Determinare la strategia di adozione del ciclo di vita della soluzione ibrida di gestione delle identitàDetermine hybrid identity lifecycle adoption strategy

In questa attività verrà definita la strategia di gestione delle identità in modo che la soluzione ibrida soddisfi i requisiti aziendali definiti in Determinare le attività della gestione ibrida delle identità.In this task, you’ll define the identity management strategy for your hybrid identity solution to meet the business requirements that you defined in Determine hybrid identity management tasks.

Per definire le attività della gestione ibrida delle identità in base al ciclo di vita end-to-end presentato in precedenza in questo passaggio, è necessario valutare le opzioni disponibili per ogni fase del ciclo di vita.To define the hybrid identity management tasks according to the end-to-end identity lifecycle presented earlier in this step, you will have to consider the options available for each lifecycle phase.

Gestione e provisioning degli accessiAccess management and provisioning

Una buona soluzione di gestione degli accessi degli account consente di monitorare in modo accurato chi ha accesso a quali informazioni all'interno dell'organizzazione.With a good account access management solution, your organization can track precisely who has access to what information across the organization.

Il controllo di accesso è una funzione critica di un sistema di provisioning centralizzato.Access control is a critical function of a centralized, single-point provisioning system. Oltre a proteggere le informazioni sensibili, il controllo di accesso espone gli account esistenti con autorizzazioni non approvate o non più necessari.Besides protecting sensitive information, access controls expose existing accounts that have unapproved authorizations or are no longer necessary. Per controllare gli account obsoleti, il sistema di provisioning collega le informazioni dell'account alle informazioni autorevoli relative agli utenti proprietari degli account.To control obsolete accounts, the provisioning system links together account information with authoritative information about the users who own the accounts. Le informazioni autorevoli sulle identità utente sono in genere mantenute nei database e nelle directory del reparto risorse umane.Authoritative user identity information is typically maintained in the databases and directories of human resources.

Nelle aziende IT sofisticate gli account includono centinaia di parametri che definiscono le autorità e questi dettagli possono essere controllati dal sistema di provisioning.Accounts in sophisticated IT enterprises include hundreds of parameters that define the authorities, and these details can be controlled by your provisioning system. È possibile identificare i nuovi utenti con i dati forniti dall'origine autorevole.New users can be identified with the data that you provide from the authoritative source. La funzionalità di approvazione della richiesta di accesso avvia i processi che approvano (o rifiutano) il provisioning delle risorse per tali utenti.The access request approval capability initiates the processes that approve (or reject) resource provisioning for them.

Fase di gestione del ciclo di vitaLifecycle management phase LocaleOn premises CloudCloud IbridoHybrid
Gestione e provisioning degli accountAccount Management and Provisioning Il ruolo del server Servizi di dominio Active Directory® consente di creare un'infrastruttura scalabile, sicura e gestibile per la gestione di utenti e risorse, nonché di fornire supporto per le applicazioni abilitate per le directory, ad esempio Microsoft® Exchange Server.By using the Active Directory® Domain Services (AD DS) server role, you can create a scalable, secure, and manageable infrastructure for user and resource management, and provide support for directory-enabled applications such as Microsoft® Exchange Server.

È possibile eseguire il provisioning dei gruppi in Servizi di dominio Active Directory tramite un Identity managerYou can provision groups in AD DS through an Identity manager
È possibile eseguire il provisioning degli utenti in Servizi di dominio Active Directory You can provision users in AD DS

Gli amministratori possono usare il controllo di accesso per gestire l'accesso degli utenti alle risorse condivise per motivi di sicurezza.Administrators can use access control to manage user access to shared resources for security purposes. In Active Directory il controllo di accesso è gestito a livello di oggetto impostando diversi livelli di accesso, o autorizzazioni, agli oggetti, ad esempio Controllo completo, Scrittura, Lettura o Nessun accesso.In Active Directory, access control is administered at the object level by setting different levels of access, or permissions, to objects, such as Full Control, Write, Read, or No Access. Il controllo di accesso in Active Directory definisce il modo in cui gli utenti possono usare gli oggetti di Active Directory.Access control in Active Directory defines how different users can use Active Directory objects. Per impostazione predefinita, le autorizzazioni sugli oggetti in Active Directory sono configurate sull'impostazione più sicura.By default, permissions on objects in Active Directory are set to the most secure setting.
È necessario creare un account per ogni utente che accederà a un servizio cloud Microsoft.You have to create an account for every user who will access a Microsoft cloud service. È anche possibile modificare gli account utente oppure eliminarli quando non sono più necessari.You can also change user accounts or delete them when they’re no longer needed. Per impostazione predefinita, gli utenti non hanno autorizzazioni di amministratore, ma è possibile scegliere facoltativamente di assegnarle.By default, users do not have administrator permissions, but you can optionally assign them. Per altre informazioni, vedere Gestione degli utenti in Azure AD.For more information, see Managing Users in Azure AD.

