Autenticazione basata su intestazione per l'accesso Single Sign-On con il proxy dell'applicazione e PingAccess

Microsoft ha collaborato con PingAccess per fornire più applicazioni di accesso. PingAccess offre un'altra opzione oltre all'accesso Single Sign-On integrato basato su intestazioni.

Che cos'è PingAccess per Microsoft Entra ID?

Con PingAccess per Microsoft Entra ID, si concede agli utenti l'accesso e Single Sign-On (SSO) alle applicazioni che usano intestazioni HTTP per l'autenticazione. Il proxy dell'applicazione gestisce queste applicazioni come qualsiasi altra, usando Microsoft Entra ID per autenticare l'accesso e quindi passare il traffico attraverso il servizio connettore. PingAccess si trova davanti alle applicazioni e converte il token di accesso da Microsoft Entra ID in un'intestazione. L'applicazione riceve quindi l'autenticazione nel formato che può leggere.

Gli utenti non notano nulla di diverso quando accedono per usare le applicazioni aziendali. Le applicazioni continuano a funzionare ovunque su qualsiasi dispositivo. I connettori di rete privata indirizzano il traffico remoto a tutte le app senza considerare il tipo di autenticazione, in modo da bilanciare i carichi automaticamente.

Come si ottiene l'accesso?

È necessaria una licenza per PingAccess e Microsoft Entra ID. Tuttavia, le sottoscrizioni microsoft Entra ID P1 o P2 includono una licenza PingAccess di base che copre fino a 20 applicazioni. Se è necessario pubblicare più di 20 applicazioni basate su intestazioni, è possibile acquistare più licenze da PingAccess.

Per altre informazioni, vedere Edizioni di Microsoft Entra.

Pubblicare l'applicazione in Microsoft Entra

Questo articolo illustra i passaggi per pubblicare un'applicazione per la prima volta. L'articolo fornisce indicazioni sia per il proxy dell'applicazione che per PingAccess.

Nota

Alcune delle istruzioni sono disponibili nel sito Ping Identity.

Installare un connettore di rete privata

Il connettore di rete privata è un servizio Windows Server che indirizza il traffico dai dipendenti remoti alle applicazioni pubblicate. Per istruzioni di installazione più dettagliate, vedere Esercitazione: Aggiungere un'applicazione locale per l'accesso remoto tramite il proxy dell'applicazione in Microsoft Entra ID.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dell'applicazione.
2. Passare a Entra ID>Applicazioni aziendali>Proxy applicazioni.
3. Selezionare Scarica il servizio del connettore.
4. Seguire le istruzioni di installazione.

Il download del connettore dovrebbe abilitare automaticamente il proxy dell'applicazione per la directory, ma in caso contrario, è possibile selezionare Abilita proxy applicazione.

Aggiungi la tua applicazione a Microsoft Entra ID con proxy dell'applicazione

Esistono due passaggi per aggiungere l'applicazione a Microsoft Entra ID. Prima di tutto, è necessario pubblicare l'applicazione con il proxy dell'applicazione. È quindi necessario raccogliere informazioni sull'applicazione che è possibile usare durante i passaggi di PingAccess.

Pubblicare l'applicazione

Prima di tutto, pubblicare l'applicazione. Questa azione comporta:

• Aggiunta della tua applicazione in sede a Microsoft Entra ID.
• Assegnazione di un utente per il test dell'applicazione e la scelta dell'autenticazione Single Sign-On basata su header.
• Configurazione dell'URL di reindirizzamento dell'applicazione.
• Concessione di autorizzazioni per utenti e altre applicazioni per l'uso dell'applicazione locale.

Per pubblicare un'applicazione locale:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come amministratore dell'applicazione.

2. Passare ad Applicazioni aziendali>Nuova applicazione>Aggiungere un'applicazione locale. Viene visualizzata la pagina Aggiungi applicazione locale .

   

3. Compilare i campi obbligatori con informazioni sulla nuova applicazione. Usare le indicazioni per le impostazioni.

   Nota

   Per una procedura dettagliata di questo passaggio, vedere Aggiungere un'app locale a Microsoft Entra ID.

   1. URL interno: in genere si specifica l'URL che consente di accedere alla pagina di accesso dell'app quando si è nella rete aziendale. Per questo scenario, il connettore deve considerare il proxy PingAccess come prima pagina dell'applicazione. Usare il formato seguente: https://<host name of your PingAccess server>:<port>. La porta è impostata su 3000 per impostazione predefinita, ma è possibile configurarla in PingAccess.

      Avviso

      Per questo tipo di accesso Single Sign-On, l'URL interno deve usare https e non http. Inoltre, nessuna delle due applicazioni deve avere lo stesso URL interno affinché il proxy dell'applicazione possa mantenere una distinzione tra di esse.

