Configurare il servizio Single Sign-On in applicazioni non presenti nella raccolta di applicazioni di Azure Active DirectoryConfigure single sign-on to applications that are not in the Azure Active Directory application gallery

Questo articolo illustra una funzionalità che consente agli amministratori di configurare l'accesso Single Sign-On alle applicazioni non presenti nella raccolta di app di Azure Active Directory senza scrivere codice.This article is about a feature that enables administrators to configure single sign-on to applications not present in the Azure Active Directory app gallery without writing code. Questa funzionalità è stata rilasciata dall'anteprima tecnica il 18 novembre 2015 ed è inclusa in Azure Active Directory Premium.This feature was released from technical preview on November 18, 2015 and is included in Azure Active Directory Premium. Se si cercano invece indicazioni per gli sviluppatori sull'integrazione delle app personalizzate con Azure AD tramite il codice, vedere Scenari di autenticazione per Azure AD.If you are instead looking for developer guidance on how to integrate custom apps with Azure AD through code, see Authentication Scenarios for Azure AD.

La raccolta di applicazioni di Azure Active Directory offre un elenco di applicazioni che supportano un formato di Single Sign-On con Azure Active Directory, come descritto in questo articolo.The Azure Active Directory application gallery provides a listing of applications that are known to support a form of single sign-on with Azure Active Directory, as described in this article. Dopo aver trovato l'applicazione a cui connettersi, come specialista IT o come integratore di sistemi, è possibile iniziare seguendo le istruzioni dettagliate presentate nel portale di Azure per abilitare l'accesso Single Sign-On.Once you (as an IT specialist or system integrator in your organization) have found the application you want to connect, you can get started by following the step-by-step instructions presented in the Azure portal to enable single sign-on.

I clienti con licenza Azure Active Directory Premium ottengono anche le funzionalità aggiuntive seguenti:Customers with Azure Active Directory Premium license also get these additional capabilities:

  • Integrazione self-service di qualsiasi applicazione che supporta i provider di identità SAML 2.0 (avviato dal provider di servizi o dal provider di identità)Self-service integration of any application that supports SAML 2.0 identity providers (SP-initiated or IdP-initiated)
  • Integrazione self-service di qualsiasi applicazione Web con una pagina di accesso basata su HTML con SSO basato su passwordSelf-service integration of any web application that has an HTML-based sign-in page using password-based SSO
  • Connessione self-service di applicazioni che usano il protocollo SCIM per il provisioning dell'utente (descritto qui)Self-service connection of applications that use the SCIM protocol for user provisioning (described here)
  • Possibilità di aggiungere collegamenti a qualsiasi applicazione nell'icona di avvio delle app di Office 365 o nel riquadro di accesso di Azure ADAbility to add links to any application in the Office 365 app launcher or the Azure AD access panel

Possono essere incluse le applicazioni SaaS usate ma non ancora caricate nella raccolta di applicazioni di Azure AD, nonché le applicazioni Web di terze parti che l'organizzazione ha distribuito nei server sotto il suo controllo, nel cloud o in locale.This can include not only SaaS applications that you use but have not yet been on-boarded to the Azure AD application gallery, but third-party web applications that your organization has deployed to servers you control, either in the cloud or on-premises.

Queste funzionalità, note anche come modelli di integrazione di app, forniscono punti di connessione basati sugli standard per le app che supportano SAML, SCIM o l'autenticazione basata su moduli e includono opzioni e impostazioni flessibili per assicurare la compatibilità con numerosissime applicazioni.These capabilities, also known as app integration templates, provide standards-based connection points for apps that support SAML, SCIM, or forms-based authentication, and include flexible options and settings for compatibility with a broad number of applications.

Aggiunta di un'applicazione non pubblicataAdding an unlisted application

Per connettere un'applicazione usando un modello di integrazione app, accedere al portale di Azure con l'account di amministratore di Azure Active Directory.To connect an application using an app integration template, sign in to the Azure portal using your Azure Active Directory administrator account. Passare alla sezione Azure Active Directory > Applicazioni aziendali > Nuova applicazione > Applicazione non nella raccolta e selezionare Aggiungi, quindi Aggiungere un'applicazione dalla raccolta.Browse to the Active Directory > Enterprise Applications > New application > Non-gallery application section, select Add, and then Add an application from the gallery.

