앱 다중 인스턴싱은 테넌트 내에서 동일한 애플리케이션의 여러 인스턴스를 구성해야 한다는 것을 의미합니다. 예를 들어 조직에는 여러 계정이 있으며, 각 계정에는 인스턴스별 클레임 매핑 및 역할 할당을 처리하기 위해 별도의 서비스 주체가 필요합니다. 또는 고객에게는 특수 클레임 매핑이 필요하지 않지만 별도의 서명 키에 별도의 서비스 주체가 필요한 애플리케이션 인스턴스가 여러 개 있습니다.
로그인 방법
사용자는 다음 방법 중 하나로 애플리케이션에 로그인할 수 있습니다.
- SP(서비스 공급자)로 알려진 애플리케이션을 통해 직접 SSO(Single Sign-On)를 시작했습니다.
- IDP에서 시작하는 SSO, 즉 IDP(ID 공급자)로 직접 이동하세요.
조직 내에서 사용되는 방법에 따라 이 문서에 설명된 적절한 지침을 따르세요.
SP가 시작한 SSO
SP가 시작한 SSO의 SAML 요청에서 지정된 issuer는 대개 앱 ID URI입니다. 앱 ID URI를 활용해도 고객이 SP 시작 SSO를 사용할 때 대상이 되는 애플리케이션의 인스턴스를 구분할 수 없습니다.
서비스 제공자(SP)가 시작한 SSO 구성
서비스 주체 GUID를 URL의 일부로 포함하도록 각 인스턴스에 대해 서비스 공급자 내에서 구성된 SAML Single Sign-On 서비스 URL을 업데이트합니다. 예를 들어 SAML에 대한 일반적인 SSO 로그인 URL은 https://login.microsoftonline.com/<tenantid>/saml2URL을 업데이트하여 특정 서비스 주체(예: https://login.microsoftonline.com/<tenantid>/saml2/<issuer>)를 대상으로 할 수 있습니다.
GUID 형식의 서비스 주체 식별자만 발급자 값으로 허용됩니다. 서비스 주체 식별자는 SAML 요청 및 응답에서 발급자를 대신하고 나머지 과정은 평소처럼 진행됩니다. 한 가지 예외가 있습니다. 애플리케이션에서 요청에 서명해야 하는 경우 서명이 유효한 경우에도 요청이 거부됩니다. 거부는 서명된 요청의 값을 기능적으로 재정의하는 보안 위험을 방지하기 위해 수행됩니다.
IDP가 SSO를 시작함
IDP 시작 SSO 기능은 각 애플리케이션에 대해 다음 설정을 노출합니다.
대상 재정의 옵션은 클레임 매핑 또는 포털을 사용하여 구성을 위해 노출됩니다. 의도된 사용 사례는 여러 인스턴스에 대해 동일한 대상을 필요로 하는 애플리케이션입니다. 애플리케이션에 대해 사용자 지정 서명 키가 구성되지 않은 경우 이 설정은 무시됩니다.
애플리케이션 ID 플래그를 가진 발급자는 각 테넌트가 아닌 각 애플리케이션에 대해 고유해야 합니다. 애플리케이션에 대해 사용자 지정 서명 키가 구성되지 않은 경우 이 설정은 무시됩니다.
IDP에 의해 시작된 SSO 구성
- 적어도 클라우드 애플리케이션 관리자로서 Microsoft Entra 관리 센터에 로그인하세요.
- Entra ID>엔터프라이즈 애플리케이션으로 이동하십시오.
- SSO 사용 엔터프라이즈 앱을 열고 SAML Single Sign-On 블레이드로 이동합니다.
- 사용자 특성 및 클레임 패널에서 편집을 선택합니다.
- 편집을 선택하여 고급 옵션 블레이드를 엽니다.
- 기본 설정에 따라 두 옵션을 모두 구성한 다음 저장을 선택합니다.
다음 단계
- 이 정책을 구성하는 방법에 대한 자세한 내용은 앱 SAML 토큰 클레임 사용자 지정을 참조하세요.