   2. Metodo di preautenticazione: scegliere Microsoft Entra ID.

   3. Traduci l'URL nelle intestazioni: Seleziona No.

   Nota

   Per la prima applicazione, usare la porta 3000 per avviare e tornare ad aggiornare questa impostazione se si modifica la configurazione PingAccess. Per le applicazioni successive, la porta deve corrispondere al listener configurato in PingAccess.

4. Selezionare Aggiungi. Viene visualizzata la pagina di panoramica per la nuova applicazione.

Assegna un utente per il collaudo dell'applicazione e scegli l'accesso Single Sign-On basato su intestazioni.

1. Nella barra laterale dell'applicazione selezionare Utenti e gruppi>Aggiungi utenti>e gruppi (<Numero> selezionato) . Viene visualizzato un elenco di utenti e gruppi tra cui scegliere.

   

2. Selezionare un utente per il test dell'applicazione e selezionare Seleziona. Assicurarsi che l'account di test abbia accesso all'applicazione locale.

3. Selezionare Assegna.

4. Nella barra laterale dell'applicazione, selezionare Autenticazione unica basata su intestazione>.

   Suggerimento

   Installare PingAccess la prima volta che si utilizza l'accesso basato su intestazioni per il Single Sign-On. Per assicurarsi che l'abbonamento a Microsoft Entra sia associato automaticamente all'installazione di PingAccess, usare il collegamento nella pagina single sign-on per scaricare PingAccess. È possibile aprire il sito di download ora o in un secondo momento.

   

5. Selezionare Salva.

Assicurarsi quindi che l'URL di reindirizzamento sia impostato sul proprio URL esterno:

1. Passare aRegistrazioni app> e selezionare l'applicazione.
2. Selezionare il collegamento accanto a URI di reindirizzamento. Il collegamento mostra il numero di URI (Uniform Resource Identifier) di reindirizzamento configurati per i client Web e pubblici. Verrà visualizzata la <pagina Nome> applicazione - Autenticazione .
3. Controllare se l'URL esterno assegnato all'applicazione in precedenza si trova nell'elenco URI di reindirizzamento . In caso contrario, aggiungere ora l'URL esterno usando un tipo di URI di reindirizzamento Web e selezionare Salva.

Oltre all'URL esterno, un endpoint di autorizzazione di Microsoft Entra ID sull'URL esterno dovrebbe essere aggiunto alla lista degli URI di reindirizzamento.

https://*.msappproxy.net/pa/oidc/cb https://*.msappproxy.net/

Infine, configurare l'applicazione locale in modo che gli utenti abbiano read accesso e altre applicazioni abbiano read/write accesso:

1. Dalla barra laterale delle Registrazioni delle app per l'applicazione, selezionare Autorizzazioni dell'API>Aggiungi un'autorizzazione>Microsoft API>Microsoft Graph. Viene visualizzata la pagina Richiedi autorizzazioni API per Microsoft Graph , che contiene le autorizzazioni per Microsoft Graph.

   

2. Selezionare Autorizzazioni delegate>User>User.Read.

3. Selezionare Autorizzazioni applicazione>Applicazione>Application.ReadWrite.All.

4. Selezionare Aggiungi autorizzazioni.

5. Nella pagina Autorizzazioni API, selezionare <.

Raccogliere informazioni per la procedura PingAccess

Raccogliere tre identificatori univoci globali (GUID). Usare i GUID per configurare l'applicazione con PingAccess.

Nome del campo Microsoft Entra	Nome del campo PingAccess	Formato dati
ID applicazione (cliente)	Client ID	Identificatore Unico Globale (GUID)
ID della directory (tenant)	Emittente	Identificatore Unico Globale (GUID)
PingAccess key	Segreto del client	Stringa casuale

Per raccogliere queste informazioni:

1. Passare aRegistrazioni app> e selezionare l'applicazione.

2. Accanto al valore ID applicazione (client), selezionare l'icona Copia negli Appunti , quindi copiarla e salvarla. Questo valore verrà specificato in un secondo momento come ID client di PingAccess.

3. Successivamente, selezionare anche Copia negli Appunti, quindi copiare e salvare il valore ID directory (tenant). Specifica questo valore in un secondo momento come l'emittente di PingAccess.

4. Nella barra laterale delle registrazioni dell'app per l'applicazione selezionare Certificati e segreti>Nuovo segreto client. Verrà visualizzata la pagina Aggiungi un segreto client .

   

5. In Descrizione digitare PingAccess key.

6. In Scadenza scegliere come impostare la chiave PingAccess: in 1 anno, In 2 anni o Mai.

7. Selezionare Aggiungi. La chiave PingAccess viene visualizzata nella tabella dei segreti client, con una stringa casuale che riempie automaticamente il campo VALUE .

