Uygulama çoklu kapsayıcısını yapılandırma
Uygulama çoklu oturum açma, bir kiracı içinde aynı uygulamanın birden çok örneğinin yapılandırılması gereksinimini ifade eder. Örneğin, kuruluşun her biri örneğe özgü talep eşlemesini ve rol atamasını işlemek için ayrı bir hizmet sorumlusuna ihtiyaç duyan birden çok hesabı vardır. Veya müşterinin, özel talep eşlemesi gerektirmeyen, ancak ayrı imzalama anahtarları için ayrı hizmet sorumlularına ihtiyacı olan birden çok uygulama örneği vardır.
Oturum açma yaklaşımları
Kullanıcı bir uygulamada aşağıdaki yollardan biriyle oturum açabilir:
- Hizmet sağlayıcısı (SP) tarafından başlatılan çoklu oturum açma (SSO) olarak bilinen uygulama aracılığıyla doğrudan.
- Doğrudan IDP tarafından başlatılan SSO olarak bilinen kimlik sağlayıcısına (IDP) gidin.
Kuruluşunuzda hangi yaklaşımın kullanıldığına bağlı olarak, bu makalede açıklanan uygun yönergeleri izleyin.
SP tarafından başlatılan SSO
SP tarafından başlatılan SSO'nun SAML isteğinde issuer
, belirtilen genellikle uygulama kimliği URI'sidir. Uygulama Kimliği URI'sini kullanmak, müşterinin SP tarafından başlatılan SSO kullanırken bir uygulamanın hangi örneğinin hedeflendiğini ayırt etmesine izin vermez.
SP tarafından başlatılan SSO'ları yapılandırma
Her örnek için hizmet sağlayıcısı içinde yapılandırılan SAML çoklu oturum açma hizmet URL'sini, URL'nin bir parçası olarak hizmet sorumlusu guid'sini içerecek şekilde güncelleştirin. Örneğin, SAML'nin genel SSO oturum açma URL'si şeklindedir https://login.microsoftonline.com/<tenantid>/saml2
. URL, gibi https://login.microsoftonline.com/<tenantid>/saml2/<issuer>
belirli bir hizmet sorumlusunu hedeflemek için güncelleştirilebilir.
Veren değeri için yalnızca GUID biçiminde hizmet sorumlusu tanımlayıcıları kabul edilir. Hizmet sorumlusu tanımlayıcıları SAML isteğinde ve yanıtında vereni geçersiz kılar ve akışın geri kalanı her zamanki gibi tamamlanır. Bir özel durum vardır: Uygulama isteğin imzasını gerektiriyorsa, imza geçerli olsa bile istek reddedilir. Reddetme, imzalı bir istekteki değerleri işlevsel olarak geçersiz kılarak güvenlik risklerini önlemek için yapılır.
IDP tarafından başlatılan SSO
IDP tarafından başlatılan SSO özelliği her uygulama için aşağıdaki ayarları kullanıma sunar:
Talep eşlemesi veya portal kullanılarak yapılandırma için kullanıma sunulan bir hedef kitle geçersiz kılma seçeneği. Amaçlanan kullanım örneği, birden çok örnek için aynı hedef kitleyi gerektiren uygulamalardır. Uygulama için özel imzalama anahtarı yapılandırılmamışsa bu ayar yoksayılır.
Verenin her kiracı için benzersiz olması yerine her uygulama için benzersiz olması gerektiğini belirten uygulama kimliği bayrağına sahip bir veren. Uygulama için özel imzalama anahtarı yapılandırılmamışsa bu ayar yoksayılır.
IDP tarafından başlatılan SSO'ları yapılandırma
- Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
- Kimlik>Uygulamaları>Kurumsal uygulamaları'na göz atın.
- SSO özellikli herhangi bir kurumsal uygulamayı açın ve SAML çoklu oturum açma dikey penceresine gidin.
- Kullanıcı Öznitelikleri ve Talepler panelinde Düzenle'yi seçin.
- Düzenle'yi seçerek gelişmiş seçenekler dikey penceresini açın.
- Her iki seçeneği de tercihlerinize göre yapılandırın ve kaydet'i seçin.
Sonraki adımlar
- Bu ilkeyi yapılandırma hakkında daha fazla bilgi edinmek için bkz. Uygulama SAML belirteci taleplerini özelleştirme