Informazioni sull'accesso Single Sign-On in Azure Active Directory
Questo articolo fornisce informazioni sulle opzioni di Single Sign-On (SSO) disponibili. Descrive anche un'introduzione alla pianificazione di una distribuzione dell'accesso Single Sign-On quando si usa Azure Active Directory (Azure AD). Single Sign-On è un metodo di autenticazione che consente agli utenti di accedere usando un set di credenziali per più sistemi software indipendenti. L'uso di SSO consente a un utente di non dover eseguire l'accesso a ogni applicazione usata. Con l'accesso Single Sign-On, gli utenti possono accedere a tutte le applicazioni necessarie senza dover eseguire l'autenticazione usando credenziali diverse. Per una breve introduzione, vedere Single Sign-On di Azure Active Directory.
Molte applicazioni esistono già in Azure AD che è possibile usare con SSO. Sono disponibili diverse opzioni per l'accesso Single Sign-On in base alle esigenze dell'applicazione e alla modalità di implementazione. Pianificare la distribuzione dell'accesso SSO prima di creare applicazioni in Azure AD. La gestione delle applicazioni può essere semplificata tramite il portale di App personali.
Opzioni di accesso Single Sign-On
La scelta di un metodo di accesso Single Sign-On dipende dal modo in cui l'applicazione è configurata per l'autenticazione. Le applicazioni cloud possono usare opzioni basate sulla federazione, ad esempio OpenID Connect, OAuth e SAML. L'applicazione può anche usare l'accesso SSO basato su password, SSO collegato o SSO può essere disabilitato.
Federazione : quando si configura l'accesso Single Sign-On per lavorare tra più provider di identità, viene chiamata federazione. Un'implementazione SSO basata sui protocolli federativi migliora la sicurezza, l'affidabilità, le esperienze degli utenti finali e l'implementazione.
Con l'accesso Single Sign-On federato, Azure AD autentica l'utente nell'applicazione usando il proprio account Azure AD. Questo metodo è supportato per le applicazioni SAML 2.0, WS-Federation o OpenID Connect . SSO federato è la modalità più ricca di SSO. Usare l'accesso Single Sign-On federato con Azure AD quando un'applicazione la supporta, anziché l'accesso SSO basato su password e Active Directory Federation Services (AD FS).
Esistono alcuni scenari in cui l'opzione SSO non è presente per un'applicazione aziendale. Se l'applicazione è stata registrata usando Registrazioni app nel portale, la funzionalità Single Sign-On è configurata per l'uso di OpenID Connect e OAuth per impostazione predefinita. In questo caso, l'opzione Single Sign-On non verrà visualizzata nella struttura di spostamento nelle applicazioni aziendali.
L'accesso Single Sign-On non è disponibile quando un'applicazione è ospitata in un altro tenant. L'accesso Single Sign-On non è disponibile anche se l'account non dispone delle autorizzazioni necessarie (Amministratore globale, Amministratore applicazione cloud, Amministratore applicazioni cloud, Amministratore applicazioni o proprietario dell'entità servizio). Le autorizzazioni possono anche causare uno scenario in cui è possibile aprire l'accesso Single Sign-On, ma non sarà possibile salvare.
Password : le applicazioni locali possono usare un metodo basato su password per l'accesso Single Sign-On. Questa scelta funziona quando le applicazioni sono configurate per Application Proxy.
Con l'accesso SSO basato su password, gli utenti eseguono la procedura di accesso all'applicazione con nome utente e password solo al primo accesso. Agli accessi successivi sarà Azure AD a indicare il nome utente e la password all'applicazione. L'accesso SSO basato su password consente l'archiviazione e la riproduzione delle password delle applicazioni protette usando un'estensione del Web browser o un'app per dispositivi mobili. Questa opzione usa il processo di accesso esistente fornito dall'applicazione, ma consente all'amministratore di gestire le password e non richiede all'utente di conoscerle. Per altre informazioni, vedere Aggiungere l'accesso Single Sign-On basato su password a un'applicazione.