8. Accanto al campo VALORE della chiave PingAccess selezionare l'icona Copia negli Appunti e quindi copiarla e salvarla. Questo valore verrà specificato in un secondo momento come segreto client di PingAccess.

Aggiornare il acceptMappedClaims campo:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dell'applicazione.
2. Selezionare il nome utente nell'angolo superiore destro. Verifica di aver effettuato l'accesso a una directory che utilizza il proxy applicativo. Se è necessario modificare le directory, selezionare Cambia directory e scegliere una directory che usa il proxy di applicazione.
3. Passare aRegistrazioni app> e selezionare l'applicazione.
4. Nella barra laterale della pagina Registrazioni app per l'applicazione selezionare Manifesto. Viene visualizzato il codice JSON del manifesto per la registrazione dell'applicazione.
5. Cercare il acceptMappedClaims campo e modificare il valore in True.
6. Selezionare Salva.

Uso di attestazioni facoltative (facoltativo)

Le attestazioni facoltative consentono di aggiungere attestazioni standard ma non incluse per impostazione predefinita per ogni utente e tenant. È possibile configurare attestazioni facoltative per l'applicazione modificando il manifesto dell'applicazione. Per altre info, vedi l'articolo Informazioni sul manifesto dell'applicazione Microsoft Entra.

Esempio per includere l'indirizzo di posta elettronica nella access_token utilizzata da PingAccess:

    "optionalClaims": {
        "idToken": [],
        "accessToken": [
            {
                "name": "email",
                "source": null,
                "essential": false,
                "additionalProperties": []
            }
        ],
        "saml2Token": []
    },

Uso dei criteri di mapping delle dichiarazioni (facoltativo)

Il mapping delle affermazioni consente di eseguire la migrazione delle vecchie app locali al cloud aggiungendo più affermazioni personalizzate che supportano Active Directory Federation Services (ADFS) o oggetti utente. Per altre informazioni, vedere Personalizzazione delle attestazioni.

Per usare un'affermazione personalizzata e includere più campi nella tua applicazione. È stato creato un criterio di mapping delle attestazioni personalizzato e assegnato all'applicazione.

Nota

Per usare un'attestazione personalizzata, è anche necessario avere una policy personalizzata definita e assegnata all'applicazione. I criteri devono includere tutti gli attributi personalizzati necessari.

È possibile eseguire la definizione e l'assegnazione dei criteri tramite PowerShell o Microsoft Graph. Se si esegue questa operazione in PowerShell, è necessario prima usarla New-AzureADPolicy e quindi assegnarla all'applicazione con Add-AzureADServicePrincipalPolicy. Per altre informazioni, vedere Assegnazione dei criteri di mapping delle attestazioni.

Esempio:

$pol = New-AzureADPolicy -Definition @('{"ClaimsMappingPolicy":{"Version":1,"IncludeBasicClaimSet":"true", "ClaimsSchema": [{"Source":"user","ID":"employeeid","JwtClaimType":"employeeid"}]}}') -DisplayName "AdditionalClaims" -Type "ClaimsMappingPolicy"

Add-AzureADServicePrincipalPolicy -Id "<<The object Id of the Enterprise Application you published in the previous step, which requires this claim>>" -RefObjectId $pol.Id

Abilitare PingAccess per l'uso di attestazioni personalizzate

L'abilitazione di PingAccess per l'uso di attestazioni personalizzate è facoltativa, ma obbligatoria se si prevede che l'applicazione utilizzi più attestazioni.

Quando si configura PingAccess nel passaggio seguente, la sessione Web creata (Settings-Access-Web>> Sessions) deve avere l'opzione Request Profile deselezionata e Refresh User Attributes (Aggiorna attributi utente) impostata su No.

Scaricare PingAccess e configurare l'applicazione

I passaggi dettagliati per la parte di PingAccess di questo scenario continuano nella documentazione di Ping Identity.

Per creare una connessione OIDC (Microsoft Entra ID OpenID Connect), configurare un provider di token con il valore ID directory (tenant) copiato dall'interfaccia di amministrazione di Microsoft Entra. Creare una sessione Web in PingAccess. Usare i valori Application (client) ID e PingAccess key. Configurare il mapping delle identità e creare un host virtuale, un sito e un'applicazione.

Testare l'applicazione

L'applicazione è operativa. Per testarlo, aprire un browser e passare all'URL esterno creato durante la pubblicazione dell'applicazione in Microsoft Entra. Accedere con l'account di test assegnato all'applicazione.

Passaggi successivi

• Autenticazione Unica alle applicazioni in Microsoft Entra ID
• Risolvere i problemi del proxy dell'applicazione e i messaggi di errore