieurs comptes, chacun ayant besoin d’un principal de service distinct pour gérer le mappage des revendications et l’attribution de rôles spécifiques à l’instance. Ou le client dispose de plusieurs instances d'une application, qui n'a pas besoin d'un mappage particulier des revendications, mais qui nécessite des principaux de service séparés pour des clés de signature distinctes.

Méthodes de connexion

Un utilisateur peut se connecter à une application de l’une des façons suivantes :

  • Via l'application directement, ce qui est connu sous le nom d'authentification unique (SSO) initiée par le fournisseur de services (SP).
  • Accédez directement au fournisseur d'identité (IDP), connu sous le nom de SSO initié par l'IDP.

Selon l’approche utilisée au sein de votre organisation, suivez les instructions appropriées décrites dans cet article.

SSO initié par le fournisseur de services

Dans la requête SAML de l'authentification unique initiée par le fournisseur de services, l’URI issuer spécifiée est généralement l’URI d’ID d’application. L’utilisation de l’URI d’ID d’application ne permet pas au client de savoir quelle instance d'une application est ciblée lors de l’utilisation de l’authentification unique lancée par le fournisseur de services (SP).

Configurer le SSO initié par le fournisseur de services

Mettez à jour l'URL du service d'authentification unique SAML configurée dans le fournisseur de service pour chaque instance afin d’inclure l’identifiant GUID du principal de service au sein de l'URL. Par exemple, l’URL de connexion de l’authentification unique générale pour SAML est https://login.microsoftonline.com/<tenantid>/saml2, l’URL peut être mise à jour pour cibler un principal de service spécifique, tel que https://login.microsoftonline.com/<tenantid>/saml2/<issuer>.

Seuls les identificateurs de principal de service au format GUID sont acceptés pour la valeur de l’émetteur. Les identificateurs de principal de service remplacent l’émetteur dans la requête et la réponse SAML, et le reste du flux est terminé comme d’habitude. Il existe une exception : si l’application exige que la demande soit signée, la demande est rejetée même si la signature était valide. Le rejet est effectué pour éviter tout risque de sécurité avec des valeurs de substitution fonctionnelle dans une demande signée.

Authentification unique initiée par le fournisseur d'identité (IDP)

La fonctionnalité d’authentification unique initiée par le fournisseur d’identité expose les paramètres suivants pour chaque application :

  • Option de surcharge d’audience exposée pour la configuration à l’aide du mappage d’attributions ou du portail. Le cas d’usage prévu est les applications qui nécessitent le même public pour plusieurs instances. Ce paramètre est ignoré si aucune clé de signature personnalisée n’est configurée pour l’application.

  • Un émetteur avec un indicateur d’ID d’application pour indiquer que l’émetteur doit être unique pour chaque application au lieu d’être unique pour chaque locataire. Ce paramètre est ignoré si aucune clé de signature personnalisée n’est configurée pour l’application.

Configurer l’authentification unique lancée par le fournisseur d’identité

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez aux Entra ID>applications d'entreprise.
  3. Ouvrez n’importe quelle application d’entreprise activée pour l’authentification unique et accédez au panneau de l’authentification unique SAML.
  4. Sélectionnez Modifier dans le panneau Attributs utilisateur et Revendications .
  5. Sélectionnez Modifier pour ouvrir le panneau Options avancées.
  6. Configurez les deux options en fonction de vos préférences, puis sélectionnez Enregistrer.

Étapes suivantes

  • Last updated on