In Azure Active Directory una delle caratteristiche principali è la possibilità di gestire l'accesso alle risorse.Within Azure Active Directory, one of the major features is the ability to manage access to resources. Queste risorse possono far parte della directory, come nel caso delle autorizzazioni per gestire oggetti tramite i ruoli nella directory, o delle risorse esterne alla directory, come ad esempio le applicazioni SaaS, i servizi di Azure e i siti di SharePoint o delle risorse locali.These resources can be part of the directory, as in the case of permissions to manage objects through roles in the directory, or resources that are external to the directory, such as SaaS applications, Azure services, and SharePoint sites or on-premises resources.

L'elemento principale della soluzione per la gestione degli accessi di Azure Active Directory è il gruppo di sicurezza.At the center of Azure Active Directory’s access management solution is the security group. Il proprietario della risorsa (o l'amministratore della directory) può assegnare ad un gruppo il compito di fornire un determinato diritto di accesso per le risorse che possiede.The resource owner (or the administrator of the directory) can assign a group to provide a certain access right to the resources they own. Ai membri del gruppo verrà fornito l'accesso e il proprietario della risorsa può delegare il diritto di gestire l'elenco di membri di un gruppo a un altro utente, ad esempio un responsabile di reparto o un amministratore dell'helpdeskThe members of the group will be provided the access, and the resource owner can delegate the right to manage the members list of a group to someone else – such as a department manager or a helpdesk administrator

L'argomento relativo alla gestione dei gruppi in Azure AD fornisce informazioni dettagliate su come gestire gli accessi tramite i gruppi.The Managing groups in Azure AD topic provides more information on managing access through groups.
Estendere le identità di Active Directory nel cloud tramite la sincronizzazione e la federazioneExtend Active Directory identities into the cloud through synchronization and federation

Controllo degli accessi in base al ruoloRole-based access control

Il controllo degli accessi in base al ruolo usa i ruoli e i criteri di provisioning per valutare, testare e imporre regole e processi aziendali per concedere l'accesso agli utenti.Role-based access control (RBAC) uses roles and provisioning policies to evaluate, test, and enforce your business processes and rules for granting access to users. Gli amministratori principali creano i criteri di provisioning, assegnano gli utenti ai ruoli e definiscono set di assegnazioni alle risorse per questi ruoli.Key administrators create provisioning policies and assign users to roles and that define sets of entitlements to resources for these roles. Il controllo degli accessi in base al ruolo estende la soluzione di gestione delle identità per usare processi basati sul software e ridurre l'interazione manuale dell'utente nel processo di provisioning.RBAC extends the identity management solution to use software-based processes and reduce user manual interaction in the provisioning process. Il controllo degli accessi in base al ruolo di Azure AD permette alla società di limitare la quantità di operazioni che possono essere eseguite da un soggetto una volta effettuato l'accesso al portale di gestione di Azure.Azure AD RBAC enables the company to restrict the amount of operations that an individual can do once he has access to Azure Management Portal. L'uso del controllo degli accessi in base al ruolo per controllare gli accessi al portale, permette agli amministratori IT di delegare l'accesso tramite gli approcci di gestione dell'accesso seguenti:By using RBAC to control access to the portal, IT Admins ca delegate access by using the following access management approaches:

  • Assegnazione di ruolo basata su gruppo: è possibile assegnare l'accesso ai gruppi di Azure AD che possono essere sincronizzati dall'istanza di Active Directory locale.Group-based role assignment: You can assign access to Azure AD groups that can be synced from your local Active Directory. Questo consente di sfruttare gli investimenti esistenti dell'organizzazione in termini di strumenti e processi per la gestione dei gruppi.This enables you to leverage the existing investments that your organization has made in tooling and processes for managing groups. È anche possibile usare la funzionalità di delega della gestione dei gruppi disponibile in Azure AD Premium.You can also use the delegated group management feature of Azure AD Premium.
  • Uso dei ruoli predefiniti in Azure: sono disponibili tre ruoli, proprietario, collaboratore e lettore, per garantire che utenti e gruppi siano autorizzati a eseguire solo le attività necessarie per svolgere il proprio lavoro.Leverage built in roles in Azure: You can use three roles — Owner, Contributor, and Reader, to ensure that users and groups have permission to do only the tasks they need to do their jobs.
  • Accesso granulare alle risorse: è possibile assegnare ruoli a utenti e gruppi per una sottoscrizione, un gruppo di risorse o una singola risorsa di Azure specifica, ad esempio un sito Web o un database.Granular access to resources: You can assign roles to users and groups for a particular subscription, resource group, or an individual Azure resource such as a website or database. In questo modo, è possibile fare in modo che gli utenti possano accedere a tutte le risorse necessarie e non abbiano accesso alle risorse che invece non devono gestire.In this way, you can ensure that users have access to all the resources they need and no access to resources that they do not need to manage.

