設定應用程式多重執行個體

應用程式多執行個體指的是，在租用戶內設定相同應用程式的多個執行個體時的需求。 例如，組織有多個帳戶，每個帳戶都需要個別的服務主體來處理執行個體特有的宣告對應和角色指派。 或者，客戶一個應用程式有多個執行個體，其不需要特殊的宣告對應，但針對個別的簽署金鑰，需要有個別的服務主體。

登入方法

使用者可以以下列其中一種方式登入應用程式：

• 直接透過應用程式，稱為服務提供者 (SP) 起始的單一登入 (SSO)。
• 直接移至識別提供者 (IDP)，稱為 IDP 起始的SSO。

根據貴組織內所使用的方法，請遵循本文所述的適當指示。

SP 起始的 SSO

在 SP 起始 SSO 的 SAML 要求中，指定的issuer通常是應用程式識別碼 URI。 使用應用程式識別碼 URI 不允許客戶在使用 SP 起始的 SSO 時，區分應用程式的哪一個執行個體正做為目標。

設定由 SP 起始的 SSO

更新每個執行個體在服務提供者內設定的 SAML 單一登入服務 URL，以此包含服務主體 Guid 作為 URL 的一部分。 例如，SAML 的一般 SSO 登入 URL 是 https://login.microsoftonline.com/<tenantid>/saml2，可以將 URL 更新為以特定服務主體為目標，例如 https://login.microsoftonline.com/<tenantid>/saml2/<issuer>。

簽發者值只接受 GUID 格式的服務主體識別碼。 服務主體識別碼會覆寫 SAML 要求和回應中的簽發者，而流程的其餘部分則會如往常一樣完成。 有一個例外狀況：如果應用程式要求必須簽署，那麼即使簽章有效，仍然會拒絕要求。 拒絕的原因是避免於已簽署的要求中在功能上覆寫值的任何安全性風險。

IDP 起始的 SSO

IDP 起始的 SSO 功能會針對每個應用程式公開下列設定：

• 使用宣告對應或入口網站公開用於設定的「對象覆寫」選項。 預定的使用案例是針對多個執行個體而需要相同物件的應用程式。 如果未為應用程式設定自訂簽署金鑰，則會忽略此設定。

• 「具有應用程式識別碼的簽發者」旗標，表示簽發者對每個應用程式而非每個租用戶來說應該是唯一的。 如果未為應用程式設定自訂簽署金鑰，則會忽略此設定。

設定 IDP 起始的 SSO

1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [身分識別]>[應用程式]>[企業應用程式]。
3. 開啟任何已啟用 SSO 的企業應用程式，然後瀏覽至 [SAML 單一登入] 刀鋒視窗。
4. 選取 [使用者屬性和宣告] 面板上的 [編輯] 按鈕。
5. 選取 [編輯] 以開啟進階選項刀鋒視窗。
6. 根據您的喜好設定這兩個選項，然後選取 [儲存]。

下一步

• 若要深入了解如何設定此原則，請參閱 自訂應用程式 SAML 權杖宣告