Configurazione del servizio Single Sign-On in applicazioni non presenti nella raccolta di applicazioni di Azure Active DirectoryConfiguring single sign-on to applications that are not in the Azure Active Directory application gallery

Questo articolo illustra una funzionalità che consente agli amministratori di configurare l'accesso Single Sign-On alle applicazioni non presenti nella raccolta di app di Azure Active Directory senza scrivere codice.This article is about a feature that enables administrators to configure single sign-on to applications not present in the Azure Active Directory app gallery without writing code. Questa funzionalità è stata rilasciata dall'anteprima tecnica il 18 novembre 2015 ed è inclusa in Azure Active Directory Premium.This feature was released from technical preview on November 18th, 2015 and is included in Azure Active Directory Premium. Se si cercano invece indicazioni per gli sviluppatori sull'integrazione delle app personalizzate con Azure AD tramite il codice, vedere Scenari di autenticazione per Azure AD.If you are instead looking for developer guidance on how to integrate custom apps with Azure AD through code, see Authentication Scenarios for Azure AD.

La raccolta di applicazioni di Azure Active Directory offre un elenco di applicazioni che supportano un formato di Single Sign-On con Azure Active Directory, come descritto in questo articolo.The Azure Active Directory application gallery provides a listing of applications that are known to support a form of single sign-on with Azure Active Directory, as described in this article. Dopo aver trovato l'applicazione a cui connettersi, come specialista IT o come integratore di sistemi, è possibile iniziare seguendo le istruzioni dettagliate presentate nel portale di gestione di Azure per abilitare il Single Sign-On.Once you (as an IT specialist or system integrator in your organization) have found the application you want to connect, you can get started by follow the step-by-step instructions presented in the Azure management portal to enable single sign-on.

I clienti con licenze Azure Active Directory Premium ottengono anche le funzionalità aggiuntive seguenti:Customers with Azure Active Directory Premium licenses also get these additional capabilities:

  • Integrazione self-service di qualsiasi applicazione che supporta i provider di identità SAML 2.0 (avviato dal provider di servizi o dal provider di identità)Self-service integration of any application that supports SAML 2.0 identity providers (SP-initiated or IdP-initiated)
  • Integrazione self-service di qualsiasi applicazione Web con una pagina di accesso basata su HTML con SSO basato su passwordSelf-service integration of any web application that has an HTML-based sign-in page using password-based SSO
  • Connessione self-service di applicazioni che usano il protocollo SCIM per il provisioning dell'utente (descritto qui)Self-service connection of applications that use the SCIM protocol for user provisioning (described here)
  • Possibilità di aggiungere collegamenti a qualsiasi applicazione nell'icona di avvio delle app di Office 365 o nel riquadro di accesso di Azure ADAbility to add links to any application in the Office 365 app launcher or the Azure AD access panel

Possono essere incluse le applicazioni SaaS usate ma non ancora caricate nella raccolta di applicazioni di Azure AD, nonché le applicazioni Web di terze parti che l'organizzazione ha distribuito nei server sotto il suo controllo, nel cloud o in locale.This can include not only SaaS applications that you use but have not yet been on-boarded to the Azure AD application gallery, but third-party web applications that your organization has deployed to servers you control, either in the cloud or on-premises.

Queste funzionalità, note anche come modelli di integrazione di app, forniscono punti di connessione basati sugli standard per le app che supportano SAML, SCIM o l'autenticazione basata su moduli e includono opzioni e impostazioni flessibili per assicurare la compatibilità con numerosissime applicazioni.These capabilities, also known as app integration templates, provide standards-based connection points for apps that support SAML, SCIM, or forms-based authentication, and include flexible options and settings for compatibility with a broad number of applications.

