Single Sign-On basato su SAML: configurazione e limitazioni
Questo articolo illustra come configurare un'applicazione per l'accesso Single Sign-On (SSO) basato su SAML con Microsoft Entra ID. Questo articolo illustra il mapping degli utenti a ruoli applicazione specifici in base alle regole e alle limitazioni da tenere presenti quando si esegue il mapping degli attributi. Vengono inoltre illustrati i certificati di firma SAML, la crittografia del token SAML, la verifica della firma della richiesta SAML e i provider di attestazioni personalizzati.
Le app che usano SAML 2.0 per l'autenticazione possono essere configurate per l'accesso Single Sign-On (SSO) basato su SAML. Con l'accesso Single Sign-On basato su SAML, è possibile eseguire il mapping degli utenti a ruoli applicazione specifici in base alle regole definite nelle attestazioni SAML.
Per configurare un'applicazione SaaS per l'accesso Single Sign-On basato su SAML, vedere Avvio rapido: Configurare l'accesso Single Sign-On basato su SAML.
Molte applicazioni SaaS hanno un'esercitazione specifica dell'applicazione che illustra la configurazione per l'accesso SSO basato su SAML.
La migrazione di alcune app può essere eseguita facilmente. Le app con requisiti più complessi, ad esempio attestazioni personalizzate, possono richiedere una configurazione aggiuntiva in Microsoft Entra ID e/o Microsoft Entra Connessione Health. Per informazioni sui mapping delle attestazioni supportate, vedere Procedura: Personalizzare le attestazioni generate nei token per un'app specifica in un tenant (anteprima).For information about supported claims mappings, see How to: Customize claims emitted in tokens for a specific app in a tenant (Preview).
Tenere presenti le limitazioni seguenti quando si esegue il mapping degli attributi:
- Non tutti gli attributi che possono essere rilasciati in AD FS vengono visualizzati in Microsoft Entra ID come attributi da generare nei token SAML, anche se tali attributi vengono sincronizzati. Quando si modifica l'attributo, l'elenco a discesa Valore mostra i diversi attributi disponibili in Microsoft Entra ID. Controllare la configurazione degli articoli di Microsoft Entra Connessione Sync per assicurarsi che un attributo obbligatorio, ad esempio samAccountName, sia sincronizzato con Microsoft Entra ID. È possibile usare gli attributi di estensione per generare qualsiasi attestazione che non fa parte dello schema utente standard in Microsoft Entra ID.
- Negli scenari più comuni, per un'app sono necessarie solo l'attestazione NameID e altre attestazioni dell'ID utente comuni. Per determinare se sono necessarie attestazioni aggiuntive, esaminare le attestazioni rilasciate da AD FS.
- Non tutte le attestazioni possono essere rilasciate, perché alcune attestazioni sono protette in Microsoft Entra ID.
- La possibilità di usare token SAML crittografati è ora disponibile in anteprima. Vedere Procedura: personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali.
App SaaS (Software as a Service)
Se gli utenti accedono ad app SaaS come Salesforce, ServiceNow o Workday e sono integrate con AD FS, si usa l'accesso federato per le app SaaS.
La maggior parte delle applicazioni SaaS può essere configurata in Microsoft Entra ID. Microsoft offre molte connessioni preconfigurate alle app SaaS nella raccolta di app Microsoft Entra, semplificando la transizione. Le applicazioni SAML 2.0 possono essere integrate con Microsoft Entra ID tramite la raccolta di app Microsoft Entra o come applicazioni non della raccolta.
Le app che usano OAuth 2.0 o OpenID Connessione possono essere integrate in modo analogo con Microsoft Entra ID come registrazioni dell'app. Le app che usano protocolli legacy possono usare il proxy dell'applicazione Microsoft Entra per eseguire l'autenticazione con Microsoft Entra ID.
Per eventuali problemi relativi all'onboarding delle app SaaS, è possibile contattare l'alias di supporto dell'integrazione delle applicazioni SaaS.
Certificati di firma SAML per SSO
I certificati di firma sono una parte importante di qualsiasi distribuzione SSO. Microsoft Entra ID crea i certificati di firma per stabilire l'accesso SSO federato basato su SAML alle applicazioni SaaS. Dopo aver aggiunto le applicazioni della raccolta o non della raccolta, si configurerà l'applicazione aggiunta usando l'opzione SSO federato. Vedere Gestire i certificati per l'accesso Single Sign-On federato in Microsoft Entra ID.