Nella raccolta di applicazioni è possibile aggiungere un'applicazione non pubblicata selezionando il riquadro Applicazione non nella raccolta visualizzato nei risultati della ricerca, se l'applicazione cercata non è stata trovata.In the app gallery, you can add an unlisted app by selecting the Non-gallery application tile that is shown in the search results if your desired app wasn't found. Dopo aver immesso un nome per l'applicazione, è possibile configurare le opzioni di comportamento e Single Sign-On.After entering a Name for your application, you can configure the single sign-on options and behavior.

Suggerimento rapido: come procedura consigliata, usare la funzione di ricerca per verificare se l'applicazione esiste già nella raccolta di applicazioni.Quick tip: As a best practice, use the search function to check to see if the application already exists in the application gallery. Se l'applicazione viene trovata e la relativa descrizione indica Single Sign-On, l'applicazione è già supportata per l'accesso Single Sign-On federato.If the app is found and its description mentions single sign-on, then the application is already supported for federated single sign-on.

La procedura per l'aggiunta di un'applicazione non pubblicata è simile a quella disponibile per le applicazioni preintegrate.Adding an application this way provides a similar experience to the one available for pre-integrated applications. Per iniziare, selezionare Configura Single Sign-On o fare clic su Single Sign-On nel menu di spostamento di sinistra dell'applicazione.To start, select Configure Single Sign-On or click on Single sign-on from the application’s left-hand navigation menu. Nella schermata successiva sono disponibili le opzioni per la configurazione del singolo punto di accesso.The next screen presents the options for configuring single sign-on. Queste opzioni vengono descritte nelle sezioni successione di questo articolo.The options are described in the next sections of this article.

Accesso Single Sign-On basato su SAMLSAML-based single sign-on

Selezionare questa opzione per configurare l'autenticazione basata su SAML per l'applicazione.Select this option to configure SAML-based authentication for the application. Per questa opzione è necessario che l'applicazione supporti SAML 2.0.This requires that the application support SAML 2.0. Prima di continuare è consigliabile raccogliere informazioni sull'uso delle funzionalità SAML dell'applicazione.You should collect information on how to use the SAML capabilities of the application before continuing. Completare le sezioni seguenti per configurare Single Sign-On tra Azure AD e l'applicazione.Complete the following sections to configure single sign-on between the application and Azure AD.

Immettere la configurazione SAML di baseEnter basic SAML configuration

Per configurare Azure AD, immettere la configurazione SAML di base.To set up Azure AD, enter the basic SAML configuration. È possibile immettere manualmente i valori o caricare un file di metadati per estrarre il valore dei campi.You can manually enter the values or upload a metadata file to extract the value of the fields.

URL e dominio di Litware

  • URL di accesso (avviato solo da provider di servizi) da cui l'utente accede all'applicazione.Sign On URL (SP-initiated only) – Where the user goes to sign-in to this application. Se l'applicazione è configurata per eseguire l'accesso Single Sign-On avviato dal provider di servizi, quando un utente passa a questo URL, il provider di servizi eseguirà il reindirizzamento necessario ad Azure Active Directory per l'autenticazione e l'accesso dell'utente.If the application is configured to perform service provider-initiated single sign-on, then when a user navigates to this URL, the service provider will do the necessary redirection to Azure AD to authenticate and log on the user in. Se questo campo è popolato, Azure AD userà questo URL per avviare l'applicazione da Office 365 e il pannello di accesso di AD Azure.If this field is populated, then Azure AD will use this URL to launch the application from Office 365 and the Azure AD Access Panel. Se questo campo è omesso, Azure Active Directory eseguirà l'accesso Single Sing-On avviato dal provider di identità quando l'app viene avviata da Office 365, dal pannello di accesso di Azure AD o dall'URL di accesso Single Sign-On di Azure Active Directory, che è possibile copiare dalla scheda Dashboard.If this field is omitted, then Azure AD will instead perform identity provider -initiated sign-on when the app is launched from Office 365, the Azure AD Access Panel, or from the Azure AD single sign-on URL (copyable from the Dashboard tab).
  • Identificatore: deve identificare in modo univoco l'applicazione per cui viene configurato l'accesso Single Sign-On.Identifier - should uniquely identify the application for which single sign-on is being configured. È possibile trovare questo valore come elemento di autorità di certificazione in AuthRequest (richiesta SAML) inviato dall'applicazione.You can find this value as the Issuer element in the AuthRequest (SAML request) sent by the application. Questo valore viene inoltre visualizzato come ID entità in tutti i metadati SAML forniti dall'applicazione.This value also appears as the Entity ID in any SAML metadata provided by the application. Per informazioni dettagliate sui valori di ID entità o Audience, controllare la documentazione SAML dell'applicazione.Check the application’s SAML documentation for details on what its Entity ID or Audience value is.

