配置应用多实例

应用多实例是指需要在租户中配置同一应用程序的多个实例。 例如，组织有多个帐户，每个帐户都需要单独的服务主体来处理特定于实例的声明映射和角色分配。 或者，客户有多个应用程序实例，它不需要特殊的声明映射，但需要单独的服务主体来单独签名密钥。

登录方法

用户可以通过以下方式之一登录到应用程序：

• 通过应用程序直接实现，这被称为服务提供商（SP）发起的单点登录（SSO）。
• 直接转到身份提供商（IDP），也称为 IDP 发起的单点登录（SSO）。

根据在你们的组织中采用的方法，请按照本文中所述的适当说明进行操作。

SP 发起的 SSO

在 SP 发起的 SSO 的 SAML 请求中， issuer 指定的通常是应用 ID URI。 使用应用 ID URI 不允许客户区分使用 SP 发起的 SSO 时所针对的应用程序实例。

配置 SP 发起的 SSO

更新为每个实例在服务提供商中配置的 SAML 单一登录服务 URL，以将服务主体 GUID 作为 URL 的一部分包含在内。 例如，SAML 的常规 SSO 登录 URL 是 https://login.microsoftonline.com/<tenantid>/saml2，URL 可以更新为面向特定服务主体，例如 https://login.microsoftonline.com/<tenantid>/saml2/<issuer>。

仅接受 GUID 格式的服务主体标识符作为颁发者值。 服务主体标识符会替代 SAML 请求和响应中的颁发者，其余流照常完成。 有一个例外：如果应用程序要求签名请求，即使签名有效，请求也会被拒绝。 这样做是为了避免在签名请求中通过功能方式更改值而产生的任何安全风险。

由 IDP 发起的 SSO

IDP 发起的 SSO 功能为每个应用程序公开以下设置：

• 通过声明映射或门户公开用于配置的受众覆盖选项。 预期的使用场景是那些需要相同受众参与多个实例的应用程序。 如果未为应用程序配置任何自定义签名密钥，则忽略此设置。

• 带有应用程序 ID 标志的颁发者指示颁发者应对每个应用程序唯一，而不是对每个租户唯一。 如果未为应用程序配置任何自定义签名密钥，则忽略此设置。

配置 IDP 发起的 SSO

1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>企业应用。
3. 打开任何已启用 SSO 的企业应用程序并导航到“SAML 单一登录”界面板。
4. 在“用户属性和声明”面板上选择“编辑”。
5. 选择“编辑”以打开高级选项面板。
6. 根据首选项配置这两个选项，然后选择“ 保存”。

后续步骤

• 若要详细了解如何配置此策略，请参阅 自定义应用 SAML 令牌声明