Provisioning e altre opzioni di personalizzazioneProvisioning and other customization options

Il team può usare piani e requisiti aziendali per stabilire in che misura personalizzare la soluzione di gestione delle identità.Your team can use business plans and requirements to decide how much to customize the identity solution. Ad esempio, per i flussi di lavoro e gli adattatori personalizzati una grande impresa può richiedere un piano di implementazione a fasi basato su una sequenza temporale per eseguire il provisioning delle applicazioni usate più di frequente per varie aree geografiche in modo incrementale.For example, a large enterprise might require a phased roll-out plan for workflows and custom adapters that is based on a time line for incrementally provisioning applications that are widely used across geographies. Un altro piano di personalizzazione può invece prevedere il provisioning di due o più applicazioni per l'intera organizzazione, una volta superata la fase di test.Another customization plan might provide for two or more applications to be provisioned across an entire organization, after successful testing. È possibile personalizzare l'interazione tra applicazione e utente e modificare le procedure per il provisioning delle risorse per adottare il provisioning automatizzato.User-application interaction can be customized, and procedures for provisioning resources might be changed to accommodate automated provisioning.

È possibile effettuare il deprovisioning per rimuovere un componente o un servizio.You can deprovision to remove a service or component. Quando si effettua il deprovisioning di un account, ad esempio, significa che l'account viene eliminato da una risorsa.For example, deprovisioning an account means that the account is deleted from a resource.

Il modello ibrido di provisioning delle risorse combina approcci basati su richiesta e sul ruolo, entrambi supportati da Azure AD.The hybrid model of provisioning resources combines request and role-based approaches, which are both supported by Azure AD. Un'azienda può ad esempio decidere di automatizzare l'accesso con l'assegnazione basata sul ruoloFor a subset of employees or managed systems, a business might want to automate access with role-based assignment. oppure di gestire tutte le altre eccezioni o richieste di accesso tramite un modello basato sulla richiesta.A business might also handle all other access requests or exceptions through a request-based model. Altre aziende possono invece iniziare con l'assegnazione manuale per poi evolvere verso un modello ibrido, con l'intenzione di effettuare una distribuzione completamente basata sul ruolo in futuro.Some businesses might start with manual assignment, and evolve toward a hybrid model, with an intention of a fully role-based deployment at a future time.

Per altre organizzazioni, il provisioning completamente basato su ruolo potrebbe risultare un'opzione poco pratica per motivi di natura aziendale e essere indirizzati verso un approccio ibrido.Other companies might find it impractical for business reasons to achieve complete role-based provisioning, and target a hybrid approach as a wanted goal. Alcune società potrebbero già essere soddisfatte con il provisioning basato su richiesta e non intendono investire ulteriormente nella definizione e nella gestione dei criteri di provisioning automatizzato basato su ruolo.Still other companies might be satisfied with only request-based provisioning, and not want to invest additional effort to define and manage role-based, automated provisioning policies.

Gestione licenzeLicense management

La gestione delle licenze basata su gruppo in Azure AD consente agli amministratori di assegnare gli utenti a un gruppo di sicurezza e Azure AD assegna automaticamente le licenze a tutti i membri del gruppo.Group-based license management in Azure AD lets administrators assign users to a security group and Azure AD automatically assigns licenses to all the members of the group. Se in seguito un utente viene aggiunto o rimosso dal gruppo, anche la licenza verrà assegnata o rimossa, a seconda del caso.If a user is subsequently added to, or removed from the group, a license will be automatically assigned or removed as appropriate.

È possibile usare i gruppi sincronizzati da Active Directory locale o gestiti in Azure AD eYou can use groups you synchronize from on-premises AD or manage in Azure AD. in combinazione con la funzionalità Gestione gruppi in modalità self-service di Azure AD Premium è facile delegare l'assegnazione delle licenze ai decision maker appropriati.Pairing this up with Azure AD premium Self-Service Group Management you can easily delegate license assignment to the appropriate decision makers. È garantito che problemi quali conflitti di licenze e dati mancanti per la località vengono risolti automaticamente.You can be assured that problems like license conflicts and missing location data are automatically sorted out.