    Di seguito è riportato un esempio di come l'identificatore o l'autorità di certificazione viene visualizzato nella richiesta SAML inviata dall'applicazione ad Azure AD:The following is an example of how the Identifier or Issuer appears in the SAML request sent by the application to Azure AD:

    <samlp:AuthnRequest
    xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
    ID="id6c1c178c166d486687be4aaf5e482730"
    Version="2.0" IssueInstant="2013-03-18T03:28:54.1839884Z"
    xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
    <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">https://www.contoso.com</Issuer>
    </samlp:AuthnRequest>
    
  • URL di risposta : è l'indirizzo a cui l'applicazione prevede di ricevere il token SAML.Reply URL - The reply URL is where the application expects to receive the SAML token. Viene anche definito URL del servizio consumer di asserzione (ACS).This is also referred to as the Assertion Consumer Service (ACS) URL. Per informazioni dettagliate sull'URL ACS o sull'URL di risposta del token SAML, controllare la documentazione SAML dell'applicazione.Check the application’s SAML documentation for details on what its SAML token reply URL or ACS URL is.

    Per configurare più replyURL, è possibile usare il seguente script PowerShell.To configure multiple replyURLs you can use the following PowerShell script.

    $sp = Get-AzureADServicePrincipal -SearchString "<Exact App  name>"
    $app = Get-AzureADApplication -SearchString "<Exact app name>"
    Set-AzureADApplication -ObjectId $app.ObjectId -ReplyUrls "<ReplyURLs>"
    Set-AzureADServicePrincipal -ObjectId $sp.ObjectId -ReplyUrls "<ReplyURLs>"
    

Per altre informazioni, vedere Protocollo SAML per Single Sign-OnFor more information, see SAML 2.0 authentication requests and responses that Azure Active Directory (Azure AD) supports

Esaminare o personalizzare le attestazioni rilasciate nel token SAMLReview or customize the claims issued in the SAML token

Quando un utente esegue l'autenticazione all'applicazione, Azure AD rilascia un token SAML all'applicazione contenente informazioni (o attestazioni) sull'utente che lo identificano in modo univoco.When a user authenticates to the application, Azure AD will issue a SAML token to the app that contains information (or claims) about the user that uniquely identifies them. Per impostazione predefinita sono inclusi il nome utente, l'indirizzo di posta elettronica, il nome e il cognome dell'utente.By default this includes the user's username, email address, first name, and last name.

Le attestazioni inviate all'applicazione nel token SAML possono essere visualizzate o modificate nella scheda Attributi .You can view or edit the claims sent in the SAML token to the application under the Attributes tab.

I due motivi per cui potrebbe essere necessario modificare le attestazioni rilasciate nel token SAML sono i seguenti:There are two reasons why you might need to edit the claims issued in the SAML token:

  • L'applicazione è stata scritta per richiedere un set di URI attestazione o di valori attestazione diverso.The application has been written to require a different set of claim URIs or claim values.
  • L'applicazione è stata distribuita in modo da richiedere un'attestazione NameIdentifier diversa dal nome utente (nome dell'entità utente AKA) archiviato in Azure Active Directory.Your application has been deployed in a way that requires the NameIdentifier claim to be something other than the username (AKA user principal name) stored in Azure Active Directory.

Per altre informazioni, vedere Personalizzazione delle attestazioni rilasciate nel token SAML per le applicazioni aziendali in Azure Active Directory.For more information, see Customizing claims issued in the SAML token for enterprise applications.

Esaminare la data di scadenza del certificato, lo stato e la notifica tramite posta elettronica.Review certificate expiration data, status, and email notification

Quando si crea un'applicazione nella raccolta o non nella raccolta, Azure AD crea un certificato specifico dell'applicazione con una data di scadenza di tre anni a partire dalla data di creazione.When you create a Gallery or a Non-Gallery application, Azure AD will create an application-specific certificate with an expiration date of 3 years from the date of creation. Per configurare il trust tra Azure AD e l'applicazione, è necessario questo certificato.You need this certificate to set up the trust between Azure AD and the application. Per informazioni dettagliate sul formato del certificato, vedere la documentazione sul protocollo SAML dell'applicazione.For details on the certificate format, see the application’s SAML documentation.

