Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A instanciação múltipla de aplicações refere-se à necessidade de configuração de várias instâncias da mesma aplicação dentro de um cliente. Por exemplo, a organização tem várias contas, cada uma das quais precisa de um principal de serviço separado para lidar com o mapeamento de afirmações e a atribuição de funções específicas de instância. Ou o cliente tem várias instâncias de um aplicativo, que não precisa de mapeamento de declarações especiais, mas precisa de entidades de serviço separadas para chaves de assinatura separadas.
Abordagens de início de sessão
Um usuário pode entrar em um aplicativo de uma das seguintes maneiras:
- Por intermédio da aplicação diretamente, que é conhecido como logon único iniciado pelo provedor de serviços (SP).
- Vá diretamente para o provedor de identidade (IDP), conhecido como SSO iniciado pelo IDP.
Dependendo da abordagem usada em sua organização, siga as instruções apropriadas descritas neste artigo.
SSO iniciado pelo SP
Na solicitação SAML do SSO iniciado pelo SP, o issuer especificado geralmente é o URI do ID do aplicativo. A utilização do URI de ID da aplicação não permite que o cliente distinga qual instância de um aplicativo está sendo direcionada ao usar o SSO iniciado pelo provedor de serviço.
Configurar o SSO iniciado pelo fornecedor de serviços
Atualize a URL do serviço de início de sessão único SAML configurada no fornecedor de serviços para cada instância, de modo a incluir o identificador da entidade de serviço como parte da URL. Por exemplo, a URL de início de sessão SSO geral para SAML é https://login.microsoftonline.com/<tenantid>/saml2; esta URL pode ser atualizada para direcionar uma entidade de serviço específica, como https://login.microsoftonline.com/<tenantid>/saml2/<issuer>.
Somente identificadores de principal do serviço no formato GUID são aceites para o valor do emissor. Os identificadores da entidade de serviço substituem o emissor na solicitação e resposta SAML, e o restante do fluxo é concluído como de costume. Há uma exceção: se o aplicativo exigir que a solicitação seja assinada, a solicitação será rejeitada mesmo que a assinatura fosse válida. A rejeição é feita para evitar quaisquer riscos de segurança com valores funcionalmente superiores em uma solicitação assinada.
O IDP iniciou o SSO
O recurso SSO iniciado pelo IDP expõe as seguintes configurações para cada aplicativo:
Uma opção de substituição de público-alvo exposta à configuração usando o mapeamento de declarações de autenticação ou o portal. O caso de utilização pretendido é aplicações que exigem o mesmo público para múltiplas instâncias. Essa configuração será ignorada se nenhuma chave de assinatura personalizada estiver configurada para o aplicativo.
Um emissor identificado por ID de aplicação para indicar que o emissor deve ser exclusivo para cada aplicação em vez de exclusivo para cada inquilino. Essa configuração será ignorada se nenhuma chave de assinatura personalizada estiver configurada para o aplicativo.
Configurar o SSO iniciado pelo IDP
- Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
- Navegue até Entra ID>Enterprise apps.
- Abra qualquer aplicativo empresarial habilitado para SSO e navegue até o painel de login único SAML.
- Selecione Editar no painel Atributos do usuário & Declarações .
- Selecione Editar para abrir a folha de opções avançadas.
- Configure ambas as opções de acordo com as suas preferências e, em seguida, selecione Guardar.
Próximos passos
- Para saber mais sobre como configurar essa política, consulte Personalizar declarações de token SAML do aplicativo