Regolazione automatica dell'amministrazione degli utentiSelf-regulating user administration

Quando l'azienda inizia a effettuare il provisioning delle risorse per tutte le organizzazioni interne, si implementa la funzionalità di regolazione automatica dell'amministrazione degli utenti.When your organization starts to provision resources across all internal organizations, you implement the self-regulating user administration capability. In questo caso, è possibile usufruire dei vantaggi derivanti dal provisioning degli utenti in tutta l'organizzazione.You can realize the advantages and benefits of provisioning users across organizational boundaries. In questo ambiente, una modifica dello stato di un utente si riflette automaticamente nei diritti di accesso in tutta l'organizzazione e in tutte le aree geografiche.In this environment, a change in a user's status is automatically reflected in access rights across organization boundaries and geographies. Consente di ridurre i costi di provisioning e semplificare i processi di accesso e approvazione.You can reduce provisioning costs and streamline the access and approval processes. Permette di realizzare l'intero potenziale del controllo degli accessi in base al ruolo per la gestione degli accessi end-to-end nell'organizzazione.The implementation realizes the full potential of implementing role-based access control for end-to-end access management in your organization. Favorisce la riduzione dei costi amministrativi tramite procedure automatizzate che regolamentano il provisioning degli utenti.You can reduce administrative costs through automated procedures for governing user provisioning. Migliora la sicurezza grazie all'automazione dell'imposizione dei criteri di sicurezza, alla semplificazione e alla centralizzazione del ciclo di vita degli utenti e al provisioning delle risorse per grandi quantità di utenti.You can improve security by automating security policy enforcement, and streamline and centralize user lifecycle management and resource provisioning for large user populations.

Nota

Per altre informazioni, vedere Configurazione di Azure AD per la gestione self-service dell'accesso alle applicazioniFor more information, see Setting up Azure AD for self service application access management

I servizi di Azure AD basati su licenza o diritti funzionano attivando una sottoscrizione nel tenant di directory/servizio di Azure AD.License-based (Entitlement-based) Azure AD services work by activating a subscription in your Azure AD directory/service tenant. Una volta attivata la sottoscrizione, le funzionalità del servizio possono essere gestite dagli amministratori della directory o del servizio e utilizzate dagli utenti con licenza.Once the subscription is active the service capabilities can be managed by directory/service administrators and used by licensed users. Per altre informazioni, vedere la sezione Come funzionano le licenze di Azure AD?For more information, see How does Azure AD licensing work? Integrazione con altri provider di terze partiIntegration with other 3rd party providers

Azure Active Directory offre autenticazione Single Sign-On e sicurezza avanzata per l'accesso alle applicazioni a migliaia di applicazioni SaaS e di applicazioni Web locali.Azure Active Directory provides single-sign on and enhanced application access security to thousands of SaaS applications and on-premises web applications. Per un elenco dettagliato delle applicazioni SaaS supportate nella raccolta di applicazioni di Azure Active Directory, vedere l'elenco di compatibilità per la federazione di Azure Active Directory: provider di identità di terze parti che possono essere usati per implementare l'accesso Single Sign-OnFor a detailed list of Azure Active Directory application gallery for supported SaaS applications, see Azure Active Directory federation compatibility list: third-party identity providers that can be used to implement single sign-on

Definire la soluzione di gestione della sincronizzazioneDefine synchronization management

L'integrazione delle directory locali con Azure AD rende gli utenti più produttivi in quanto fornisce un'identità comune per accedere alle risorse cloud e locali.Integrating your on-premises directories with Azure AD makes your users more productive by providing a common identity for accessing both cloud and on-premises resources. Con questa integrazione utenti e organizzazioni possono sfruttare i vantaggi seguenti:With this integration users and organizations can take advantage of the following:

  • Le organizzazioni possono fornire agli utenti un'identità ibrida comune per i servizi locali e basati sul cloud sfruttando Windows Server Active Directory per connettersi quindi ad Azure Active Directory.Organizations can provide users with a common hybrid identity across on-premises or cloud-based services leveraging Windows Server Active Directory and then connecting to Azure Active Directory.
  • Gli amministratori possono fornire l'accesso condizionale in base alla risorsa dell'applicazione, al dispositivo e all'identità utente, al percorso di rete e all'autenticazione a più fattori.Administrators can provide conditional access based on application resource, device and user identity, network location and multi-factor authentication.
  • Gli utenti possono fruttare la propria identità comune degli account in Azure AD per Office 365, Intune, app SaaS e applicazioni di terze parti.Users can leverage their common identity through accounts in Azure AD to Office 365, Intune, SaaS apps and third-party applications.
  • Gli sviluppatori possono compilare applicazioni che sfruttano il modello di identità comune, integrando le applicazioni in Active Directory locale o in Azure per le applicazioni basate sul cloud.Developers can build applications that leverage the common identity model, integrating applications into Active Directory on-premises or Azure for cloud-based applications

La figura seguente mostra una panoramica generale del processo di sincronizzazione delle identità.The following figure has an example of a high-level view of identity synchronization process.

Processo di sincronizzazione delle identitàIdentity synchronization process

Esaminare la tabella seguente per un confronto tra le opzioni di sincronizzazione:Review the following table to compare the synchronization options:

Opzione di gestione della sincronizzazioneSynchronization Management Option VantaggiAdvantages Svantaggi:Disadvantages
Basata sulla sincronizzazione (tramite DirSync o AAD Connect)Sync-based (through DirSync or AADConnect) Utenti e gruppi sincronizzati in locale e su cloudUsers,and groups synchronized from on-premises and cloud
Controllo dei criteri: è possibile impostare i criteri degli account tramite Active Directory. L'amministratore può quindi gestire i criteri per le password, le restrizioni per le workstation, i controlli di blocco e altri elementi senza dover eseguire attività aggiuntive nel cloud.Policy control: Account policies can be set through Active Directory, which gives the administrator the ability to manage password policies, workstation,restrictions, lock-out controls, and more, without having to perform additional tasks in the cloud.
Controllo di accesso: l'amministratore può limitare l'accesso al servizio cloud in modo che i servizi siano accessibili tramite l'ambiente aziendale, tramite server online o entrambi.Access control: Can restrict access to the cloud service so that,the services can be accessed through the corporate environment, through online servers, or both.
Diminuzione delle chiamate all'assistenza tecnica: se gli utenti devono ricordare un numero minore di password, è meno probabile che le dimentichino.Reduced support calls: If users have fewer passwords to remember, they are less likely to forget them.
Sicurezza: le identità e le informazioni degli utenti sono protette perché tutti i server e i servizi utilizzati per l'accesso Single Sign-On sono gestiti e controllati in locale.Security: User identities and information are protected because all of the servers and services used in single sign-on,are mastered and controlled on-premises.
Supporto dell'autenticazione avanzata: è possibile usare l'autenticazione avanzata, nota anche come autenticazione a due fattori, con il servizio cloud.Support for strong authentication: You can use strong authentication (also called two-factor authentication) with the cloud service. In tal caso, però, sarà necessario usare l'accesso Single Sign-On.However, if you use strong authentication, you must use single sign-on.
Basata su federazione (tramite AD FS)Federation-based (through AD FS) Abilitata tramite il servizio token di sicurezza.Enabled by Security Token Service (STS). Quando si configura un servizio token di sicurezza per l'accesso Single Sign-On a un servizio Microsoft Cloud, si crea un trust federativo tra il servizio token di sicurezza locale e il dominio federato specificato nel tenant di Azure AD.When you configure an STS to provide single sign-on access with a Microsoft cloud service, you will be creating a federated trust between your on-premises STS and the federated domain you’ve specified in your Azure AD tenant.
Consente agli utenti finali di usare lo stesso set di credenziali per accedere a più risorseAllows end users to use the same set of credentials to obtain access to multiple resources
Gli utenti finali non devono gestire più set di credenziali, ma devono tuttavia fornire le credenziali a ognuna delle risorse partecipanti.end users do not have to maintain multiple sets of credentials. Sono supportati gli scenari B2B e B2C.Yet, the users have to provide their credentials to each one of the participating resources.,B2B and B2C scenarios supported.
Richiede personale specializzato per la distribuzione e la manutenzione di server AD FS locali dedicati.Requires specialized personnel for deployment and maintenance of dedicated on-prem AD FS servers. Sono previste limitazioni per l'uso dell'autenticazione avanzata nel caso in cui si intenda usare AD FS per il servizio token di sicurezza.There are restrictions on the use of strong authentication if you plan to use AD FS for your STS. Per altre informazioni, vedere Configurazione delle opzioni avanzate per AD FS 2.0.For more information, see Configuring Advanced Options for AD FS 2.0.

Vedere ancheSee Also

Panoramica delle considerazioni di progettazioneDesign considerations overview