Da Azure AD è possibile scaricare il certificato in formato non elaborato o Base64.From Azure AD, you can download the certificate in Base64 or Raw format. È possibile ottenere il certificato anche scaricando il file XML dei metadati dell'applicazione o usando l'URL dei metadati della federazione dell'app.In addition, you can get the certificate by downloading the application metadata XML file or by using the App federation metadata URL.

Certificate

Verificare che il certificato abbia:Verify the certificate has:

  • La data di scadenza desiderata.The desired expiration date. È possibile configurare la data di scadenza per un periodo massimo di tre anni.You can configure the expiration date for at most 3 years.
  • Lo stato attivo.A status of active. Se lo stato è inattivo, modificarlo in attivo.If the status is inactive, change the status to active. Per modificare lo stato, selezionare Attivo e quindi salvare la configurazione.To change the status, check Active and then save the configuration.
  • Il messaggio di notifica corretto.The correct notification email. Quando la data del certificato attivo si avvicina alla scadenza, Azure AD invierà una notifica all'indirizzo di posta elettronica configurato in questo campo.When the active certificate is near the expiration date, Azure AD will send a notification to the email address configured in this field.

Per altre informazioni, vedere Gestione di certificati per accesso Single Sign-On federato in Azure Active Directory.For more information, see Manage certificates for federated single sign-on in Azure Active Directory.

Configurare l'applicazione di destinazioneSet up target application

Per configurare l'applicazione per un singolo punto di accesso, vedere la documentazione dell'applicazione.To configure the application for single sign-on, locate the application's documentation. Per trovare la documentazione, eseguire lo scorrimento fino alla fine della pagina di configurazione di accesso basato su SAML e quindi fare clic su Configura .To find the documentation, scroll to the end of the SAML-based sign-on configuration page, and then click on Configure .

I valori richiesti variano in base all'applicazione.The required values vary according to the application. Per informazioni dettagliate, vedere la documentazione sul protocollo SAML dell'applicazione.For details, see the application's SAML documentation. L'URL servizio Single Sign-On e l'URL servizio Sign-Out vengono entrambi risolti nello stesso endpoint, ovvero l'endpoint di gestione delle richieste SAML per questa istanza di Azure AD.The Sign-On and Sign-Out service URL both resolve to the same endpoint, which is the SAML request-handling endpoint for your instance of Azure AD. L'ID di entità SAML è il valore visualizzato come Autorità di certificazione nel token SAML rilasciato all'applicazione.The SAML Entity ID is the value that appears as the Issuer in the SAML token that is issued to the application.

Assegnare gli utenti e i gruppi all'applicazione SAMLAssign users and groups to your SAML application

Dopo aver configurato l'applicazione per l'uso di Azure AD come provider di identità basato su SAML, l'applicazione è quasi pronta per il test.Once your application has been configured to use Azure AD as a SAML-based identity provider, then it is almost ready to test. Come controllo di sicurezza, Azure AD non rilascia un token che consente all'utente di accedere all'applicazione, a meno che Azure AD non abbia concesso l'accesso all'utente.As a security control, Azure AD will not issue a token allowing a user to sign into the application unless Azure AD has granted access to the user. Agli utenti l'accesso può essere concesso direttamente o tramite un gruppo di appartenenza.Users may be granted access directly, or through a group membership.

Per assegnare un utente o un gruppo all'applicazione, scegliere il pulsante Assegna utenti .To assign a user or group to your application, click the Assign Users button. Selezionare l'utente o il gruppo da assegnare e quindi fare clic sul pulsante Assegna .Select the user or group you wish to assign, and then select the Assign button.

L'assegnazione di un utente consentirà ad Azure AD di emettere un token per l'utente.Assigning a user will allow Azure AD to issue a token for the user. Inoltre viene visualizzato un riquadro per l'applicazione nel pannello di accesso dell'utente.It also causes a tile for this application to appear in the user's Access Panel. Se l'utente usa Office 365, il riquadro per l'applicazione viene visualizzato anche nell'utilità di avvio applicazioni di Office 365.An application tile will also appear in the Office 365 application launcher if the user is using Office 365.

