Multi-instanciation d’application de configuration
La multi-instanciation d’application fait référence au besoin de configurer plusieurs instances de la même application au sein d’un locataire. Par exemple, l’organisation a plusieurs comptes, chacun ayant besoin d’un principal de service distinct pour gérer le mappage de revendications spécifiques à l’instance et l’attribution de rôles. Ou le client a plusieurs instances d’une application, qui n’a pas besoin de mappage de revendications spécial, mais qui a besoin de principaux de service distincts pour des clés de signature distinctes.
Approches de connexion
Un utilisateur peut se connecter à une application de l’une des manières suivantes :
- Via l’application directement, connue sous le nom d’authentification unique (SSO) initiée par le fournisseur de services.
- Accédez directement au fournisseur d’identité (IDP), appelé authentification unique lancée par le fournisseur d’identité.
Selon l’approche utilisée au sein de votre organisation, suivez les instructions appropriées décrites dans cet article.
Authentification unique lancée par le fournisseur de services
Dans la requête SAML de l’authentification SSO lancée par le SP, le issuer
spécifié est généralement l’URI de l’ID d’application. L’utilisation de l’URI de l’ID d’application ne permet pas au client de savoir quelle instance d’une application est ciblée lors de l’utilisation de l’authentification SSO lancée par le SP.
Configurer l’authentification unique lancée par le fournisseur de services
Mettez à jour l’URL du service d’authentification unique SAML configurée dans le fournisseur de services pour chaque instance afin d’inclure le GUID du principal de service dans l’URL. Par exemple, l’URL de connexion SSO générale pour SAML est https://login.microsoftonline.com/<tenantid>/saml2
. L’URL peut être mise à jour pour cibler un principal de service spécifique comme https://login.microsoftonline.com/<tenantid>/saml2/<issuer>
.
Seuls les identificateurs de principal de service au format GUID sont acceptés pour la valeur issuer. Les identificateurs de principal de service remplacent l’émetteur dans la demande et la réponse SAML, et le reste du flux est renseigné comme d’habitude. Il existe une exception : si l’application requiert que la demande soit signée, la demande est rejetée même si la signature était valide. Le rejet sert à éviter tout risque de sécurité avec le remplacement fonctionnel de valeurs dans une demande signée.
Authentification unique lancée par le fournisseur d’identité
La fonctionnalité d’authentification unique lancée par le fournisseur d’identité expose les paramètres suivants pour chaque application :
Une option remplacement d’audience exposée pour la configuration en utilisant le mappage de revendications ou le portail. Le cas d’usage prévu correspond aux applications qui nécessitent la même audience pour plusieurs instances. Ce paramètre est ignoré si aucune clé de signature personnalisée n’est configurée pour l’application.
Un indicateur émetteur avec ID d’application pour indiquer que l’émetteur doit être unique pour chaque application au lieu d’être unique pour chaque locataire. Ce paramètre est ignoré si aucune clé de signature personnalisée n’est configurée pour l’application.
Configurer l’authentification unique lancée par le fournisseur d’identité
- Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
- Accédez à Identité>Applications>Applications d’entreprise.
- Ouvrez n’importe quelle application d’entreprise avec SSO activé et accédez au panneau de l’authentification unique SAML.
- Sélectionnez Modifier dans le volet Attributs utilisateur et revendications.
- Sélectionnez Modifier pour ouvrir le panneau d’options avancées.
- Configurez les deux options en fonction de vos préférences, puis sélectionnez Enregistrer.
Étapes suivantes
- Pour en savoir plus sur la configuration de cette stratégie, consultez Personnaliser les revendications de jeton SAML d’application