Collegato : l'accesso collegato può offrire un'esperienza utente coerente durante la migrazione delle applicazioni in un periodo di tempo. Se si esegue la migrazione di applicazioni ad Azure AD, è possibile usare l'accesso Single Sign-On basato su collegamento per pubblicare rapidamente i collegamenti a tutte le applicazioni di cui si intende eseguire la migrazione. Gli utenti possono trovare tutti i collegamenti nei portali di App personali o Microsoft 365.
Dopo che un utente ha eseguito l'autenticazione con un'applicazione collegata, è necessario creare un account prima che venga fornito l'accesso Single Sign-On. Il provisioning di questo account può verificarsi automaticamente oppure può verificarsi manualmente da un amministratore. Non è possibile applicare criteri di accesso condizionale o autenticazione a più fattori a un'applicazione collegata perché un'applicazione collegata non fornisce funzionalità di Single Sign-On tramite Azure AD. Quando si configura un'applicazione collegata, si aggiunge semplicemente un collegamento visualizzato per l'avvio dell'applicazione. Per altre informazioni, vedere Aggiungere l'accesso Single Sign-On collegato a un'applicazione.
Disabilitato : quando SSO è disabilitato, non è disponibile per l'applicazione. Quando l'accesso Single Sign-On è disabilitato, gli utenti potrebbero doversi autenticare due volte. In primo luogo, gli utenti eseguono l'autenticazione ad Azure AD e quindi accedono all'applicazione.
Disabilitare l'accesso Single Sign-On quando:
- Non è possibile integrare questa applicazione con l'accesso Single Sign-On di Azure AD
- Si stanno testando altri aspetti dell'applicazione
- Un'applicazione locale non richiede che gli utenti eseguano l'autenticazione, ma si vuole che vengano autenticati. Con SSO disabilitato, l'utente deve eseguire l'autenticazione.
Se l'applicazione è stata configurata per l'accesso SSO basato su SAML avviato da SP e si modifica la modalità SSO su disabilitata, gli utenti non potranno accedere all'applicazione all'esterno del portale MyApps. Per impedire agli utenti di accedere dall'esterno del portale App personali, è necessario disabilitare la possibilità per gli utenti di accedere.
Pianificare la distribuzione dell'accesso Single Sign-On
Le applicazioni Web sono ospitate da diverse aziende e rese disponibili come servizio. Alcuni esempi comuni di applicazioni Web includono Microsoft 365, GitHub e Salesforce. Ci sono migliaia di altri. Persone accedere alle applicazioni Web usando un Web browser nel computer. L'accesso Single Sign-On consente agli utenti di spostarsi tra le varie applicazioni Web senza dover accedere più volte. Per altre informazioni, vedere Pianificare una distribuzione di Single Sign-On.
La modalità di implementazione dell'accesso Single Sign-On dipende dalla posizione in cui è ospitata l'applicazione. L'hosting è importante a causa del modo in cui viene instradato il traffico di rete per accedere all'applicazione. Gli utenti non devono usare Internet per accedere alle applicazioni locali (ospitate in una rete locale). Se l'applicazione è ospitata nel cloud, gli utenti devono usare Internet. Le applicazioni ospitate nel cloud sono dette anche applicazioni SaaS (Software as a Service).
Per le applicazioni cloud, vengono usati i protocolli di federazione. È anche possibile usare l'accesso Single Sign-On per le applicazioni locali. È possibile usare Application Proxy per configurare l'accesso per l'applicazione locale. Per altre informazioni, vedere Accesso remoto alle applicazioni locali tramite Azure AD Application Proxy.
App personali
Se si è un utente di un'applicazione, è probabile che non si preoccupino molto dei dettagli dell'accesso Single Sign-On. È sufficiente usare le applicazioni che consentono di aumentare la produttività senza dover digitare così tanto la password. È possibile trovare e gestire le applicazioni nel portale di App personali. Per altre informazioni, vedere Accedere e avviare app dal portale App personali.