Informazioni sull'accesso alle applicazioni e Single Sign-On con Azure Active DirectoryWhat is application access and single sign-on with Azure Active Directory?

Single Sign-On indica la possibilità di accedere a tutte le applicazioni e risorse necessarie per svolgere attività commerciali, effettuando l'accesso solo una volta con un singolo account utente.Single sign-on means being able to access all of the applications and resources that you need to do business, by signing in only once using a single user account. Una volta effettuato l'accesso, è possibile accedere a tutte le applicazioni senza dover effettuare l’autenticazione (ad esempio, digitare una password) una seconda volta.Once signed in, you can access all of the applications you need without being required to authenticate (e.g. type a password) a second time.

Molte organizzazioni si basano sul software come un servizio (SaaS), ad esempio Office 365, Box e Salesforce, per la produttività dell'utente finale.Many organizations rely upon software as a service (SaaS) applications such as Office 365, Box and Salesforce for end user productivity. In passato, il personale IT doveva creare e aggiornare singolarmente gli account utente in ciascuna applicazione SaaS e gli utenti dovevano ricordare una password per ogni applicazione SaaS.Historically, IT staff needs to individually create and update user accounts in each SaaS application, and users have to remember a password for each SaaS application.

Azure Active Directory estende Active Directory locale nel cloud, consentendo agli utenti di utilizzare il proprio account aziendale principale non solo per eseguire l'accesso ai loro dispositivi appartenenti a un dominio e alle risorse della società, ma anche a tutte le applicazioni Web e SaaS necessarie per il proprio lavoro.Azure Active Directory extends on-premises Active Directory into the cloud, enabling users to use their primary organizational account to not only sign in to their domain-joined devices and company resources, but also all of the web and SaaS applications needed for their job.

Quindi non solo gli utenti non devono più gestire diversi set di nomi utente e password, per l’accesso alle loro applicazioni il provisioning o deprovisioning può essere eseguito automaticamente in base ai membri del gruppo della relativa organizzazione e anche al relativo stato come dipendenti.So not only do users not have to manage multiple sets of usernames and passwords, their applications access can be automatically provisioned or de-provisioned based on their organization group members, and also their status as an employees. Azure Active Directory introduce i controlli della governance di sicurezza e accesso che consentono di gestire in modo centralizzato l'accesso degli utenti tra le applicazioni SaaS.Azure Active Directory introduces security and access governance controls that enable you to centrally manage users' access across SaaS applications.

Azure AD consente un’integrazione semplice con molte applicazioni SaaS diffuse attualmente; offre la gestione delle identità e degli accessi e consente agli utenti di utilizzare Single Sign-On per le applicazioni direttamente o di individuarle e avviarle da un portale, ad esempio Office 365 o il pannello di accesso di Azure AD.Azure AD enables easy integration to many of today’s popular SaaS applications; it provides identity and access management, and enables users to single sign-on to applications directly, or discover and launch them from a portal such as Office 365 or the Azure AD access panel.

L'architettura dell'integrazione è costituita dai quattro principali blocchi predefiniti seguenti:The architecture of the integration consists of the following four main building blocks:

  • Single Sign-On consente agli utenti di accedere alle applicazioni SaaS in base al proprio account aziendale in Azure AD.Single sign-on enables users to access their SaaS applications based on their organizational account in Azure AD. Single Sign-On consente agli utenti di eseguire l'autenticazione a un'applicazione utilizzando il proprio account aziendale singolo.Single sign-on is what enables users to authenticate to an application using their single organizational account.
  • Il provisioning dell'utente permette il provisioning e il deprovisioning dell’utente nei servizi SaaS di destinazione in base alle modifiche effettuate in Windows Server Active Directory e/o in Azure AD.User provisioning enables user provisioning and de-provisioning into target SaaS based on changes made in Windows Server Active Directory and/or Azure AD. Un account con provisioning consente all'utente di essere autorizzato a utilizzare un'applicazione, dopo l'autenticazione tramite Single Sign-On.A provisioned account is what enables a user to be authorized to use an application, after they have authenticated through single sign-on.
  • La gestione centralizzata dell’accesso alle applicazioni nel portale di gestione di Azure consente l'accesso alle applicazioni SaaS e la loro gestione da un unico punto, con la possibilità di delegare i processi decisionali e le approvazioni dell’accesso alle applicazioni a tutti gli utenti dell'organizzazioneCentralized application access management in the Azure Management Portal enables single point of SaaS application access and management, with the ability to delegate application access decision making and approvals to anyone in the organization
  • Segnalazione e monitoraggio unificati delle attività dell'utente in Azure ADUnified reporting and monitoring of user activity in Azure AD

