Configurare AirWatch per l'accesso Single Sign-On con Microsoft Entra ID

2025-04-03

Questo articolo illustra come integrare AirWatch con Microsoft Entra ID. Integrando AirWatch con Microsoft Entra ID, è possibile:

Controllare in Microsoft Entra ID chi può accedere a AirWatch.
Consenti agli utenti di effettuare automaticamente l'accesso ad AirWatch con i loro account Microsoft Entra.
Gestire gli account in un'unica posizione centrale.

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

Un account utente di Microsoft Entra con una sottoscrizione attiva. Chi non ha ancora un account può crearlo gratuitamente.
Uno dei ruoli seguenti:

Sottoscrizione abilitata per il single sign-on (SSO) di AirWatch.

Nota

Dal momento che l'identificatore di questa applicazione è un valore stringa fisso, è possibile configurare una sola istanza in un solo tenant.

Descrizione dello scenario

In questo articolo viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.

AirWatch supporta l'SSO avviato da SP.

Aggiungi AirWatch dalla raccolta

Per configurare l'integrazione di AirWatch in Microsoft Entra ID, è necessario aggiungere AirWatch dalla raccolta all'elenco di app SaaS gestite.

Effettua l'accesso all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore di applicazioni cloud.
Naviga su Entra ID>Applicazioni aziendali>Nuova applicazione.
Nella sezione Aggiungi dalla raccolta digitare AirWatch nella casella di ricerca.
Selezionare AirWatch nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi mentre l'app viene aggiunta al tuo tenant.

In alternativa, è anche possibile usare la Configurazione guidata dell'app Enterprise. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare i ruoli e procedere alla configurazione dell'accesso SSO. Scopri di più sulle procedure guidate di Microsoft 365.

Configurare e testare l'accesso Single Sign-On di Microsoft Entra per AirWatch

Configurare e testare l'accesso SSO di Microsoft Entra con AirWatch usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in AirWatch.

Per configurare e testare l'accesso SSO di Microsoft Entra con AirWatch, seguire questa procedura:

Configurare l'accesso Single Sign-On di Microsoft Entra per consentire agli utenti di usare questa funzionalità.
1. Creare un utente di test di Microsoft Entra per testare l'accesso Single Sign-On di Microsoft Entra con B.Simon.
2. Assegnare l'utente di prova Microsoft Entra per consentire a B.Simon di utilizzare il Single Sign-On di Microsoft Entra.
Configurare AirWatch Single Sign-On: per configurare le impostazioni del Single Sign-On sul lato applicazione.
1. Creare l'utente di test di AirWatch : per avere una controparte di B.Simon in AirWatch collegata alla rappresentazione dell'utente in Microsoft Entra.
Testare l'accesso Single Sign-On: per verificare se la configurazione funziona.

Configurare Single Sign-On di Microsoft Entra

Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.

Effettua l'accesso all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore di applicazioni cloud.
Passare alla pagina di integrazione delle applicazioni di AirWatch per le app aziendali >, individuare la sezione > e selezionare l'accesso Single Sign-On.
Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.
Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona della matita relativa a Configurazione SAML di base per modificare le impostazioni.
Nella pagina Configurazione SAML di base immettere i valori per i campi seguenti:

a) Nella casella di testo Identificatore (ID entità) digitare il valore in questo formato: AirWatch

b. Nella casella di testo URL di risposta digitare un URL in uno dei formati seguenti:

URL di risposta

https://<SUBDOMAIN>.awmdm.com/<COMPANY_CODE>

https://<SUBDOMAIN>.airwatchportals.com/<COMPANY_CODE>

c. Nella casella di testo URL di accesso digitare un URL nel formato seguente: https://<subdomain>.awmdm.com/AirWatch/Login?gid=companycode

Nota

Questi valori non sono reali. è necessario aggiornarli con l'URL di risposta e l'URL di accesso effettivi. Per ottenere questi valori, contattare il team di supporto clienti di AirWatch. È anche possibile fare riferimento ai criteri di cui alla sezione Configurazione SAML di base.
L'applicazione AirWatch prevede un formato specifico per le asserzioni SAML. Configurare i seguenti claims per questa applicazione. È possibile gestire i valori di questi attributi dalla sezione Attributi utente nella pagina di integrazione dell'applicazione. Nella pagina Configura Single Sign-On Sign-On con SAML, selezionare il pulsante Modifica per aprire la finestra di dialogo Attributi utente.
Nella sezione Attestazioni utente della finestra di dialogo Attributi utente modificare le attestazioni usando l'icona Modifica o aggiungere le attestazioni usando l'opzione Aggiungi nuova attestazione per configurare l'attributo del token SAML come mostrato nell'immagine precedente e seguire questa procedura:

Nome Attributo di origine

Identificatore Unico utente.nomeprincipaleutente

a) Selezionare Aggiungi nuova attestazione per aprire il dialogo Gestisci attestazioni utente.

b. Nella casella di testo Nome digitare il nome dell'attributo indicato per la riga.

c. Lasciare vuota la casella Spazio dei nomi.

d. Per Origine selezionare Attributo.

e. Nell'elenco Attributo di origine selezionare il valore dell'attributo indicato per la riga.

f. Scegliere OK.

g. Seleziona Salva.
Nella pagina Configura l'accesso Single Sign-On con SAML, nella sezione Certificato di firma SAML, individuare Federazione XML dei metadati e selezionare Scarica per scaricare il file XML dei metadati e salvarlo nel computer in uso.
Nella sezione Configura AirWatch copiare gli URL appropriati in base alle esigenze.