Aggiunta di un'applicazione non pubblicataAdding an unlisted application

Per connettere un'applicazione usando un modello di integrazione di app, accedere al portale di gestione di Azure con l'account di amministratore di Azure Active Directory e trovare la sezione Active Directory > [Directory] > Applicazioni, scegliere Aggiungi e quindi Aggiungere un'applicazione dalla raccolta.To connect an application using an app integration template, sign into the Azure management portal using your Azure Active Directory administrator account, and browse to the Active Directory > [Directory] > Applications section, select Add, and then Add an application from the gallery.

Nella raccolta di applicazioni è possibile aggiungere un'applicazione non pubblicata usando la categoria Personalizzata a sinistra oppure selezionando il collegamento Aggiungi un'applicazione non pubblicata visualizzato nei risultati della ricerca, se l'applicazione cercata non è stata trovata.In the app gallery, you can add an unlisted app using the Custom category on the left, or by selecting the Add an unlisted application link that is shown in the search results if your desired app wasn't found. Dopo aver immesso un nome per l'applicazione, è possibile configurare le opzioni di comportamento e Single Sign-On.After entering a Name for your application, you can configure the single sign-on options and behavior.

Suggerimento rapido: come procedura consigliata, usare la funzione di ricerca per verificare se l'applicazione esiste già nella raccolta di applicazioni.Quick tip: As a best practice, use the search function to check to see if the application already exists in the application gallery. Se l'applicazione viene trovata e la relativa descrizione parla di "Single Sign-On", l'applicazione è già supportata per il Single Sign-On federato.If the app is found and its description mentions "single sign on", then the application is already supported for federated single sign-on.

La procedura per l'aggiunta di un'applicazione non pubblicata è molto simile a quella disponibile per le applicazioni preintegrate.Adding an application this way provides a very similar experience to the one available for pre-integrated applications. Per iniziare, selezionare Configura accesso Single Sign-On.To start, select Configure Single Sign-On. Nella schermata successiva sono disponibili le tre opzioni seguenti per la configurazione del Single Sign-On, descritte nelle sezioni successive.The next screen presents the following three options for configuring single sign on, which are described in the following sections.

Single Sign-On di Microsoft Azure ADAzure AD Single Sign-On

Selezionare questa opzione per configurare l'autenticazione basata su SAML per l'applicazione.Select this option to configure SAML-based authentication for the application. Per questa opzione è necessario che l'applicazione supporti SAML 2.0. Prima di continuare è consigliabile raccogliere informazioni sull'uso delle funzionalità SAML dell'applicazione.This requires that the application support SAML 2.0, and you should collect information on how to use the SAML capabilities of the application before continuing. Dopo aver selezionato Avanti, viene richiesto di immettere tre diversi URL corrispondenti agli endpoint SAML per l'applicazione.After selecting Next, you will be prompted to enter three different URLs corresponding to the SAML endpoints for the application.

Si tratta di:These are:

  • URL di accesso (avviato solo da provider di servizi) da cui l'utente accede all'applicazione.Sign On URL (SP-initiated only) – Where the user goes to sign-in to this application. Se l'applicazione è configurata per eseguire l'accesso Single Sign-On avviato dal provider di servizi, quando un utente passa a questo URL, il provider di servizi eseguirà il reindirizzamento necessario ad Azure AD per l'autenticazione e l'accesso dell'utente.If the application is configured to perform service provider-initiated single sign on, then when a user navigates to this URL, the service provider will do the necessary redirection to Azure AD to authenticate and log on the user in. Se questo campo è popolato, Azure AD userà questo URL per avviare l'applicazione da Office 365 e il pannello di accesso di AD Azure.If this field is populated, then Azure AD will use this URL to launch the application from Office 365 and the Azure AD Access Panel. Se questo campo è omesso, Azure AD eseguirà l'accesso Single Sing-On avviato dal provider di identità quando l'app viene avviata da Office 365, dal pannello di accesso di Azure AD o dall'URL di accesso Single Sign-On di Azure AD, che è possibile copiare dalla scheda Dashboard.If this field is ommited, then Azure AD will instead perform identity provider -initiated sign on when the app is launched from Office 365, the Azure AD Access Panel, or from the Azure AD single sign-on URL (copiable from the Dashboard tab).
  • URL dell'autorità di certificazione : l'URL dell'autorità di certificazione deve identificare in modo univoco l'applicazione per cui viene configurato l'accesso Single Sign-On.Issuer URL - The issuer URL should uniquely identify the application for which single sign on is being configured. Si tratta del valore che Azure AD invia all'applicazione come parametro Audience del token SAML e l'applicazione deve convalidarlo.This is the value that Azure AD sends back to application as the Audience parameter of the SAML token, and the application is expected to validate it. Questo valore viene inoltre visualizzato come ID entità in tutti i metadati SAML forniti dall'applicazione.This value also appears as the Entity ID in any SAML metadata provided by the application. Per informazioni dettagliate sui valori ID entità o Audience, controllare la documentazione SAML dell'applicazione.Check the application’s SAML documentation for details on what it's Entity ID or Audience value is. Di seguito è riportato un esempio di come l'URL di Audience viene visualizzato nel token SAML restituito all'applicazione:Below is an example of how the Audience URL appears in the SAML token returned to the application:
    <Subject>
    <NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:unspecificed">chad.smith@example.com</NameID>
        <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer" />
      </Subject>
      <Conditions NotBefore="2014-12-19T01:03:14.278Z" NotOnOrAfter="2014-12-19T02:03:14.278Z">
        <AudienceRestriction>
          <Audience>https://tenant.example.com</Audience>
        </AudienceRestriction>
      </Conditions>
  • URL di risposta : è l'indirizzo a cui l'applicazione prevede di ricevere il token SAML.Reply URL - The reply URL is where the application expects to receive the SAML token. Viene anche definito URL del servizio consumer di asserzione (ACS).This is also referred to as the Assertion Consumer Service (ACS) URL. Per informazioni dettagliate sull'URL ACS o sull'URL di risposta del token SAML, controllare la documentazione SAML dell'applicazione.Check the application’s SAML documentation for details on what its SAML token reply URL or ACS URL is. Dopo averli immessi, fare clic su Avanti per passare alla schermata successiva.After these have been entered, click Next to proceed to the next screen. Questa schermata fornisce informazioni su ciò che è necessario configurare sul lato applicazione in modo che questa accetti un token SAML da Azure AD.This screen provides information about what needs to be configured on the application side to enable it to accept a SAML token from Azure AD.

I valori necessari variano a seconda dell'applicazione. Per informazioni dettagliate, vedere la documentazione SAML dell'applicazione.Which values are required will vary depending on the application, so check the application's SAML documentation for details. L'URL servizio Single Sign-On e l'URL servizio Sign-Out vengono entrambi risolti nello stesso endpoint, ovvero l'endpoint di gestione delle richieste SAML per questa istanza di Azure AD.The Sign-On and Sign-Out service URL both resolve to the same endpoint, which is the SAML request-handling endpoint for your instance of Azure AD. L'URL autorità di certificazione è il valore visualizzato come "Autorità di certificazione" all'interno del token SAML rilasciato all'applicazione.The Issuer URL is the value that appears as the "Issuer" inside the SAML token issued to the application.

Dopo aver configurato l'applicazione, fare clic sul pulsante Avanti e quindi su Operazione completata per chiudere la finestra di dialogo.After your application has been configured, click Next button and then the Complete to close the dialog.

Assegnazione di utenti e gruppi all'applicazione SAMLAssigning users and groups to your SAML application

Dopo aver configurato l'applicazione per l'uso di Azure AD come provider di identità basato su SAML, l'applicazione è quasi pronta per il test.Once your application has been configured to use Azure AD as a SAML-based identity provider, then it is almost ready to test. Come controllo di sicurezza, Azure AD non rilascia un token per l'accesso all'applicazione a meno che l'accesso non sia stato concesso con Azure AD.As a security control, Azure AD will not issue a token allowing them to sign into the application unless they have been granted access using Azure AD. L'accesso può essere concesso direttamente agli utenti o attraverso un gruppo di cui sono membri.Users may be granted access directly, or through a group that they are a member of.