Come funziona Single Sign-On con Azure Active Directory (PHP)?How does single sign-on with Azure Active Directory work?

Quando un utente "accede" a un'applicazione, passa attraverso un processo di autenticazione in cui viene richiesto di dimostrare di essere chi dice di essere.When a user “signs in” to an application, they go through an authentication process where they are required to prove that they are who they say they are. Senza Single Sign-On, questa operazione viene in genere eseguita immettendo una password archiviata nell'applicazione e l'utente è tenuto a conoscere la password.Without single sign-on, this is typically done by entering a password that is stored at the application, and the user is required to know this password.

Azure AD supporta tre modi diversi per accedere alle applicazioni:Azure AD supports three different ways to sign in to applications:

  • Single Sign-On federato consente alle applicazioni di reindirizzare ad Azure AD per l'autenticazione dell’utente anziché richiedere la propria password.Federated Single Sign-On enables applications to redirect to Azure AD for user authentication instead of prompting for its own password. È supportato per le applicazioni che supportano protocolli quali SAML 2.0, WS-Federation oppure OpenID Connect ed è la modalità più ricca di Single Sign-On.This is supported for applications that support protocols such as SAML 2.0, WS-Federation, or OpenID Connect, and is the richest mode of single sign-on.
  • Single Sign-On basato su password consente l’archiviazione e la riproduzione delle password delle applicazioni protette utilizzando un'estensione del browser Web o un’app mobile.Password-based Single Sign-On enables secure application password storage and replay using a web browser extension or mobile app. Questo sfrutta il processo di accesso esistente fornito dall'applicazione, ma consente all'amministratore di gestire le password e non richiede all'utente di conoscerle.This leverages the existing sign-in process provided by the application, but enables an administrator to manage the passwords and does not require the user to know the password.
  • Single Sign-On esistente consente ad Azure AD di sfruttare qualunque Single Sign-On esistente configurato per l'applicazione, ma consente a queste applicazioni di essere collegate ai portali del pannello di accesso di Office 365 o di Azure AD e abilita il reporting aggiuntivo in Azure AD quando le applicazioni vengono avviate da questa posizione.Existing Single Sign-On enables Azure AD to leverage any existing single sign-on that has been set up for the application, but enables these applications to be linked to the Office 365 or Azure AD access panel portals, and also enables additional reporting in Azure AD when the applications are launched there.

Una volta che un utente è stato autenticato con un'applicazione, deve disporre anche di un record di account con provisioning all'applicazione che indica all'applicazione dove si trovano le autorizzazioni e il livello di accesso all'interno dell'applicazione.Once a user have authenticated with an application, they also need to have an account record provisioned at the application that tells the application where there permissions and level of access are inside the application. Il provisioning di questo record di account può verificarsi automaticamente o può essere effettuato manualmente da un amministratore prima che all'utente venga fornito l'accesso Single Sign-On.The provisioning of this account record can either occur automatically, or it can occur manually by an administrator before the user is provided single sign-on access.

Ulteriori informazioni su queste modalità Single Sign-On e sul provisioning sono riportate di seguito.More details on these single sign-on modes and provisioning below.