URL di risposta
`https://<SUBDOMAIN>.awmdm.com/<COMPANY_CODE>`
`https://<SUBDOMAIN>.airwatchportals.com/<COMPANY_CODE>`

Nome	Attributo di origine
Identificatore Unico	utente.nomeprincipaleutente

Creare e assegnare un utente di test di Microsoft Entra

Segui le linee guida nel quickstart per creare e assegnare un account utente per creare un account di test chiamato B.Simon.

Configurare SSO di AirWatch

In un'altra finestra del Web browser accedere al sito aziendale di AirWatch come amministratore.
Nel riquadro di spostamento a sinistra selezionare Gruppi e impostazioni e quindi selezionare Tutte le impostazioni.
Passare quindi a Servizi di Directory di Integrazione Aziendale del Sistema>>.
Selezionare la scheda Utente , nel campo DN di base digitare domain namee quindi selezionare Salva.
Selezionare la scheda Gruppo , nel campo DN di base digitare domain namee quindi selezionare Salva.
Selezionare la scheda Server e seguire questa procedura:
1. Per Directory Type selezionare None.
2. Abilitare l'opzione Usa SAML per l'autenticazione .
3. Selezionare Importa impostazioni provider di identità e selezionare Carica per caricare il file XML scaricato nel passaggio 4 precedente.
Nella sezione Request seguire questa procedura:
1. Per Request Binding Type selezionare POST.
2. Navigare fino a Entra ID>Applicazioni aziendali>AirWatch.
3. Nella sezione Configurazione di AirWatch selezionare Configura AirWatch per aprire la finestra Configura accesso
4. Copia l'URL del servizio Single Sign-On SAML dalla sezione Riferimento rapido, quindi incollalo nella casella di testo dell'URL Single Sign-On del provider di identità.
5. Per NameID format selezionare Email address.
6. Seleziona Salva.
Nella sezione Response (Risposta), sotto Response Binding Type (Tipo di associazione di risposta), selezionare Post (Pubblica).
Selezionare di nuovo la scheda Utente .
Selezionare Mostra avanzate per visualizzare le impostazioni utente avanzate.
Nella sezione Attribute seguire questa procedura:
1. Nella casella di testo Identificatore oggetto digitare http://schemas.microsoft.com/identity/claims/objectidentifier.
2. Nella casella di testo Nome utente digitare http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
3. Nella casella di testo Nome visualizzato digitare http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.
4. Nella casella di testo Nome digitare http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.
5. Nella casella di testo Cognome digitare http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname.
6. Nella casella di testo Email (Posta elettronica) digitare http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
7. Seleziona Salva.

Creare l'utente di test di AirWatch

Per consentire agli utenti di Microsoft Entra di accedere ad AirWatch, devono essere configurati in AirWatch. Nel caso di AirWatch, il provisioning è un'attività manuale.

Per configurare il provisioning degli utenti, seguire questa procedura:

Accedere al sito aziendale di AirWatch come amministratore.
Nel riquadro di spostamento a sinistra selezionare Account e quindi Utenti.
Nel menu Utenti, selezionare Visualizzazione a elenco e quindi Aggiungi > Aggiungi Utente.
Nella finestra di dialogo Add / Edit User seguire questa procedura:

a) Digitare nome utente, password, conferma password, nome, cognome, indirizzo di posta elettronica di un account Microsoft Entra valido di cui si vuole eseguire il provisioning nelle caselle di testo correlate.

b. Seleziona Salva.

Nota

È possibile usare qualsiasi altro strumento o API di creazione di account utente fornite da AirWatch per effettuare il provisioning degli account utente di Microsoft Entra.

Testare la funzionalità SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.

Selezionare Test this application (Testa questa applicazione), questa opzione reindirizza all'URL di accesso di AirWatch in cui è possibile avviare il flusso di accesso.
Passare direttamente all'URL di accesso di AirWatch e avviare il flusso di accesso da questa posizione.
È possibile usare App personali Microsoft. Quando si seleziona il riquadro AirWatch in App personali, questa opzione reindirizza all'URL di accesso di AirWatch. Per altre informazioni su App personali, vedere l'introduzione ad App personali.

Dopo aver configurato AirWatch, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo della sessione con Microsoft Defender for Cloud Apps.