Informazioni sull'accesso Single Sign-On in Azure Active Directory

Questo articolo fornisce informazioni sulle opzioni di Accesso Single Sign-On (SSO) disponibili per l'utente e un'introduzione alla pianificazione di una distribuzione dell'accesso Single Sign-On quando si usa Azure Active Directory (Azure AD). Single Sign-On è un metodo di autenticazione che consente agli utenti di accedere usando un set di credenziali per più sistemi software indipendenti. L'uso di SSO consente a un utente di non dover eseguire l'accesso a ogni applicazione usata. Con l'accesso Single Sign-On, gli utenti possono accedere a tutte le applicazioni necessarie senza dover eseguire l'autenticazione usando credenziali diverse. Per una breve introduzione, vedere Single Sign-On di Azure Active Directory.

Molte applicazioni esistono già in Azure AD che è possibile usare con l'accesso SSO. Sono disponibili diverse opzioni per l'accesso SSO a seconda delle esigenze dell'applicazione e della modalità di implementazione. Pianificare la distribuzione SSO prima di creare applicazioni in Azure AD. La gestione delle applicazioni può essere semplificata tramite il portale app personali.

Opzioni di accesso Single Sign-On

La scelta di un metodo di accesso Single Sign-On dipende dal modo in cui l'applicazione è configurata per l'autenticazione. Le applicazioni cloud possono usare opzioni basate su federazione, ad esempio OpenID Connect, OAuth e SAML. L'applicazione può anche usare l'accesso SSO basato su password, l'accesso SSO collegato o l'accesso SSO può essere disabilitato.

  • Federazione : quando si configura l'accesso SSO per lavorare tra più provider di identità, viene chiamata federazione. Un'implementazione SSO basata sui protocolli federativi migliora la sicurezza, l'affidabilità, le esperienze degli utenti finali e l'implementazione.

    Con l'accesso Single Sign-On federato, Azure AD autentica l'utente all'applicazione usando l'account Azure AD. Questo metodo è supportato per le applicazioni SAML 2.0, WS-Federation o OpenID Connect . L'accesso SSO federato è la modalità più ricca di SSO. Usare l'accesso SSO federato con Azure AD quando un'applicazione la supporta, anziché l'accesso SSO basato su password e Active Directory Federation Services (AD FS).

    Esistono alcuni scenari in cui l'opzione SSO non è presente per un'applicazione aziendale. Se l'applicazione è stata registrata usando registrazioni app nel portale, la funzionalità single sign-on è configurata per l'uso di OpenID Connect e OAuth per impostazione predefinita. In questo caso, l'opzione Single Sign-On non verrà visualizzata nella navigazione nelle applicazioni aziendali.

    L'accesso Single Sign-On non è disponibile quando un'applicazione è ospitata in un altro tenant. L'accesso Single Sign-On non è disponibile anche se l'account non dispone delle autorizzazioni necessarie (amministratore globale, amministratore applicazione cloud, amministratore dell'applicazione o proprietario dell'entità servizio). Le autorizzazioni possono anche causare uno scenario in cui è possibile aprire l'accesso Single Sign-On, ma non sarà in grado di salvare.

  • Password : le applicazioni locali possono usare un metodo basato su password per l'accesso SSO. Questa scelta funziona quando le applicazioni sono configurate per il proxy applicazione.

    Con l'accesso SSO basato su password, gli utenti eseguono la procedura di accesso all'applicazione con nome utente e password solo al primo accesso. Agli accessi successivi sarà Azure AD a indicare il nome utente e la password all'applicazione. L'accesso SSO basato su password consente l'archiviazione e la riproduzione delle password delle applicazioni protette usando un'estensione del Web browser o un'app per dispositivi mobili. Questa opzione usa il processo di accesso esistente fornito dall'applicazione, ma consente all'amministratore di gestire le password e non richiede all'utente di conoscerle. Per altre informazioni, vedere Aggiungere l'accesso Single Sign-On basato su password a un'applicazione.