Single Sign-On federatoFederated Single Sign-On

Single Sign-On federato consente agli utenti dell'organizzazione di accedere automaticamente a un'applicazione SaaS di terze parti tramite Azure AD utilizzando le informazioni dell’account utente di Azure AD.Federated Single Sign-On enables sign-on enables the users in your organization to be automatically signed in to a third-party SaaS application by Azure AD using the user account information from Azure AD.

In questo scenario, quando è già stato effettuato l’accesso ad Azure AD e si desidera accedere alle risorse controllate da un'applicazione SaaS di terze parti, la federazione elimina la necessità per un utente di ripetere l'autenticazione.In this scenario, when you have already been logged into Azure AD, and you want to access resources that are controlled by a third-party SaaS application, federation eliminates the need for a user to be re-authenticated.

Azure AD supporta il Single Sign-On federato con applicazioni che supportano i protocolli SAML 2.0, WS-Federation oppure OpenID Connect.Azure AD can support federated single sign-on with applications that support the SAML 2.0, WS-Federation, or OpenID connect protocols.

Vedere anche: Gestione dei certificati per Single Sign-On federatoSee also: Managing Certificates for Federated Single Sign-On

Single Sign-On basato su passwordPassword-based Single Sign-On

La configurazione di Single Sign-On basato su password consente agli utenti dell'organizzazione di accedere automaticamente a un'applicazione SaaS di terze parti tramite Azure AD utilizzando le informazioni dell’account utente dall’applicazione SaaS di terze parti.Configuring password-based single sign-on enables the users in your organization to be automatically signed in to a third-party SaaS application by Azure AD using the user account information from the third-party SaaS application. Quando si abilita questa funzionalità, Azure AD raccoglie e archivia in modo sicuro le informazioni sull'account utente e la relativa password.When you enable this feature, Azure AD collects and securely stores the user account information and the related password.

Azure AD supporta Single Sign-On basato su password per qualunque applicazione basata su cloud con pagina di accesso basata su HTML.Azure AD can support password-based single sign on for any cloud-based app that has an HTML-based sign-in page. Utilizzando un plug-in del browser personalizzato, AAD automatizza il processo di accesso dell’utente recuperando in modo sicuro le credenziali dell'applicazione come il nome utente e la password dalla directory e immettendole nella pagina di accesso dell’applicazione per conto dell'utente.By using a custom browser plugin, AAD automates the user’s sign in process via securely retrieving application credentials such as the username and the password from the directory, and enters these credentials into the application’s sign in page on behalf of the user. Esistono due casi di utilizzo:There are two use cases:

  1. L’amministratore gestisce le credenziali : gli amministratori possono creare e gestire le credenziali dell'applicazione e assegnare le credenziali a utenti o gruppi che devono accedere all'applicazione.Administrator manages credentials – Administrators can create and manage application credentials, and assign those credentials to users or groups who need access to the application. In questi casi, l'utente finale non deve necessariamente conoscere le credenziali, ma comunque ottiene l’accesso Single Sign-On all'applicazione semplicemente facendo clic su di esso nel proprio pannello di accesso o tramite un collegamento fornito.In these cases, the end user does not need to know the credentials, but still gains single sign-on access to the application simply by clicking on it in their access panel or via a provided link. Questo consente sia la gestione del ciclo di vita delle credenziali da parte dell’amministratore, che la comodità per gli utenti finali che non devono necessariamente ricordare o gestire le password specifiche dell’app.This enables both, lifecycle management of the credentials by the administrator, as well as convenience for end users whereby they do not need to remember or manage app-specific passwords. Le credenziali vengono nascoste all'utente finale durante il processo di accesso automatico; tuttavia, esse sono tecnicamente individuabili dall'utente utilizzando strumenti di debug Web; gli utenti e gli amministratori devono seguire gli stessi criteri di sicurezza utilizzati se le credenziali fossero presentate direttamente all'utente.The credentials are obfuscated from the end user during the automated sign in process; however they are technically discoverable by the user using web-debugging tools, and users and administrators should follow the same security policies as if the credentials were presented directly by the user. Le credenziali fornite dall’amministratore sono molto utili quando si fornisce un accesso all'account condiviso tra più utenti, ad esempio i social media o applicazioni di condivisione dei documenti.Administrator-provided credentials are very useful when providing account access that is shared among many users, such as social media or document sharing applications.
  2. L’utente gestisce le credenziali : gli amministratori possono assegnare le applicazioni agli utenti finali o ai gruppi e consentire agli utenti finali di immettere le proprie credenziali direttamente quando accedono all'applicazione per la prima volta nel proprio pannello di accesso.User manages credentials – Administrators can assign applications to end users or groups, and allow the end users to enter their own credentials directly upon accessing the application for the first time in their access panel. Questo crea una comodità per gli utenti finali poiché essi non devono immettere continuamente le password specifiche delle applicazioni ogni volta che accedono ad esse.This creates a convenience for end users whereby they do not need to continually enter the app-specific passwords each time they access the application. Questo caso di utilizzo può essere usato anche come tappa della gestione amministrativa delle credenziali, poiché l'amministratore può impostare nuove credenziali per l'applicazione in un secondo momento senza modificare l'esperienza di accesso dell'utente finale all’app.This use case can also be used as a stepping stone to administrative management of the credentials, whereby the administrator can set new credentials for the application at a future date without changing the app access experience of the end user.

In entrambi i casi, le credenziali vengono archiviate in formato crittografato nella directory e vengono trasferite solo tramite HTTPS durante il processo di accesso automatico.In both cases, credentials are stored in an encrypted state in the directory, and are only passed over HTTPS during the automated sign-in process. Utilizzando Single Sign-On basato su password, Azure AD offre una soluzione di gestione dell’accesso all’identità pratica per le applicazioni che non sono in grado di supportare i protocolli di federazione.Using password-based single sign on, Azure AD offers a convenient identity access management solution for apps that are not capable of supporting federation protocols.

Single Sign-On basato su password si basa su un'estensione del browser per recuperare in modo sicuro le informazioni specifiche dell’applicazione e dell'utente da Azure AD e applicarle al servizio.Password-based SSO relies on a browser extension to securely retrieve the application and user specific information from Azure AD and apply it to the service. La maggior parte delle applicazioni SaaS di terze parti supportate da Azure AD supportano questa funzionalità.Most third-party SaaS applications that are supported by Azure AD support this feature.

Per l'accesso Single Sign-On basato su password il browser dell'utente finale può essere uno dei seguenti:For password-based SSO, the end user’s browsers can be:

  • Internet Explorer 8, 9, 10, 11 su Windows 7 o versioni successiveInternet Explorer 8, 9, 10, 11 -- on Windows 7 or later
  • Edge su Windows 10 Anniversary Edition o versioni successiveEdge on Windows 10 Anniversary Edition or later
  • Chrome in Windows 7 o versione successiva e MacOS X o versione successivaChrome -- on Windows 7 or later, and on MacOS X or later
  • Firefox 26.0 o versione successiva in Windows XP SP2 o versione successiva e in Mac OS X 10.6 o versione successivaFirefox 26.0 or later -- on Windows XP SP2 or later, and on Mac OS X 10.6 or later

Single Sign-On esistenteExisting Single Sign-On

Quando si configura Single Sign-On per un'applicazione, il portale di gestione di Azure fornisce una terza opzione di "Single Sign-On esistente".When configuring single sign-on for an application, the Azure management portal provides a third option of “Existing Single Sign-On”. Questa opzione consente semplicemente all'amministratore di creare un collegamento a un'applicazione e di posizionarlo nel pannello di accesso per gli utenti selezionati.This option simply allows the administrator to create a link to an application, and place it on the access panel for selected users.