Crittografia del token SAML
AD FS e Microsoft Entra ID forniscono la crittografia dei token, ovvero la possibilità di crittografare le asserzioni di sicurezza SAML che passano alle applicazioni. Le asserzioni vengono crittografate con una chiave pubblica e decrittografate dall'applicazione ricevente con la chiave privata corrispondente. Quando si configura la crittografia dei token, caricare i file di certificato X.509 per fornire le chiavi pubbliche.
Per informazioni sulla crittografia del token SAML di Microsoft Entra e su come configurarla, vedere Procedura: Configurare la crittografia del token SAML di Microsoft Entra.
Nota
La crittografia dei token è una funzionalità P1 o P2 di Microsoft Entra ID. Per altre informazioni sulle edizioni, le funzionalità e i prezzi di Microsoft Entra, vedere Prezzi di Microsoft Entra.
Verifica della firma della richiesta SAML
Questa funzionalità convalida la firma delle richieste di autenticazione firmate. Un'app Amministrazione abilita e disabilita l'imposizione delle richieste firmate e carica le chiavi pubbliche da usare per eseguire la convalida. Per altre informazioni, vedere Come applicare le richieste di autenticazione SAML firmate.
Provider di attestazioni personalizzati (anteprima)
Per eseguire la migrazione di dati da sistemi legacy come ADFS o archivi dati come LDAP, le app dipendono da determinati dati nei token. È possibile usare provider di attestazioni personalizzati per aggiungere attestazioni al token. Per altre informazioni, vedere Panoramica del provider di attestazioni personalizzate.
App e configurazioni che possono essere spostate oggi
Attualmente è possibile spostare facilmente le app SAML 2.0 che usano il set standard di elementi di configurazione e attestazioni. Questi elementi standard sono:
- Nome entità utente
- Indirizzo di posta elettronica
- Nome specificato
- Cognome
- Attributo alternativo come SAML NameID, incluso l'attributo di posta elettronica, il prefisso di posta elettronica, l'ID dipendente, gli attributi di estensione 1-15 o l'attributo SamAccountName locale. Per altre informazioni, vedere Modifica dell'attestazione NameIdentifier.
- Attestazioni personalizzate.
Per eseguire la migrazione a Microsoft Entra ID, sono necessari altri passaggi di configurazione:
- Regole personalizzate di autorizzazione o autenticazione a più fattori (MFA) in AD FS. È possibile configurarli usando la funzionalità di accesso condizionale Microsoft Entra.
- App con più endpoint URL di risposta. È possibile configurarli in Microsoft Entra ID usando PowerShell o l'interfaccia di amministrazione di Microsoft Entra.
- App WS-Federation come le app SharePoint che richiedono token SAML versione 1.1, È possibile configurarli manualmente usando PowerShell. È anche possibile aggiungere un modello generico preintegrato per le applicazioni SharePoint e SAML 1.1 dalla raccolta. È supportato il protocollo SAML 2.0.
- Le regole di rilascio delle attestazioni complesse trasformano le regole. Per informazioni sui mapping delle attestazioni supportati, vedere:
App e configurazioni non supportate in Microsoft Entra oggi
Le app che richiedono determinate funzionalità non possono essere migrate oggi.
Funzionalità del protocollo
Le app che richiedono le funzionalità di protocollo seguenti non possono essere migrate oggi:
- Supporto per il modello WS-Trust ActAs
- Risoluzione artefatto SAML
Eseguire il mapping delle impostazioni dell'app da AD FS a Microsoft Entra ID
La migrazione richiede la valutazione del modo in cui l'applicazione è configurata in locale e quindi il mapping di tale configurazione all'ID Microsoft Entra. AD FS e Microsoft Entra ID funzionano in modo analogo, quindi i concetti relativi alla configurazione dell'attendibilità, dell'accesso e dell'accesso e degli identificatori si applicano in entrambi i casi. Documentare le impostazioni di configurazione di AD FS delle applicazioni in modo che sia possibile configurarle facilmente in Microsoft Entra ID.
