在租户中,应用多实例指的是需要配置同一应用程序的多个实例。 例如,组织有多个帐户,每个帐户都需要单独的服务主体来处理特定于实例的声明映射和角色分配。 或者,客户有多个应用程序实例,它不需要特殊的声明映射,但需要单独的服务主体来单独签名密钥。
登录方法
用户可以通过以下方式之一登录到应用程序:
- 直接通过应用程序(称为服务提供商(SP)发起的单一登录(SSO)。
- 直接转到身份提供者(IDP),这种方式称为 IDP 发起的 SSO。
根据组织中使用的方法,请按照本文中所述的适当说明进行操作。
SP 发起的 SSO
在 SP 发起的 SSO 的 SAML 请求中, issuer 指定的通常是应用 ID URI。 使用应用 ID URI 不允许客户区分使用 SP 发起的 SSO 时所针对的应用程序实例。
配置 SP 发起的 SSO
更新为每个实例在服务提供商中配置的 SAML 单一登录服务 URL,以将服务主体 GUID 作为 URL 的一部分包含在内。 例如,SAML 的常规 SSO 登录 URL 是 https://login.partner.microsoftonline.cn/<tenantid>/saml2,URL 可以更新为面向特定服务主体,例如 https://login.partner.microsoftonline.cn/<tenantid>/saml2/<issuer>。
仅接受 GUID 格式的服务主体标识符作为颁发者值。 服务主体标识符会替代 SAML 请求和响应中的颁发者,其余流照常完成。 有一个例外:如果应用程序要求签名请求,即使签名有效,请求也会被拒绝。 这样拒绝是为了避免签名请求中值被功能性地覆盖所带来的任何安全风险。
IDP 发起的 SSO
IDP 发起的 SSO 功能为每个应用程序公开以下设置:
通过使用声明映射或门户进行配置,提供了一个受众覆盖选项。 预期使用场景是面向相同目标用户的多个实例的应用程序。 如果未为应用程序配置任何自定义签名密钥,则忽略此设置。
具有应用程序 ID 标志的颁发者,指示每个应用程序应是唯一的,而不是每个租户的唯一颁发者。 如果未为应用程序配置任何自定义签名密钥,则忽略此设置。
配置 IDP 发起的单点登录 (SSO)
- 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>企业应用。
- 打开任何已启用 SSO 的企业应用并导航到“SAML 单一登录”边栏选项卡。
- 在“用户属性和声明”面板上选择“编辑”。
- 选择 编辑 以打开高级选项边栏。
- 根据首选项配置这两个选项,然后选择“ 保存”。
后续步骤
- 若要详细了解如何配置此策略,请参阅 自定义应用 SAML 令牌声明