Per assegnare un utente o un gruppo all'applicazione, scegliere il pulsante Assegna utenti .To assign a user or group to your application, click the Assign Users button. Selezionare l'utente o il gruppo da assegnare e quindi fare clic sul pulsante Assegna .Select the user or group you wish to assign, and then select the Assign button.

L'assegnazione consente ad Azure AD di rilasciare un token per l'utente e di visualizzare un riquadro relativo all'applicazione nel riquadro di accesso dell'utente.Assigning a user will allow Azure AD to issue a token for the user, as well as causing a tile for this application to appear in the user's Access Panel. Se l'utente usa Office 365, il riquadro per l'applicazione viene visualizzato anche nell'utilità di avvio applicazioni di Office 365.An application tile will also appear in the Office 365 application launcher if the user is using Office 365.

È possibile caricare un logo icona dell'applicazione usando il pulsante Carica Logo nella scheda Configura dell'applicazione.You can upload a tile logo for the application using the Upload Logo button on the Configure tab for the application.

Personalizzazione delle attestazioni rilasciate nel token SAMLCustomizing the claims issued in the SAML token

Quando un utente esegue l'autenticazione all'applicazione, Azure AD rilascia un token SAML all'applicazione contenente informazioni (o attestazioni) sull'utente che lo identificano in modo univoco.When a user authenticates to the application, Azure AD will issue a SAML token to the app that contains information (or claims) about the user that uniquely identifies them. Per impostazione predefinita sono inclusi il nome utente, l'indirizzo di posta elettronica, il nome e il cognome dell'utente.By default this includes the user's username, email address, first name, and last name.

Le attestazioni inviate all'applicazione nel token SAML possono essere visualizzate o modificate nella scheda Attributi .You can view or edit the claims sent in the SAML token to the application under the Attributes tab.

Esistono due possibili motivi per i quali potrebbe essere necessario modificare le attestazioni rilasciate nel token SAML: •L’applicazione è stata scritta in modo da richiedere un diverso set di URI dell’attestazione o valori dell’attestazione •L’applicazione è stata distribuita in modo da richiedere un’attestazione NameIdentifier diversa dal nome utente (nome principale utente AKA) archiviato in Azure Active Directory.There are two possible reasons why you might need to edit the claims issued in the SAML token: •The application has been written to require a different set of claim URIs or claim values •Your application has been deployed in a way that requires the NameIdentifier claim to be something other than the username (AKA user principal name) stored in Azure Active Directory.

Per informazioni su come aggiungere e modificare attestazioni per questi scenari, vedere l' articolo sulla personalizzazione di attestazioni.For information on how to add and edit claims for these scenarios, check out this article on claims customization.

Test dell'applicazione SAMLTesting the SAML application

Dopo aver configurato il certificato e gli URL SAML in Azure AD e nell'applicazione, assegnato gli utenti o gruppi all'applicazione in Azure ed esaminato le attestazioni, modificandole se necessario, l'utente è pronto per accedere all'applicazione.Once the SAML URLs and certificate have been configured in Azure AD and in the application, users or groups have been assigned to the application in Azure, and the claims have been reviewed and edited if necessary, then the user is ready to sign into the application.

Per il test, è sufficiente usare il riquadro di accesso di Azure AD all'indirizzo https://myapps.microsoft.com per eseguire l'accesso usando un account utente assegnato all'applicazione e quindi fare clic sul riquadro per l'applicazione per avviare il processo Single Sign-On.To test, simply sign-into the Azure AD access panel at https://myapps.microsoft.com using a user account you assigned to the application, and then click on the tile for the application to kick off the single sign-on process. In alternativa, è possibile passare direttamente all'URL Single Sign-On per l'applicazione ed eseguire l'accesso da lì.Alternately, you can browse directly to the Sign-On URL for the application and sign-in from there.