Eseguire il mapping delle impostazioni di configurazione delle app
La tabella seguente descrive alcuni dei mapping più comuni delle impostazioni tra un trust relying party di AD FS e l'applicazione Microsoft Entra Enterprise:
- AD FS: trovare l'impostazione nell'attendibilità della relying party di AD FS per l'app. Fare clic con il pulsante destro del mouse sulla relying party e scegliere Proprietà.
- Microsoft Entra ID: l'impostazione viene configurata nell'interfaccia di amministrazione di Microsoft Entra nelle proprietà SSO di ogni applicazione.
| Impostazione di configurazione | AD FS | Come configurare in Microsoft Entra ID | Token SAML |
|---|---|---|---|
| URL di accesso dell'app URL per l'accesso dell'utente all'app in un flusso SAML avviato da un provider di servizi (SP). |
N/D | Aprire la configurazione SAML di base dall'accesso basato su SAML | N/D |
| URL di risposta dell'app URL dell'app dal punto di vista del provider di identità (IdP). Il provider di identità invia l'utente e il token qui dopo che l'utente ha eseguito l'accesso al provider di identità. Questa operazione è nota anche come endpoint consumer di asserzione SAML. |
Selezionare la scheda Endpoint | Aprire la configurazione SAML di base dall'accesso basato su SAML | Elemento Destination nel token SAML. Valore di esempio: https://contoso.my.salesforce.com |
| URL di disconnessione dell'app Si tratta dell'URL a cui vengono inviate le richieste di pulizia di disconnessione quando un utente si disconnette da un'app. Il provider di identità invia la richiesta per disconnettere l'utente anche da tutte le altre app. |
Selezionare la scheda Endpoint | Aprire la configurazione SAML di base dall'accesso basato su SAML | N/D |
| Identificatore dell'app Si tratta dell'identificatore dell'app dal punto di vista del provider di identità. Come identificatore viene usato spesso il valore dell'URL di accesso, ma non sempre. A volte l'app chiama questo ID entità. |
Selezionare la scheda Identificatori | Aprire la configurazione SAML di base dall'accesso basato su SAML | Mappe al Elemento Audience nel token SAML. |
| Metadati di federazione dell'app Si tratta della posizione dei metadati di federazione dell'app. Viene usata dal provider di identità per aggiornare automaticamente specifiche impostazioni di configurazione come gli endpoint o i certificati di crittografia. |
Selezionare la scheda Monitoraggio | N/D. Microsoft Entra ID non supporta l'utilizzo diretto dei metadati della federazione dell'applicazione. È possibile importare manualmente i metadati della federazione. | N/D |
| Id utente/ID nome Attributo usato per indicare in modo univoco l'identità utente da Microsoft Entra ID o AD FS all'app. Questo attributo in genere è il nome dell'entità utente (UPN) o l'indirizzo di posta elettronica dell'utente. |
Regole attestazioni. Nella maggior parte dei casi, la regola attestazione emette un'attestazione con un tipo che termina con NameIdentifier. | È possibile trovare l'identificatore sotto l'intestazione Attributi utente e attestazioni. Per impostazione predefinita, viene usato l'UPN | Mappe al Elemento NameID nel token SAML. |
| Altre attestazioni Esempi di altre informazioni sull'attestazione che vengono comunemente inviate dal provider di identità all'app includono nome, cognome, indirizzo di posta elettronica e appartenenza al gruppo. |
In AD FS sono riportate come altre regole attestazioni per la relying party. | È possibile trovare l'identificatore sotto l'intestazione Attributi utente e attestazioni. Selezionare Visualizza e modifica tutti gli altri attributi utente. | N/D |
Mapping delle impostazioni del provider di identità (IdP)
Configurare le applicazioni in modo che puntino all'ID Microsoft Entra rispetto ad AD FS per l'accesso SSO. In questo caso, ci concentriamo sulle app SaaS che usano il protocollo SAML. Tuttavia, questo concetto si estende anche alle app line-of-business personalizzate.
Nota
I valori di configurazione per Microsoft Entra ID seguono il modello in cui l'ID tenant di Azure sostituisce {tenant-id} e l'ID applicazione sostituisce {application-id}. Queste informazioni sono disponibili nell'interfaccia di amministrazione di Microsoft Entra in Microsoft Entra ID Properties:You find this information in the Microsoft Entra admin center under Microsoft Entra ID > Properties:
- Selezionare ID directory per visualizzare l'ID tenant.
