Single Sign-On basato su SAML: Configurazione e limitazioni
In questo articolo viene illustrato come configurare un'applicazione per l'accesso Single Sign-On (SSO) basato su SAML con l'ID Microsoft Entra. Questo articolo illustra il mapping degli utenti a ruoli dell'applicazione specifici in base alle regole e alle limitazioni da tenere presente quando si esegue il mapping degli attributi. Vengono inoltre illustrati i certificati di firma SAML, la crittografia del token SAML, la verifica della firma della richiesta SAML e i provider di attestazioni personalizzati.
Le app che usano SAML 2.0 per l'autenticazione possono essere configurate per l'accesso Single Sign-On basato su SAML (SSO). Con l'accesso SSO basato su SAML, è possibile eseguire il mapping degli utenti a ruoli dell'applicazione specifici in base alle regole definite nelle attestazioni SAML.
Per configurare un'applicazione SaaS per l'accesso Single Sign-On basato su SAML, vedere Avvio rapido: Configurare l'accesso Single Sign-On basato su SAML.
Molte applicazioni SaaS hanno un'esercitazione specifica dell'applicazione che illustra la configurazione per l'accesso SSO basato su SAML.
La migrazione di alcune app può essere eseguita facilmente. Le app con requisiti più complessi, ad esempio le attestazioni personalizzate, possono richiedere una configurazione aggiuntiva in Microsoft Entra ID e/o Microsoft Entra Connect Health. Per informazioni sui mapping delle attestazioni supportate, vedere Procedura: Personalizzare le attestazioni generate nei token per un'app specifica in un tenant (anteprima).
Tenere presente le limitazioni seguenti quando si esegue il mapping degli attributi:
- Non tutti gli attributi che possono essere rilasciati in AD FS vengono visualizzati in Microsoft Entra ID come attributi da generare ai token SAML, anche se tali attributi vengono sincronizzati. Quando si modifica l'attributo, l'elenco a discesa Value mostra gli attributi diversi disponibili in Microsoft Entra ID. Controllare Microsoft Entra Configurazione articoli Connect Sync per assicurarsi che un attributo obbligatorio, ad esempio samAccountName, sia sincronizzato con l'ID Microsoft Entra. È possibile usare gli attributi dell'estensione per generare qualsiasi attestazione che non fa parte dello schema utente standard in Microsoft Entra ID.
- Negli scenari più comuni, per un'app sono necessarie solo l'attestazione NameID e altre attestazioni dell'ID utente comuni. Per determinare se sono necessarie attestazioni aggiuntive, esaminare le attestazioni eseguite da AD FS.
- Non tutte le attestazioni possono essere rilasciate, perché alcune attestazioni sono protette in Microsoft Entra ID.
- La possibilità di usare i token SAML crittografati è ora disponibile in anteprima. Vedere Procedura: personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali.
App Software as a service (SaaS)
Se gli utenti accedono alle app SaaS, ad esempio Salesforce, ServiceNow o Workday e sono integrate con AD FS, si usa l'accesso federato per le app SaaS.
La maggior parte delle applicazioni SaaS può essere configurata in Microsoft Entra ID. Microsoft ha molte connessioni preconfigurate alle app SaaS nella raccolta di app Microsoft Entra, che semplifica la transizione. Le applicazioni SAML 2.0 possono essere integrate con l'ID Microsoft Entra tramite la raccolta di app Microsoft Entra o come applicazioni non della raccolta.
Le app che usano OAuth 2.0 o OpenID Connect possono essere integrate in modo analogo con Microsoft Entra ID come registrazioni delle app. Le app che usano protocolli legacy possono usare Microsoft Entra proxy dell'applicazione per eseguire l'autenticazione con Microsoft Entra ID.
Per eventuali problemi relativi all'onboarding delle app SaaS, è possibile contattare l'alias di supporto dell'applicazione SaaS.
Certificati di firma SAML per l'accesso SSO
I certificati di firma sono una parte importante di qualsiasi distribuzione SSO. Microsoft Entra ID crea i certificati di firma per stabilire l'accesso SSO federato basato su SAML alle applicazioni SaaS. Dopo aver aggiunto le applicazioni di raccolta o non raccolta, si configurerà l'applicazione aggiunta usando l'opzione SSO federata. Vedere Gestire i certificati per l'accesso Single Sign-On federato in Microsoft Entra ID.