Ad esempio, se è presente un'applicazione configurata per l'autenticazione degli utenti tramite Active Directory Federation Services 2.0, un amministratore può utilizzare l'opzione "Single Sign-On esistente" per creare un collegamento al pannello di accesso.For example, if there is an application that is configured to authenticate users using Active Directory Federation Services 2.0, an administrator can use the “Existing Single Sign-On” option to create a link to it on the access panel. Quando gli utenti accedono al collegamento, vengono autenticati utilizzando Active Directory Federation Services 2.0 o qualunque soluzione Single Sign-On esistente fornita dall'applicazione.When users access the link, they are authenticated using Active Directory Federation Services 2.0, or whatever existing single sign-on solution is provided by the application.

Provisioning utenteUser Provisioning

Per selezionare le applicazioni, Azure AD abilita il provisioning e il deprovisioning automatizzato degli utenti degli account nelle applicazioni SaaS di terze parti dal portale di gestione di Azure, utilizzando le informazioni dell’identità di Windows Server Active Directory o Azure AD.For select applications, Azure AD enables automated user provisioning and de-provisioning of accounts in third-party SaaS applications from within the Azure Management Portal, using your Windows Server Active Directory or Azure AD identity information. Quando a un utente vengono concesse le autorizzazioni in Azure AD per una di queste applicazioni, un account può essere creato automaticamente (provisioning) nell'applicazione SaaS di destinazione.When a user is given permissions in Azure AD for one of these applications, an account can be automatically created (provisioned) in the target SaaS application.

Quando un utente viene eliminato o le relative informazioni cambiano in Azure AD, tali modifiche si riflettono anche nell'applicazione SaaS.When a user is deleted or their information changes in Azure AD, these changes are also reflected in the SaaS application. Ciò significa che la configurazione della gestione automatizzata del ciclo di vita dell’identità consente agli amministratori di controllare e fornire provisioning e deprovisioning automatizzato dalle applicazioni SaaS.This means, configuring automated identity lifecycle management enables administrators to control and provide automated provisioning and de-provisioning from SaaS applications. In Azure AD questa automazione della gestione del ciclo di vita dell’identità è abilitata dal provisioning dell'utente.In Azure AD, this automation of identity lifecycle management is enabled by user provisioning.

Per altre informazioni, vedere Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Azure Active DirectoryTo learn more, see Automated User Provisioning and Deprovisioning to SaaS Applications

Informazioni introduttiveReady to get started? Per distribuire il servizio Single Sign-On tra Azure AD e le applicazioni SaaS utilizzate dall'organizzazione, seguire queste linee guida.To deploy single sign-on between Azure AD and SaaS applications that your organization uses, follow these guidelines.

La raccolta delle applicazioni di Azure Active Directory fornisce un elenco di applicazioni che supportano una forma di Single Sign-On con Azure Active Directory.The Azure Active Directory Application Gallery provides a listing of applications that are known to support a form of single sign-on with Azure Active Directory.

Di seguito sono riportati alcuni suggerimenti per la ricerca delle applicazioni in base alle funzionalità che supportano:Here are some tips for finding apps by what capabilities they support:

  • Azure AD supporta il provisioning e deprovisioning automatico per tutte le applicazioni “In primo piano” nella raccolta di applicazioni di Azure Active Directory.Azure AD supports automatic provisioning and de-provisioning for all “Featured” apps in the Azure Active Directory Application Gallery.
  • Un elenco di applicazioni federate che supportano in particolare il Single Sign-On federato tramite un protocollo, ad esempio SAML, WS-Federation oppure OpenID Connect, è disponibile qui.A list of federated applications that specifically support federated single sign-on using a protocol such as SAML, WS-Federation, or OpenID Connect can be found here.

Dopo aver trovato l'applicazione, è possibile iniziare seguendo le istruzioni dettagliate presentate nella raccolta delle applicazioni e nel portale di gestione di Azure per abilitare Single Sign-On.Once you’ve found your application, you can get started by follow the step-by-step instructions presented in the app gallery and in the Azure management portal to enable single sign-on.