- Selezionare ID applicazione per visualizzare l'ID applicazione.
A livello generale, eseguire il mapping degli elementi di configurazione delle app SaaS seguenti all'ID Microsoft Entra.
| elemento | Valore di configurazione |
|---|---|
| Autorità di certificazione del provider di identità | https://sts.windows.net/{tenant-id}/ |
| URL di accesso del provider di identità | https://login.microsoftonline.com/{tenant-id}/saml2 |
| URL di disconnessione del provider di identità | https://login.microsoftonline.com/{tenant-id}/saml2 |
| Percorso metadati federazione | https://login.windows.net/{tenant-id}/federationmetadata/2007-06/federationmetadata.xml?appid={application-id} |
Eseguire il mapping delle impostazioni SSO per le app SaaS
Le app SaaS devono sapere dove inviare richieste di autenticazione e come convalidare i token ricevuti. La tabella seguente descrive gli elementi per configurare le impostazioni SSO nell'app e i relativi valori o posizioni all'interno di AD FS e Microsoft Entra ID.
| Impostazione di configurazione | AD FS | Come configurare in Microsoft Entra ID |
|---|---|---|
| URL di accesso di IdP URL di accesso del provider di identità dal punto di vista dell'app (dove l'utente viene reindirizzato per l'accesso). |
L'URL di accesso ad AD FS è il nome del servizio federativo AD FS seguito da /adfs/ls/. Ad esempio: |
Sostituire {tenant-id} con l'ID tenant. Per le app che usano il protocollo SAML-P: Per le app che usano il protocollo WS-Federation: |
| URL di disconnessione idp URL di disconnessione del provider di identità dal punto di vista dell'app (dove l'utente viene reindirizzato quando sceglie di disconnettersi dall'app). |
L'URL di disconnessione è uguale all'URL di accesso o allo stesso URL aggiunto wa=wsignout1.0 . Ad esempio: https://fs.contoso.com/adfs/ls/?wa=wsignout1.0 |
Sostituire {tenant-id} con l'ID tenant. Per le app che usano il protocollo SAML-P: Per le app che usano il protocollo WS-Federation: |
| Certificato di firma del token Il provider di identità usa la chiave privata del certificato per firmare i token rilasciati. Verifica che il token provenga dallo stesso provider di identità per cui è stato configurato il trust nell'app. |
Il certificato per la firma di token di AD FS si trova in Certificati in Gestione AD FS. | Trovarlo nell'interfaccia di amministrazione di Microsoft Entra nelle proprietà Single Sign-On dell'applicazione sotto l'intestazione Certificato di firma SAML. da dove può essere scaricato per il caricamento nell'app. Se l'applicazione ha più certificati, si trovano tutti nel file XML dei metadati di federazione. |
| Identificatore/ "autorità emittente" Identificatore del provider di identità dal punto di vista dell'app (talvolta denominato "ID autorità di certificazione"). Nel token SAML, il valore è presente come elemento Issuer. |
L'identificatore per AD FS è in genere l'identificatore del servizio federativo in Gestione AD FS in Service Edit Federation Service Properties.The identifier for AD FS is in genere the federation service identifier in AD FS Management under Service > Edit Federation Service Properties. Ad esempio: http://fs.contoso.com/adfs/services/trust |
Sostituire {tenant-id} con l'ID tenant. |
| Metadati della federazione IdP Posizione dei metadati di federazione disponibili pubblicamente del provider di identità. Alcune app usano i metadati di federazione come alternativa alla configurazione di URL, identificatore e certificato per la firma di token eseguita singolarmente dall'amministratore. |
Trovare l'URL dei metadati di federazione di AD FS in Gestione AD FS in Tipo di metadati > degli endpoint di > servizio>: metadati di federazione. Ad esempio: https://fs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml |
Il valore corrispondente per Microsoft Entra ID segue il modello https://login.microsoftonline.com/{TenantDomainName}/FederationMetadata/2007-06/FederationMetadata.xml. Sostituire {TenantDomainName} con il nome del tenant nel formato contoso.onmicrosoft.com. Per altre informazioni, vedere Metadati della federazione. |