Condivisione di account con Azure ADSharing accounts with Azure AD

PanoramicaOverview

Le organizzazioni devono usare un singolo nome e una singola password per più utenti nei due casi descritti di seguito:Sometimes organizations need to use a single username and password for multiple people, which typically happens in two cases:

  • Quando si accede alle applicazioni che richiedono account di accesso e password univoci per ogni utente, in caso di app locali o servizi cloud di livello consumer (ad esempio, gli account aziendali di social media).When accessing applications that require a unique sign in and password for each user, whether on-premises apps or consumer cloud services (for example, corporate social media accounts).
  • Quando si creano ambienti multiutente.When creating multi-user environments. Potrebbe essere presente un singolo account locale che dispone di privilegi elevati che viene usato per attività di base, ad esempio installazione, amministrazione e ripristino.You might have a single, local account that has elevated privileges and is used to do core setup, administration, and recovery activities. Ad esempio, l'account locale "amministratore globale" per Office 365 o l'account radice in Salesforce.For example, the local "global administrator" account for Office 365 or the root account in Salesforce.

In genere, questi account possono essere condivisi distribuendo le credenziali (nome utente/password) agli individui appropriati o archiviandoli in un percorso condiviso a cui possono accedere più agenti attendibili.Traditionally, these accounts are shared by distributing the credentials (username and password) to the right individuals or storing them in a shared location where multiple trusted agents can access them.

Il modello di condivisione tradizionale presenta vari svantaggi:The traditional sharing model has several drawbacks:

  • L'abilitazione dell'accesso alle nuove applicazioni richiede di distribuire le credenziali a tutti gli utenti che necessitano dell'accesso.Enabling access to new applications requires you to distribute credentials to everyone that needs access.
  • Ogni applicazione condivisa potrebbe richiedere un proprio set univoco di credenziali condivise, che comporta la necessità da parte degli utenti di memorizzare più set di credenziali.Each shared application may require its own unique set of shared credentials, requiring users to remember multiple sets of credentials. Quando gli utenti devono ricordare molte credenziali, aumenta il rischio che incorrano in attività rischioseWhen users have to remember many credentials, the risk increases that they resort to risky practices. (ad esempio annotare le password).(for example, writing down passwords).
  • Non è possibile individuare gli utenti che dispongono dell'accesso a un'applicazione.You can't tell who has access to an application.
  • Non è possibile individuare gli utenti che hanno effettuato l'accesso a un'applicazione.You can't tell who has accessed an application.
  • Per rimuovere l'accesso a un'applicazione, è necessario aggiornare le credenziali e distribuirle nuovamente a tutti gli utenti che richiedono l'accesso a tale applicazione.When you want to remove access to an application, you have to update the credentials and redistribute them to everyone that needs access to that application.

Condivisione account di Azure Active DirectoryAzure Active Directory account sharing

Azure AD fornisce un nuovo approccio all'uso degli account condivisi che consente di eliminare questi svantaggi.Azure AD provides a new approach to using shared accounts that eliminates these drawbacks.

L'amministratore di Azure AD consente di configurare le applicazioni alle quali un utente può accedere usando il pannello di accesso e scegliendo il tipo di accesso Single Sign-On più adatto all'applicazione.The Azure AD administrator configures which applications a user can access by using the Access Panel and choosing the type of single sign-on best suited for that application. Uno di questi tipi, l'accesso Single Sign-On basato su password, consente ad Azure AD di agire come una sorta di broker durante il processo di accesso a tale app.One of those types, password-based single-sign on, lets Azure AD act as a kind of "broker" during the sign-on process for that app.

Gli utenti accedono una volta con l'account aziendale.Users log in once with their organizational account. Si tratta dello stesso account che usano regolarmente per accedere al desktop o alla posta elettronica.This account is the same one they regularly use to access their desktop or email. Possono individuare e accedere solo alle applicazioni a cui sono assegnati.They can discover and access only those applications that they are assigned to. Con gli account condivisi, questo elenco di applicazioni può includere qualsiasi numero di credenziali condivise.With shared accounts, this list of applications can include any number of shared credentials. L'utente finale non deve ricordare o annotare i vari account in uso.The end-user doesn't need to remember or write down the various accounts they might be using.

Gli account condivisi non solo consentono di aumentare la supervisione e migliorare l'usabilità, ma anche di aumentare la sicurezza.Shared accounts not only increase oversight and improve usability, they also enhance your security. Gli utenti con autorizzazioni per l'uso delle credenziali non visualizzano la password condivisa, ma ottengono autorizzazioni per l'uso della password come parte di un flusso di autenticazione orchestrato.Users with permissions to use the credentials don't see the shared password, but rather get permissions to use the password as part of an orchestrated authentication flow. Inoltre, alcune applicazioni con accesso Single Sign-On con password offrono la possibilità di usare Azure AD per eseguire il rollover periodico (aggiornamento) delle password.Further, some password SSO applications give you the option of using Azure AD to periodically rollover (update) passwords. Il sistema usa le password complesse di grandi dimensioni e ciò incrementa la sicurezza dell'account.The system uses large, complex passwords, which increases account security. L'amministratore può facilmente concedere o revocare l'accesso a un'applicazione e può sapere chi può accedere all'account e chi ha avuto accesso in precedenza.The administrator can easily grant or revoke access to an application, knows who has access to the account, and who has accessed it in the past.

Azure AD supporta gli account condivisi per gli utenti con licenza Enterprise Mobility Suite (EMS), Premium o Basic, in tutti i tipi di applicazioni con accesso Single Sign-On basato su password.Azure AD supports shared accounts for any Enterprise Mobility Suite (EMS), Premium, or Basic licensed users, across all types of password single sign-on applications. È possibile condividere gli account per una qualsiasi delle numerose applicazioni già integrate nella raccolta e integrare la propria applicazione con autenticazione tramite password in app personalizzate con accesso Single Sign-On.You can share accounts for any of thousands of pre-integrated applications in the application gallery and can add your own password-authenticating application with custom SSO apps.

Le funzionalità di Azure AD che consentono la condivisione di account includono:Azure AD features that enable account sharing include:

Condivisione di un accountSharing an account

Per usare Azure AD per la condivisione di un account è necessario:To use Azure AD to share an account, you need to:

Mediante Azure AD è possibile rendere l'account condiviso più sicuro tramite Multi-Factor Authentication (MFA) (altre informazioni sulla sicurezza delle applicazioni con Azure AD) ed è possibile delegare la capacità di gestire chi deve avere accesso all'applicazione mediante la gestione dei gruppi in modalità self-service di Azure AD.You can also make your shared account more secure with Multi-Factor Authentication (MFA) (learn more about securing applications with Azure AD) and you can delegate the ability to manage who has access to the application using Azure AD Self-service Group Management.