Per suggerimenti relativi al debug, vedere questo articolo su come eseguire il debug di applicazioni Single Sign-On basate su SAMLFor debugging tips, see this article on how to debug SAML-based single sign-on to applications

Password Single Sign-OnPassword Single Sign-On

Selezionare questa opzione per configurare il Single Sign-On basato su password per un'applicazione Web con una pagina di accesso HTML.Select this option to configure password-based single sign-on for a web application that has an HTML sign-in page. L'SSO basato su password, definito anche insieme di credenziali delle password, consente di gestire l'accesso degli utenti e le password per le applicazioni Web che non supportano la federazione delle identità.Password-based SSO, also referred to as password vaulting, enables you to manage user access and passwords to web applications that don't support identity federation. Risulta utile anche negli scenari in cui più utenti devono condividere un unico account, ad esempio agli account di app di social media dell'organizzazione.It is also useful for scenarios where several users need to share a single account, such as to your organization's social media app accounts.

Dopo aver selezionato Avanti, viene richiesto di immettere l'URL della pagina di accesso basata sul Web dell'applicazione.After selecting Next, you will be prompted to enter the URL of the application's web-based sign-in page. Questa deve essere la pagina che include i campi di input per nome utente e password.Note that this must be the page that includes the username and password input fields. Dopo l'immissione, Azure AD avvia un processo di analisi della pagina di accesso per cercare un nome utente e una password immessi.Once entered, Azure AD starts a process to parse the sign-in page for a username input and a password input. Se il processo non riesce, viene avviato un processo alternativo per installare un'estensione del browser (richiede Internet Explorer, Chrome o Firefox) che consente di acquisire manualmente i campi.If the process is not successful, then it guides you through an alternate process of installing a browser extension (requires Internet Explorer, Chrome, or Firefox) that will allow you to manually capture the fields.

Dopo che la pagina di accesso è stata acquisita, è possibile assegnare utenti e gruppi ed è possibile impostare le credenziali come nelle normali app di SSO basato su password.Once the sign-in page is captured, users and groups may be assigned and credential policies can be set just like regular password SSO apps.

Nota: è possibile caricare un logo icona dell'applicazione usando il pulsante Carica Logo nella scheda Configura dell'applicazione.Note: You can upload a tile logo for the application using the Upload Logo button on the Configure tab for the application.

Single Sign-On esistenteExisting Single Sign-On

Selezionare questa opzione per aggiungere un collegamento a un'applicazione nel riquadro di accesso di Azure AD o nel portale di Office 365 dell'organizzazione.Select this option to add a link to an application to your organization's Azure AD Access Panel or Office 365 portal. È possibile usare questa opzione per aggiungere collegamenti ad app Web personalizzate che usano Active Directory Federation Services di Azure (o un altro servizio federativo) anziché Azure AD per l'autenticazione.You can use this to add links to custom web apps that currently use Azure Active Directory Federation Services (or other federation service) instead of Azure AD for authentication. In alternativa, è possibile aggiungere collegamenti diretti a pagine specifiche di SharePoint o ad altre pagine Web da visualizzare nei riquadri di accesso dell'utente.Or, you can add deep links to specific SharePoint pages or other web pages that you just want to appear on your user's Access Panels.

Dopo aver selezionato Avanti, viene richiesto di immettere l'URL dell'applicazione da collegare.After selecting Next, you will be prompted to enter the URL of the application to link to. Al termine sarà possibile assegnare utenti e gruppi all'applicazione e questa verrà visualizzata nell'icona di avvio delle app di Office 365 o nel riquadro di accesso di Azure AD per tali utenti.Once completed, users and groups may be assigned to the application, which causes the application to appear in the Office 365 app launcher or the Azure AD access panel for those users.

Nota: è possibile caricare un logo icona dell'applicazione usando il pulsante Carica Logo nella scheda Configura dell'applicazione.Note: You can upload a tile logo for the application using the Upload Logo button on the Configure tab for the application.