Crittografia del token SAML
Sia AD FS che Microsoft Entra ID forniscono la crittografia dei token, ovvero la possibilità di crittografare le asserzioni di sicurezza SAML che passano alle applicazioni. Le asserzioni vengono crittografate con una chiave pubblica e decrittografate dall'applicazione ricevente con la chiave privata corrispondente. Quando si configura la crittografia dei token, caricare i file di certificato X.509 per fornire le chiavi pubbliche.
Per informazioni sulla crittografia del token SAML Microsoft Entra e su come configurarla, vedere Procedura: Configurare Microsoft Entra crittografia del token SAML.
Nota
La crittografia dei token è una funzionalità Microsoft Entra ID P1 o P2. Per altre informazioni sulle edizioni, le funzionalità e i prezzi di Microsoft Entra, vedere Microsoft Entra prezzi.
Verifica della firma della richiesta SAML
Questa funzionalità convalida la firma delle richieste di autenticazione firmate. Un'app Amministrazione abilita e disabilita l'applicazione delle richieste firmate e carica le chiavi pubbliche che devono essere usate per eseguire la convalida. Per altre informazioni, vedere Come applicare le richieste di autenticazione SAML firmate.
Provider di attestazioni personalizzati (anteprima)
Per eseguire la migrazione dei dati da sistemi legacy, ad esempio ADFS o archivi dati come LDAP, le app dipendono da determinati dati nei token. È possibile usare provider di attestazioni personalizzati per aggiungere attestazioni al token. Per altre informazioni, vedere Panoramica del provider di attestazioni personalizzate.
App e configurazioni che possono essere spostate oggi
Attualmente è possibile spostare facilmente le app SAML 2.0 che usano il set standard di elementi di configurazione e attestazioni. Questi elementi standard sono:
- Nome entità utente
- Indirizzo di posta elettronica
- Nome specificato
- Surname
- Attributo alternativo come SAML NameID, incluso l'attributo di posta elettronica ID Microsoft Entra, il prefisso di posta elettronica, l'ID dipendente, gli attributi di estensione 1-15 o l'attributo SamAccountName locale. Per altre informazioni, vedere Modifica dell'attestazione NameIdentifier.
- Attestazioni personalizzate.
Di seguito sono necessari altri passaggi di configurazione per eseguire la migrazione all'ID Microsoft Entra:
- Regole di autorizzazione personalizzata o autenticazione a più fattori in AD FS. Vengono configurati usando la funzionalità di accesso condizionale Microsoft Entra.
- App con più endpoint URL di risposta. È possibile configurarli in Microsoft Entra ID usando PowerShell o l'interfaccia dell'interfaccia di amministrazione di Microsoft Entra.
- App WS-Federation come le app SharePoint che richiedono token SAML versione 1.1, È possibile configurarli manualmente usando PowerShell. È anche possibile aggiungere un modello generico preintegrato per le applicazioni SharePoint e SAML 1.1 dalla raccolta. Supportiamo il protocollo SAML 2.0.
- Le regole di rilascio di attestazioni complesse trasformano le regole. Per informazioni sui mapping delle attestazioni supportate, vedere:
App e configurazioni non supportate in Microsoft Entra oggi
Le app che richiedono determinate funzionalità non possono essere migrate oggi.
Funzionalità del protocollo
Le app che richiedono le funzionalità di protocollo seguenti non possono essere migrate oggi:
- Supporto per il modello ActAs di WS-Trust
- Risoluzione artefatto SAML
Eseguire il mapping delle impostazioni dell'app da AD FS a Microsoft Entra ID
La migrazione richiede la valutazione del modo in cui l'applicazione è configurata in locale e quindi esegue il mapping della configurazione a Microsoft Entra ID. AD FS e Microsoft Entra ID funzionano in modo analogo, pertanto i concetti relativi alla configurazione di URL di attendibilità, accesso e disconnessamento si applicano in entrambi i casi. Documentare le impostazioni di configurazione di AD FS delle applicazioni in modo da poterle configurare facilmente in Microsoft Entra ID.
