Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Multi-instanciação de aplicativo refere-se à necessidade de configuração de várias instâncias do mesmo aplicativo em um locatário (tenant). Por exemplo, a organização tem várias contas, cada uma delas precisa de um serviço separado para lidar com a atribuição de funções e mapeamento de declarações específicas por instância. Ou o cliente tem várias instâncias de um aplicativo, que não precisa de mapeamento de declarações especiais, mas precisa de entidades de serviço separadas para chaves de assinatura separadas.
Abordagens de login
Um usuário pode entrar em um aplicativo de uma das seguintes maneiras:
- Por meio do aplicativo diretamente, que é conhecido como SSO (logon único) iniciado pelo provedor de serviços.
- Vá diretamente para o IDP (provedor de identidade), conhecido como SSO iniciado por IDP.
Dependendo de qual abordagem é usada em sua organização, siga as instruções apropriadas descritas neste artigo.
SSO iniciado por SP
Na solicitação SAML do SSO iniciado por SP, o issuer especificado geralmente é o URI da ID do aplicativo. Utilizar o URI da ID do Aplicativo não permite que o cliente distingue qual instância de um aplicativo está sendo direcionada ao usar o SSO iniciado por SP.
Configurar o SSO iniciado por SP
Atualize a URL de serviço de logon único do SAML configurada no provedor de serviços para cada instância para incluir o guid da entidade de serviço como parte da URL. Por exemplo, a URL de entrada geral do SSO para SAML é https://login.microsoftonline.com/<tenantid>/saml2, a URL pode ser atualizada para direcionar a uma entidade de serviço específica, como https://login.microsoftonline.com/<tenantid>/saml2/<issuer>.
Somente identificadores principais de serviço no formato GUID são aceitos para o valor do emissor. Os identificadores da entidade de serviço substituem o emissor na solicitação e resposta SAML e o restante do fluxo é concluído como de costume. Há uma exceção: se o aplicativo exigir que a solicitação seja assinada, a solicitação será rejeitada mesmo se a assinatura for válida. A rejeição da solicitação é feita para evitar riscos de segurança com a substituição funcional de valores em uma solicitação assinada.
Início de SSO pelo IDP
O recurso de SSO iniciado pelo IDP expõe as seguintes configurações para cada aplicativo:
Uma opção de substituição de audiência exposta para configuração usando o mapeamento de declarações ou o portal. O uso pretendido é para aplicações que exigem o mesmo público em várias instâncias. Essa configuração será ignorada se nenhuma chave de assinatura personalizada estiver configurada para o aplicativo.
Um emissor com um sinalizador de ID de aplicativo para indicar que o emissor deve ser exclusivo para cada aplicativo em vez de exclusivo para cada locatário. Essa configuração será ignorada se nenhuma chave de assinatura personalizada estiver configurada para o aplicativo.
Configurar o SSO iniciado pelo IDP
- Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativos de Nuvem.
- Navegue para Entra ID>Aplicativos corporativos.
- Abra qualquer aplicativo empresarial habilitado para SSO e navegue até o painel de logon único do SAML.
- Selecione Editar no painel Atributos e Declarações do Usuário .
- Selecione Editar para abrir a folha de opções avançadas.
- Configure ambas as opções de acordo com suas preferências e selecione Salvar.
Próximas etapas
- Para saber mais sobre como configurar essa política, consulte Personalizar declarações de token SAML do aplicativo