  • Collegato: l'accesso collegato può offrire un'esperienza utente coerente durante la migrazione delle applicazioni in un periodo di tempo. Se si esegue la migrazione di applicazioni ad Azure AD, è possibile usare l'accesso SSO basato su collegamento per pubblicare rapidamente i collegamenti a tutte le applicazioni di cui si intende eseguire la migrazione. Gli utenti possono trovare tutti i collegamenti nei portali App personali o Microsoft 365.

    Dopo l'autenticazione di un utente con un'applicazione collegata, è necessario creare un account prima che l'utente venga fornito l'accesso Single Sign-On. Il provisioning di questo account può verificarsi automaticamente oppure può verificarsi manualmente da un amministratore. Non è possibile applicare criteri di accesso condizionale o autenticazione a più fattori a un'applicazione collegata perché un'applicazione collegata non fornisce funzionalità di accesso Single Sign-On tramite Azure AD. Quando si configura un'applicazione collegata, si aggiunge semplicemente un collegamento visualizzato per l'avvio dell'applicazione. Per altre informazioni, vedere Aggiungere l'accesso Single Sign-On collegato a un'applicazione.

  • Disabilitato : quando l'accesso SSO è disabilitato, non è disponibile per l'applicazione. Quando l'accesso Single Sign-On è disabilitato, gli utenti potrebbero doversi autenticare due volte. In primo luogo, gli utenti eseguono l'autenticazione ad Azure AD e quindi accedono all'applicazione.

    Disabilitare l'accesso Single Sign-On quando:

    • Non è possibile integrare questa applicazione con l'accesso Single Sign-On di Azure AD
    • Si stanno testando altri aspetti dell'applicazione
    • Un'applicazione locale non richiede che gli utenti eseguano l'autenticazione, ma si vuole che vengano autenticati. Con l'accesso Single Sign-On disabilitato, l'utente deve eseguire l'autenticazione.

    Se l'applicazione è stata configurata per l'accesso SSO basato su SPL e si modifica la modalità SSO in disabilitata, non impedirà agli utenti di accedere all'applicazione all'esterno del portale MyApps. A questo scopo, è necessario disabilitare la possibilità per gli utenti di accedere.

Pianificare la distribuzione dell'accesso Single Sign-On

Le applicazioni Web sono ospitate da diverse aziende e rese disponibili come servizio. Alcuni esempi popolari di applicazioni Web includono Microsoft 365, GitHub e Salesforce. Ci sono migliaia di altri. Gli utenti accedono alle applicazioni Web usando un Web browser nel computer. Single Sign-On consente agli utenti di spostarsi tra le varie applicazioni Web senza dover accedere più volte. Per altre informazioni, vedere Pianificare una distribuzione dell'accesso Single Sign-On.

L'implementazione dell'accesso SSO dipende dalla posizione in cui è ospitata l'applicazione. L'hosting è importante a causa del modo in cui il traffico di rete viene instradato per accedere all'applicazione. Gli utenti non devono usare Internet per accedere alle applicazioni locali (ospitate in una rete locale). Se l'applicazione è ospitata nel cloud, gli utenti devono usarlo. Le applicazioni ospitate nel cloud sono anche chiamate applicazioni Software as a Service (SaaS).

Per le applicazioni cloud, vengono usati i protocolli federatili. È anche possibile usare l'accesso Single Sign-On per le applicazioni locali. È possibile usare Il proxy applicazione per configurare l'accesso per l'applicazione locale. Per altre informazioni, vedere Accesso remoto alle applicazioni locali tramite Il proxy applicazione di Azure AD.

App personali

Se si è un utente di un'applicazione, probabilmente non ci si preoccupa molto dei dettagli dell'accesso SSO. Si vogliono usare solo le applicazioni che consentono di produrre senza dover digitare la password così tanto. È possibile trovare e gestire le applicazioni nel portale app personali. Per altre informazioni, vedere Accedere e avviare app dal portale App personali.

Passaggi successivi