Eseguire il mapping delle impostazioni di configurazione dell'app
La tabella seguente descrive alcuni dei mapping più comuni delle impostazioni tra un trust di Relying Party di AD FS per Microsoft Entra applicazione enterprise:
- AD FS: trovare l'impostazione nell'attendibilità della relying party di AD FS per l'app. Fare clic con il pulsante destro del mouse sulla relying party e scegliere Proprietà.
- Microsoft Entra ID: l'impostazione viene configurata all'interno dell'interfaccia di amministrazione Microsoft Entra nelle proprietà SSO di ogni applicazione.
| Impostazione di configurazione | AD FS | Come configurare in Microsoft Entra ID | Token SAML |
|---|---|---|---|
| URL di accesso dell'app URL per l'accesso dell'utente all'app in un flusso SAML avviato da un provider di servizi (SP). |
N/D | Aprire configurazione SAML di base dall'accesso basato su SAML | N/D |
| URL di risposta dell'app URL dell'app dal punto di vista del provider di identità (IDP). IdP invia l'utente e il token qui dopo l'accesso dell'utente all'IDP. Questo è noto anche come endpoint consumer dell'asserzione SAML. |
Selezionare la scheda Endpoint | Aprire configurazione SAML di base dall'accesso basato su SAML | Elemento di destinazione nel token SAML. Valore di esempio: https://contoso.my.salesforce.com |
| URL di disconnessione dell'app Si tratta dell'URL a cui vengono inviate richieste di pulizia di disconnessione quando un utente si disconnette da un'app. L'IDP invia anche la richiesta per disconnettere l'utente da tutte le altre app. |
Selezionare la scheda Endpoint | Aprire configurazione SAML di base dall'accesso basato su SAML | N/D |
| Identificatore dell'app Questo è l'identificatore dell'app dal punto di vista dell'IDP. Come identificatore viene usato spesso il valore dell'URL di accesso, ma non sempre. A volte l'app chiama questo "ID entità". |
Selezionare la scheda Identificatori | Aprire configurazione SAML di base dall'accesso basato su SAML | Esegue il mapping all'elemento Audience nel token SAML. |
| Metadati di federazione dell'app Si tratta della posizione dei metadati federativi dell'app. Viene usata dal provider di identità per aggiornare automaticamente specifiche impostazioni di configurazione come gli endpoint o i certificati di crittografia. |
Selezionare la scheda Monitoraggio | N/D. Microsoft Entra ID non supporta direttamente l'utilizzo dei metadati della federazione dell'applicazione. È possibile importare manualmente i metadati della federazione. | N/D |
| Identificatore utente/ID nome Attributo usato per indicare in modo univoco l'identità utente dall'ID Microsoft Entra o AD FS all'app. Questo attributo è in genere l'UPN o l'indirizzo di posta elettronica dell'utente. |
Regole attestazioni. Nella maggior parte dei casi, la regola attestazione genera un'attestazione con un tipo che termina con NameIdentifier. | È possibile trovare l'identificatore nell'intestazione Attributi utente e attestazioni. Per impostazione predefinita, viene usato l'UPN | Esegue il mapping all'elemento NameID nel token SAML. |
| Altre attestazioni Esempi di altre informazioni sull'attestazione che vengono comunemente inviate dall'IDP all'app includono nome, cognome, indirizzo di posta elettronica e appartenenza al gruppo. |
In AD FS sono riportate come altre regole attestazioni per la relying party. | È possibile trovare l'identificatore sotto l'intestazione Attestazioni attributi & utente. Selezionare Visualizza e modifica tutti gli altri attributi utente. | N/D |
Impostazioni Map Identity Provider (IdP)
Configurare le applicazioni in modo che punti a Microsoft Entra ID rispetto ad AD FS per l'accesso SSO. In questo caso, ci concentriamo sulle app SaaS che usano il protocollo SAML. Tuttavia, questo concetto si estende anche alle app line-of-business personalizzate.
Nota
I valori di configurazione per Microsoft Entra ID seguono il modello in cui l'ID tenant di Azure sostituisce {tenant-id} e l'ID applicazione sostituisce {application-id}. Queste informazioni sono disponibili nell'interfaccia di amministrazione Microsoft Entra in proprietà ID > Microsoft Entra:
- Selezionare ID directory per visualizzare l'ID tenant.