Se l'applicazione non è presente nella raccolta di applicazioni Azure AD, sono disponibili queste opzioni:If your application is not found in the Azure AD application gallery, then you have these options:

Utilizzo del portale di gestione di AzureUsing the Azure management portal

È possibile utilizzare l'estensione di Active Directory nel portale di gestione di Azure per configurare l'applicazione Single Sign-On.You can use the Active Directory extension in the Azure Management Portal to configure the application single sign-on. Innanzitutto, è necessario selezionare una directory dalla sezione Active Directory nel portale:As a first step, you need to select a directory from the Active Directory section in the portal:

Per gestire le applicazioni SaaS di terze parti, è possibile passare alla scheda Applicazioni della directory selezionata.To manage your third-party SaaS applications, you can switch into the Applications tab of the selected directory. Questa vista consente agli amministratori di:This view enables administrators to:

  • Aggiungere dalla raccolta di Azure AD nuove applicazioni, nonché le applicazioni che si stanno sviluppandoAdd new applications from the Azure AD gallery, as well as apps you are developing
  • Eliminare applicazioni integrateDelete integrated applications
  • Gestire le applicazioni già integrateManage the applications they have already integrated

Le attività amministrative tipiche per un'applicazione SaaS di terze parti sono:Typical administrative tasks for a third-party SaaS application are:

  • Abilitazione di Single Sign-On con Azure AD, utilizzando Single Sign-On con password o, se disponibile per il SaaS di destinazione, Single Sign-On federatoEnabling single sign-on with Azure AD, using password SSO or, if available for the target SaaS, federated SSO
  • Facoltativamente, abilitare il provisioning e deprovisioning per l'utente (gestione del ciclo dell’identità)Optionally, enabling user provisioning for user provisioning and de-provisioning (identity lifecycle management)
  • Per le applicazioni in cui il provisioning dell'utente è abilitato, selezionare gli utenti che hanno accesso all'applicazioneFor applications where user provisioning is enabled, selecting which users have access to that application

Per le applicazioni della raccolta che supportano Single Sign-On federato, la configurazione in genere richiede di fornire impostazioni di configurazione aggiuntive, ad esempio certificati e metadati per creare una relazione di trust federativa tra l'applicazione di terze parti e Azure AD.For gallery apps that support federated single sign-on, configuration typically requires you to provide additional configuration settings such as certificates and metadata to create a federated trust between the third-party app and Azure AD. La configurazione guidata illustra i dettagli e fornisce l’accesso facile ai dati specifici dell'applicazione SaaS e istruzioni.The configuration wizard walks you through the details and provides you with easy access to the SaaS application specific data and instructions.

Per le applicazioni della raccolta che supportano il provisioning automatico dell’utente, ciò richiede di concedere le autorizzazioni di Azure AD per gestire gli account nell'applicazione SaaS.For gallery apps that support automatic user provisioning, this requires you to give Azure AD permissions to manage your accounts in the SaaS application. Come minimo, è necessario fornire le credenziali che Azure AD deve utilizzare per l'autenticazione attraverso l'applicazione di destinazione.At a minimum, you need to provide credentials Azure AD should use when authenticating over to the target application. Se è necessario specificare ulteriori impostazioni di configurazione dipende dai requisiti dell'applicazione.Whether additional configuration settings need to be provided depends on the requirements of the application.

Distribuzione di applicazioni integrate di Azure AD agli utentiDeploying Azure AD integrated applications to users

Azure AD fornisce diverse soluzioni personalizzabili per distribuire le applicazioni agli utenti finali all'interno dell'organizzazione:Azure AD provides several customizable ways to deploy applications to end-users in your organization:

  • Pannello di accesso di Azure ADAzure AD access panel
  • Applicazione di avvio di Office 365Office 365 application launcher
  • Accesso diretto alle applicazioni federateDirect sign-on to federated apps
  • Collegamenti diretti per applicazioni federate, basate su password o esistentiDeep links to federated, password-based, or existing apps

I metodi che è possibile scegliere per la distribuzione nell'organizzazione sono a discrezione dell'utente.Which method(s) you choose to deploy in your organization is your discretion.

