Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Konfiguracja wielu instancji aplikacji odnosi się do potrzeby uruchomienia kilku wystąpień tej samej aplikacji w ramach jednej dzierżawy. Na przykład organizacja ma wiele kont, z których każda wymaga oddzielnej jednostki usługi do obsługi mapowania oświadczeń specyficznych dla wystąpienia i przypisywania ról. Lub klient ma wiele wystąpień aplikacji, które nie wymagają specjalnego mapowania oświadczeń, ale potrzebują oddzielnych zasad dostępu dla różnych kluczy podpisywania.
Metody logowania
Użytkownik może zalogować się do aplikacji na jeden z następujących sposobów:
- Bezpośrednio za pośrednictwem aplikacji, co jest znane jako logowanie jednokrotne inicjowane przez dostawcę usług (SP).
- Przejdź bezpośrednio do dostawcy tożsamości (IDP), znanego jako SSO inicjowane przez dostawcę tożsamości.
W zależności od tego, które podejście jest używane w organizacji, postępuj zgodnie z odpowiednimi instrukcjami opisanymi w tym artykule.
Logowanie jednokrotne inicjowane przez dostawcę usług
W żądaniu SAML inicjowanego przez dostawcę usług w logowaniu jednokrotnym (SSO) issuer zazwyczaj jest to URI identyfikatora aplikacji. Użycie URI identyfikatora aplikacji nie umożliwia klientowi zidentyfikowania docelowego wystąpienia aplikacji podczas korzystania z logowania jednokrotnego zainicjowanego przez dostawcę usług.
Konfiguracja jednokrotnego logowania inicjowanego przez dostawcę usług
Zaktualizuj adres URL usługi logowania jednokrotnego SAML skonfigurowany u dostawcy usług dla każdego wystąpienia, aby uwzględnić identyfikator GUID jednostki usługi w adresie URL. Na przykład ogólny adres URL logowania jednokrotnego dla protokołu SAML to https://login.microsoftonline.com/<tenantid>/saml2, adres URL można zaktualizować, aby był przeznaczony dla konkretnego podmiotu usługi, na przykład https://login.microsoftonline.com/<tenantid>/saml2/<issuer>.
Dla wartości wystawcy akceptowane są tylko identyfikatory jednostki usługi w formacie GUID. Identyfikatory główne usługi zastępują wystawcę w żądaniu i odpowiedzi SAML, a reszta przepływu jest kontynuowana jak zwykle. Istnieje jeden wyjątek: jeśli aplikacja wymaga podpisania żądania, żądanie zostanie odrzucone, nawet jeśli podpis był prawidłowy. Odrzucenie jest przeprowadzane w celu uniknięcia jakichkolwiek zagrożeń bezpieczeństwa spowodowanych przez funkcjonalne nadpisywanie wartości w podpisanym żądaniu.
Logowanie SSO inicjowane przez IDP
Funkcja logowania jednokrotnego inicjowanego przez dostawcę tożsamości uwidacznia następujące ustawienia dla każdej aplikacji:
Opcja przypisania odbiorców dostępna do konfiguracji za pomocą mapowania oświadczeń lub portalu. Zamierzony przypadek użycia to aplikacje, które wymagają tej samej grupy odbiorców dla wielu wystąpień. To ustawienie jest ignorowane, jeśli dla aplikacji nie skonfigurowano niestandardowego klucza podpisywania.
Wystawca z flagą identyfikatora aplikacji wskazującą, że wystawca powinien być unikatowy dla każdej aplikacji zamiast unikatowy dla każdego dzierżawcy. To ustawienie jest ignorowane, jeśli dla aplikacji nie skonfigurowano niestandardowego klucza podpisywania.
Konfigurowanie SSO inicjowanego przez dostawcę tożsamości
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
- Przejdź do aplikacji Entra ID>Dla przedsiębiorstw.
- Otwórz dowolną aplikację dla przedsiębiorstw z obsługą logowania jednokrotnego i przejdź do panelu logowania jednokrotnego SAML.
- Wybierz pozycję Edytuj na panelu Atrybuty użytkownika i oświadczenia .
- Wybierz pozycję Edytuj, aby otworzyć ostrze opcji zaawansowanych.
- Skonfiguruj obie opcje zgodnie z preferencjami, a następnie wybierz pozycję Zapisz.
Dalsze kroki
- Aby uzyskać więcej informacji o tym, jak skonfigurować tę politykę, sprawdź Dostosowywanie oświadczeń tokenu SAML aplikacji