- Selezionare ID applicazione per visualizzare l'ID applicazione.
A livello generale, eseguire il mapping degli elementi di configurazione delle app SaaS seguenti all'ID Microsoft Entra.
| Elemento | Valore di configurazione |
|---|---|
| Autorità di certificazione del provider di identità | https://sts.windows.net/{tenant-id}/ |
| URL di accesso del provider di identità | https://login.microsoftonline.com/{tenant-id}/saml2 |
| URL di disconnessione del provider di identità | https://login.microsoftonline.com/{tenant-id}/saml2 |
| Posizione dei metadati federativa | https://login.windows.net/{tenant-id}/federationmetadata/2007-06/federationmetadata.xml?appid={application-id} |
Eseguire il mapping delle impostazioni SSO per le app SaaS
Le app SaaS devono sapere dove inviare richieste di autenticazione e come convalidare i token ricevuti. La tabella seguente descrive gli elementi per configurare le impostazioni SSO nell'app e i relativi valori o posizioni all'interno di AD FS e Microsoft Entra ID
| Impostazione di configurazione | AD FS | Come configurare in Microsoft Entra ID |
|---|---|---|
| URL di accesso IDP URL di accesso dell'IDP dal punto di vista dell'app (dove l'utente viene reindirizzato per l'accesso). |
L'URL di accesso ad AD FS è il nome del servizio federativo AD FS seguito da "/adfs/ls/". ad esempio |
Sostituire {tenant-id} con l'ID tenant. Per le app che usano il protocollo SAML-P: https://login.microsoftonline.com/{tenant-id}/saml2 Per le app che usano il protocollo di WS-Federation: https://login.microsoftonline.com/{tenant-id}/wsfed |
| URL di disconnessione IDP URL di disconnessione dell'IDP dal punto di vista dell'app (dove l'utente viene reindirizzato quando sceglie di disconnettersi dall'app). |
L'URL di disconnessione è lo stesso dell'URL di accesso o lo stesso URL con "wa=wsignout1.0" aggiunto. ad esempio https://fs.contoso.com/adfs/ls/?wa=wsignout1.0 |
Sostituire {tenant-id} con l'ID tenant. Per le app che usano il protocollo SAML-P: https://login.microsoftonline.com/{tenant-id}/saml2 Per le app che usano il protocollo di WS-Federation: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 |
| Certificato di firma del token IdP usa la chiave privata del certificato per firmare i token emessi. Verifica che il token provenga dallo stesso provider di identità per cui è stato configurato il trust nell'app. |
Il certificato per la firma di token di AD FS si trova in Certificati in Gestione AD FS. | Trovarlo nell'interfaccia di amministrazione Microsoft Entra nelle proprietà Single Sign-On dell'applicazione sotto l'intestazione SAML Sign Certificate (Certificato di firma SAML). da dove può essere scaricato per il caricamento nell'app. Se l'applicazione dispone di più certificati, è possibile trovare tutti i certificati nel file XML dei metadati federativo. |
| Identificatore/ "autorità emittente" Identificatore dell'IDP dal punto di vista dell'app (talvolta denominato "ID autorità di certificazione"). Nel token SAML il valore viene visualizzato come elemento Issuer. |
L'identificatore per AD FS è in genere l'identificatore del servizio federativo in Gestione AD FS in Proprietà > del servizio federativo. ad esempio http://fs.contoso.com/adfs/services/trust |
Sostituire {tenant-id} con l'ID tenant. https://sts.windows.net/{tenant-id}/ |
| Metadati della federazione IDP Posizione dei metadati di federazione disponibili pubblicamente dell'IDP. Alcune app usano i metadati di federazione come alternativa alla configurazione di URL, identificatore e certificato per la firma di token eseguita singolarmente dall'amministratore. |
Trovare l'URL dei metadati federativo di AD FS in Gestione AD FS in Tipo di metadati degli endpoint di >> servizio>: metadati federativi. ad esempio https://fs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml |
Il valore corrispondente per Microsoft Entra ID segue il modello https://login.microsoftonline.com/{TenantDomainName}/FederationMetadata/2007-06/FederationMetadata.xml. Sostituire {TenantDomainName} con il nome del tenant nel formato "contoso.onmicrosoft.com". Per altre informazioni, vedere Metadati della federazione. |