Pannello di accesso di Azure ADAzure AD access panel

Il pannello di accesso in https://myapps.microsoft.com è un portale basato sul Web che consente a un utente finale con un account aziendale in Azure Active Directory di visualizzare e avviare applicazioni basate sul cloud a cui l'amministratore di Azure AD ha concesso l'accesso.The Access Panel at https://myapps.microsoft.com is a web-based portal that allows an end user with an organizational account in Azure Active Directory to view and launch cloud-based applications to which they have been granted access by the Azure AD administrator. Se si è un utente finale con Azure Active Directory Premium, è anche possibile utilizzare le funzionalità di gestione di gruppi in modalità self-service tramite il riquadro di accesso.If you are an end-user with Azure Active Directory Premium, you can also utilize self-service group management capabilities through the Access Panel.

Il riquadro di accesso non fa parte del portale di gestione di Azure e non richiede agli utenti di avere una sottoscrizione di Azure o di Office 365.The Access Panel is separate from the Azure Management Portal and does not require users to have an Azure subscription or Office 365 subscription.

Per altre informazioni sul riquadro di accesso di Azure AD, vedere Introduzione al riquadro di accesso.For more information on the Azure AD access panel, see the introduction to the access panel.

Applicazione di avvio di Office 365Office 365 application launcher

Per le organizzazioni che hanno distribuito Office 365, le applicazioni assegnate agli utenti con Azure AD vengono visualizzate anche nel portale di Office 365 all'indirizzo https://portal.office.com/myapps.For organizations that have deployed Office 365, applications assigned to users through Azure AD will also appear in the Office 365 portal at https://portal.office.com/myapps. Questo rende facile e comodo per gli utenti all’interno di un'organizzazione avviare le proprie applicazioni senza dover utilizzare un secondo portale ed è la soluzione di avvio delle applicazioni consigliata per le organizzazioni che utilizzano Office 365.This makes it easy and convenient for users in an organization to launch their apps without having to use a second portal, and is the recommended app launching solution for organizations using Office 365.

Per ulteriori informazioni sull'avvio di applicazioni di Office 365, vedere Visualizzazione dell'applicazione nell’applicazione di avvio di Office 365.For more information about the Office 365 application launcher, see Have your app appear in the Office 365 app launcher.

Accesso diretto alle applicazioni federateDirect sign-on to federated apps

La maggior parte delle applicazioni federate che supportano OpenID Connect, WS-Federation o SAML 2.0 supportano anche la possibilità per gli utenti di avviare l'applicazione e quindi ottenere l’accesso tramite Azure AD con il reindirizzamento automatico oppure facendo clic su un collegamento per accedere.Most federated applications that support SAML 2.0, WS-Federation, or OpenID connect also support the ability for users to start at the application, and then get signed in through Azure AD either by automatic redirection or by clicking on a link to sign in. Questo è noto come accesso avviato dal provider di servizi e la maggior parte delle applicazioni federate nella raccolta di applicazioni di Azure AD lo supporta (vedere la documentazione collegata dalla configurazione guidata di configurazione di Single Sign-On dell'app nel portale di gestione di Azure per i dettagli).This is known as service provider -initiated sign-on, and most federated applications in the Azure AD application gallery support this (see the documentation linked from the app’s single sign-on configuration wizard in the Azure management portal for details).

Azure AD supporta anche collegamenti diretti Single Sign-On alle singole applicazioni che supportano Single Sign-On basato su password, Single Sign-On esistente e qualunque forma di Single Sign-On federato.Azure AD also supports direct single sign-on links to individual applications that support password-based single sign-on, existing single sign-on, and any form of federated single sign-on.

