Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'accesso Single sign-on (SSO) consente agli utenti di accedere a un'applicazione senza effettuare l'autenticazione più volte. Consente di eseguire una singola autenticazione nel cloud, in Microsoft Entra ID, e consente al servizio o al connettore di assumere l'identità dell'utente per completare eventuali sfide di autenticazione aggiuntive dall'applicazione.
Come configurare l'accesso unico (Single Sign-On)
Per configurare SSO, verificare innanzitutto che l'applicazione sia configurata per la preautenticazione tramite Microsoft Entra ID.
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dell'applicazione.
- Selezionare il nome utente nell'angolo superiore destro. Verificare di aver effettuato l'accesso a una directory che usa l'application proxy. Se è necessario modificare le directory, selezionare Cambia directory e scegliere una directory che usa il proxy di applicazione.
- Passare a Entra ID>Applicazioni aziendali>Proxy dell'applicazione.
Cercare il Pre Authentication campo e assicurarsi che sia impostato.
Per altre informazioni sui metodi di preautenticazione, vedere il passaggio 4 del documento di pubblicazione dell'app.
Configurazione delle modalità Single Sign-On per le applicazioni con application proxy
Configurare il tipo specifico di Single Sign-On. I metodi di accesso sono classificati in base al tipo di autenticazione usato dall'applicazione back-end. Le applicazioni con application proxy supportano tre tipi di accesso:
Accesso basato su password: L'accesso basato su password può essere usato per qualsiasi applicazione che usa campi nome utente e password per l'accesso. I passaggi di configurazione sono descritti in Configurare l'accesso Single Sign-On password per un'applicazione della raccolta Microsoft Entra.
Autenticazione integrata di Windows: Per le applicazioni che usano l'autenticazione integrata di Windows (IWA), l'accesso Single Sign-On è abilitato tramite delega vincolata Kerberos.For applications using integrated Windows authentication (IWA), Single Sign-On is enabled through Kerberos Constrained Delegation (KCD). Questo metodo consente di connettori di rete privata in Active Directory di rappresentare gli utenti e inviare e ricevere i token per loro conto. Per ulteriori dettagli sulla configurazione di KCD, consultare la documentazione Single Sign-On con Kerberos Constrained Delegation.
Accesso basato su intestazione: L'accesso basato su intestazione viene usato per fornire funzionalità di Single Sign-On tramite intestazioni HTTP. Per ulteriori informazioni, vedere Single Sign-On basato su intestazioni.
Single Sign-On SAML: Con l'accesso Single Sign-On SAML (Security Assertion Markup Language), Microsoft Entra esegue l'autenticazione all'applicazione usando l'account Microsoft Entra dell'utente. Microsoft Entra ID comunica le informazioni di accesso all'applicazione tramite un protocollo di connessione. Con l'accesso Single Sign-On basato su SAML è possibile eseguire il mapping degli utenti a ruoli specifici dell'applicazione in base alle regole definite nelle attestazioni SAML. Per informazioni sulla configurazione del single sign-on SAML, vedere SAML per il single sign-on con proxy dell'applicazione.
Ognuna di queste opzioni è disponibile passando all'applicazione in Applicazioni aziendali e aprendo la pagina Single Sign-On nel menu a sinistra. Se l'applicazione è stata creata nel portale precedente, è possibile che non vengano visualizzate tutte queste opzioni.
In questa pagina viene visualizzata inoltre un'altra opzione di accesso: Linked Sign-on (Accesso collegato). Application proxy supporta questa opzione. Tuttavia, questa opzione non aggiunge l'accesso Single Sign-On all'applicazione. Detto questo, l'applicazione potrebbe avere già implementato l'accesso Single Sign-On usando un altro servizio, ad esempio Active Directory Federation Services.
Questa opzione consente a un amministratore di creare un collegamento a una prima applicazione a cui accedono gli utenti quando accedono all'applicazione. Ad esempio, un'applicazione configurata per autenticare gli utenti che usano Active Directory Federation Services 2.0 può usare l'opzione Accesso collegato per creare un collegamento alla pagina App personali.
Passaggi successivi
- Archiviazione delle password per il Single Sign-On con il proxy applicativo
- Delega vincolata Kerberos per l'autenticazione unica con proxy applicativo
- Autenticazione basata su intestazione per l'accesso Single Sign-On con il proxy dell'applicazione
- SAML per l'autenticazione unica con il proxy applicativo.