Nota

È possibile caricare un logo icona dell'applicazione usando il pulsante Carica Logo nella scheda Configura dell'applicazione.You can upload a tile logo for the application using the Upload Logo button on the Configure tab for the application.

Testare l'applicazione SAMLTest the SAML application

Prima di eseguire il test dell'applicazione SAML, è necessario configurare l'applicazione con Azure AD e gli utenti o i gruppi assegnati all'applicazione.Before testing the SAML application, you must have set up the application with Azure AD, and assigned users or groups to the application. Per eseguire il test dell'applicazione SAML vedere Informazioni su come eseguire il debug di Single Sign-On basato su SAML per applicazioni in Azure Active Directory.To test the SAML application, see How to debug SAML-based single sign-on to applications in Azure Active Directory.

Password Single Sign-OnPassword single sign-on

Selezionare questa opzione per configurare il Single Sign-On basato su password per un'applicazione Web con una pagina di accesso HTML.Select this option to configure password-based single sign-on for a web application that has an HTML sign-in page. L'SSO basato su password, definito anche insieme di credenziali delle password, consente di gestire l'accesso degli utenti e le password per le applicazioni Web che non supportano la federazione delle identità.Password-based SSO, also referred to as password vaulting, enables you to manage user access and passwords to web applications that don't support identity federation. Risulta utile anche negli scenari in cui più utenti devono condividere un unico account, ad esempio agli account di app di social media dell'organizzazione.It is also useful for scenarios where several users need to share a single account, such as to your organization's social media app accounts.

Dopo aver selezionato Avanti, viene richiesto di immettere l'URL della pagina di accesso basata sul Web dell'applicazione.After selecting Next, you will be prompted to enter the URL of the application's web-based sign-in page. Questa deve essere la pagina che include i campi di input per nome utente e password.Note that this must be the page that includes the username and password input fields. Dopo l'immissione, Azure AD avvia un processo di analisi della pagina di accesso per cercare un nome utente e una password immessi.Once entered, Azure AD starts a process to parse the sign-in page for a username input and a password input. Se il processo non riesce, viene avviato un processo alternativo per installare un'estensione del browser (richiede Internet Explorer, Chrome o Firefox) che consente di acquisire manualmente i campi.If the process is not successful, then it guides you through an alternate process of installing a browser extension (requires Internet Explorer, Chrome, or Firefox) that will allow you to manually capture the fields.

Dopo che la pagina di accesso è stata acquisita, è possibile assegnare utenti e gruppi ed è possibile impostare le credenziali come nelle normali app di SSO basato su password.Once the sign-in page is captured, users and groups may be assigned and credential policies can be set just like regular password SSO apps.

Nota

È possibile caricare un logo icona dell'applicazione usando il pulsante Carica Logo nella scheda Configura dell'applicazione.You can upload a tile logo for the application using the Upload Logo button on the Configure tab for the application.

Single Sign-On esistenteExisting single sign-on

Selezionare questa opzione per aggiungere un collegamento a un'applicazione nel riquadro di accesso di Azure AD o nel portale di Office 365 dell'organizzazione.Select this option to add a link to an application to your organization's Azure AD Access Panel or Office 365 portal. È possibile usare questa opzione per aggiungere collegamenti ad app Web personalizzate che usano Active Directory Federation Services di Azure (o un altro servizio federativo) anziché Azure AD per l'autenticazione.You can use this to add links to custom web apps that currently use Azure Active Directory Federation Services (or other federation service) instead of Azure AD for authentication. In alternativa, è possibile aggiungere collegamenti diretti a pagine specifiche di SharePoint o ad altre pagine Web da visualizzare nei riquadri di accesso dell'utente.Or, you can add deep links to specific SharePoint pages or other web pages that you just want to appear on your user's Access Panels.

Dopo aver selezionato Avanti, viene richiesto di immettere l'URL dell'applicazione da collegare.After selecting Next, you will be prompted to enter the URL of the application to link to. Al termine sarà possibile assegnare utenti e gruppi all'applicazione e questa verrà visualizzata nell'icona di avvio delle app di Office 365 o nel riquadro di accesso di Azure AD per tali utenti.Once completed, users and groups may be assigned to the application, which causes the application to appear in the Office 365 app launcher or the Azure AD access panel for those users.

Nota

È possibile caricare un logo icona dell'applicazione usando il pulsante Carica Logo nella scheda Configura dell'applicazione.You can upload a tile logo for the application using the Upload Logo button on the Configure tab for the application.