Configurare la creazione di istanze per più app

L'esecuzione a più istanze dell'app si riferisce alla necessità di configurare più istanze della stessa applicazione all'interno di un tenant. Ad esempio, l'organizzazione ha più account, ognuno dei quali richiede un'entità servizio separata per gestire il mapping di attestazioni e l'assegnazione di ruoli specifici dell'istanza. In alternativa, il cliente ha più istanze di un'applicazione, che non richiede un mapping di attestazioni speciale, ma richiede entità servizio separate per chiavi di firma separate.

Approcci di accesso

Un utente può accedere a un'applicazione uno dei modi seguenti:

• Tramite l'applicazione direttamente, nota come Single Sign-On (SP) avviata dal provider di servizi (SSO).
• Passare direttamente al provider di identità (IDP), noto come SSO avviato da IDP.

A seconda dell'approccio usato all'interno dell'organizzazione, seguire le istruzioni appropriate descritte in questo articolo.

SSO avviato da SP

Nella richiesta SAML dell'accesso SSO avviato da SP, l'oggetto issuer specificato è in genere l'URI ID app. L'uso dell'URI ID app non consente al cliente di distinguere l'istanza di un'applicazione di destinazione quando si usa l'accesso SSO avviato da SP.

Configurare l'accesso SSO avviato da SP

Aggiornare l'URL del servizio Single Sign-On SAML configurato all'interno del provider di servizi per ogni istanza in modo da includere il GUID dell'entità servizio come parte dell'URL. Ad esempio, l'URL di accesso SSO generale per SAML è https://login.microsoftonline.com/<tenantid>/saml2, l'URL può essere aggiornato per specificare come destinazione un'entità servizio specifica, ad esempio https://login.microsoftonline.com/<tenantid>/saml2/<issuer>.

Solo gli identificatori dell'entità servizio in formato GUID vengono accettati per il valore dell'autorità di certificazione. Gli identificatori dell'entità servizio eseguono l'override dell'autorità emittente nella richiesta e nella risposta SAML e il resto del flusso viene completato come di consueto. Esiste un'eccezione: se l'applicazione richiede la firma della richiesta, la richiesta viene rifiutata anche se la firma è valida. Il rifiuto viene eseguito per evitare eventuali rischi per la sicurezza con l'override funzionale dei valori in una richiesta firmata.

Accesso SSO avviato da IDP

La funzionalità SSO avviata da IDP espone le impostazioni seguenti per ogni applicazione:

• Opzione di override del gruppo di destinatari esposta per la configurazione usando il mapping delle attestazioni o il portale. Il caso d'uso previsto è costituito da applicazioni che richiedono lo stesso gruppo di destinatari per più istanze. Questa impostazione viene ignorata se non è configurata alcuna chiave di firma personalizzata per l'applicazione.

• Un'autorità emittente con flag ID applicazione per indicare che l'autorità emittente deve essere univoca per ogni applicazione anziché univoca per ogni tenant. Questa impostazione viene ignorata se non è configurata alcuna chiave di firma personalizzata per l'applicazione.

Configurare l'accesso SSO avviato da IDP

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
2. Passare a Applicazioni di identità>Applicazioni>aziendali.
3. Aprire qualsiasi app aziendale abilitata per l'accesso SSO e passare al pannello Single Sign-On SAML.
4. Selezionare Modifica nel pannello Attributi utente e attestazioni .
5. Selezionare Modifica per aprire il pannello opzioni avanzate.
6. Configurare entrambe le opzioni in base alle preferenze e quindi selezionare Salva.

Passaggi successivi

• Per altre informazioni su come configurare questo criterio, vedere Personalizzare le attestazioni del token SAML dell'app