Questi collegamenti sono URL realizzati appositamente che inviano un utente attraverso la procedura di accesso di Azure AD per un'applicazione specifica senza richiedere che la avvii dal pannello di accesso di Azure AD o Office 365.These links are specifically-crafted URLs that send a user through the Azure AD sign in process for a specific application without requiring the user launch them from the Azure AD access panel or Office 365. Questi URL Single Sign-On sono disponibili nella scheda Dashboard di qualunque applicazione già integrata nella sezione Active Directory del portale di gestione di Azure, come illustrato nella schermata riportata di seguito.These Single Sign-On URLs can be found under the Dashboard tab of any pre-integrated application in the Active Directory section of the Azure management portal, as shown in the screenshot below.

Questi collegamenti possono essere copiati e incollati ovunque per fornire un collegamento di accesso all'applicazione selezionata.These links can be copied and pasted anywhere you want to provide a sign-in link to the selected application. Questo potrebbe essere all’interno di un messaggio di posta elettronica o in qualsiasi portale personalizzato basato sul Web configurato per l'accesso alle applicazioni dell’utente.This could be in an email, or in any custom web-based portal that you have set up for user application access. Di seguito è riportato un esempio di URL Single Sign-On diretto di Azure AD per Twitter:Here's an example of an Azure AD direct single sign-on URL for Twitter:

https://myapps.microsoft.com/signin/Twitter/230848d52c8745d4b05a60d29a40fced

Analogamente agli URL specifici dell'organizzazione per il pannello di accesso, è possibile personalizzare ulteriormente questo URL mediante l'aggiunta di uno dei domini attivi o verificati per la directory dopo il dominio myapps.microsoft.com.Similar to organization-specific URLs for the access panel, you can further customize this URL by adding one of the active or verified domains for your directory after the myapps.microsoft.com domain. Questo assicura che eventuali personalizzazioni dell’organizzazione vengano caricate immediatamente nella pagina di accesso senza che l'utente debba immettere prima l'ID utente:This ensures any organizational branding is loaded immediately on the sign-in page without the user needing to enter their user ID first:

https://myapps.microsoft.com/contosobuild.com/signin/Twitter/230848d52c8745d4b05a60d29a40fced

Quando un utente autorizzato fa clic su uno di questi collegamenti specifici dell'applicazione, per prima cosa vede le pagina di accesso aziendale (presupponendo che non abbia già effettuato l’accesso) e dopo l’accesso viene reindirizzato alla propria applicazione senza passare prima dal pannello di accesso.When an authorized user clicks on one of these application-specific links, they first see their organizational sign-in page (assuming they are not already signed in), and after sign-in are redirected to their app without stopping at the access panel first. Se l'utente non dispone dei prerequisiti per l'accesso all'applicazione, ad esempio l'estensione browser di accesso singolo basato su password, il collegamento richiederà all'utente di installare l'estensione mancante.If the user is missing pre-requisites to access the application, such as the password-based single sign browser extension, then the link will prompt the user to install the missing extension. L'URL del collegamento rimane costante se la configurazione Single Sign-On per l'applicazione viene modificata.The link URL also remains constant if the single sign-on configuration for the application changes.

Questi collegamenti utilizzano gli stessi meccanismi di controllo dell’accesso come il pannello di accesso e Office 365 e solo gli utenti o i gruppi che sono stati assegnati all'applicazione nel portale di gestione di Azure potranno eseguire l'autenticazione.These links use the same access control mechanisms as the access panel and Office 365, and only those users or groups who have been assigned to the application in the Azure management portal will be able to successfully authenticate. Tuttavia, gli utenti non autorizzati vedranno un messaggio che indica che non sono autorizzati all’accesso e verrà fornito loro un collegamento per caricare il pannello di accesso per visualizzare le applicazioni disponibili per cui dispongono dell’accesso.However, any user who is unauthorized will see a message explaining that they have not been granted access, and are given a link to load the access panel to view available applications for which they do have access.