Gestione di certificati per accesso Single Sign-On federato in Azure Active DirectoryManage certificates for federated single sign-on in Azure Active Directory

Questo articolo tratta domande comuni e informazioni relative ai certificati creati da Azure Active Directory (Azure AD) per stabilire l'accesso Single Sign-On federato (SSO) alle applicazioni SaaS.This article covers common questions and information related to the certificates that Azure Active Directory (Azure AD) creates to establish federated single sign-on (SSO) to your SaaS applications. Queste applicazioni possono essere aggiunte dalla raccolta di app di Azure AD o usando il modello di applicazione non inclusa nella raccolta.Add applications from the Azure AD app gallery or by using a non-gallery application template. Configurare l'applicazione utilizzando l'opzione di SSO federato.Configure the application by using the federated SSO option.

Questo articolo è applicabile solo alle app configurate per l'uso dell'accesso SSO di Microsoft Azure AD tramite la federazione SAML, come illustrato nell'esempio seguente:This article is relevant only to apps that are configured to use Azure AD SSO through SAML federation, as shown in the following example:

Single Sign-On di Microsoft Azure AD

Se si aggiunge una nuova applicazione dalla raccolta e si configura l'accesso basato su SAML, Azure AD genera un certificato dalla validità di tre anni per l'applicazione.When you add a new application from the gallery and configure a SAML-based sign-on, Azure AD generates a certificate for the application that is valid for three years. È possibile scaricare questo certificato dalla sezione Certificato di firma SAML.You can download this certificate from the SAML Signing Certificate section. Per le applicazioni incluse nella raccolta, in questa sezione può apparire un'opzione di download del certificato o dei metadati, in base al requisito dell'applicazione.For gallery applications, this section might show an option to download the certificate or metadata, depending on the requirement of the application.

Accesso Single Sign-On di Azure AD

Personalizzare la data di scadenza per il certificato di federazione ed eseguire il rollover di un nuovo certificatoCustomize the expiration date for your federation certificate and roll it over to a new certificate

Per impostazione predefinita, i certificati sono impostati in modo da scadere dopo tre anni.By default, certificates are set to expire after three years. È possibile scegliere una data di scadenza diversa per il certificato eseguendo i passaggi descritti di seguito.You can choose a different expiration date for your certificate by completing the following steps. Le schermate usano Salesforce per le finalità dell'esempio, ma questi passaggi possono essere applicati a qualsiasi app SaaS federata.The screenshots use Salesforce for the sake of example, but these steps can apply to any federated SaaS app.

  1. Nel portale di Azure, fare clic su applicazione Enterprise nel riquadro sinistro e quindi fare clic su Nuova applicazione nella pagina Panoramica:In the Azure portal, click Enterprise application in the left pane and then click New application on the Overview page:

    Aprire la configurazione guidata di SSO

  2. Cercare l'applicazione inclusa nella raccolta e quindi selezionarla per aggiungerla.Search for the gallery application and then select the application that you want to add. Se non si riesce a trovare l'applicazione richiesta, aggiungere l'applicazione usando l'opzione Applicazione non nella raccolta.If you cannot find the required application, add the application by using the Non-gallery application option. Questa funzionalità è disponibile solo nello SKU di Azure AD Premium (P1 e P2).This feature is available only in the Azure AD Premium (P1 and P2) SKU.

    Accesso Single Sign-On di Azure AD

  3. Fare clic sul collegamento Single Sign-On nel riquadro a sinistra e modificare la modalità di accesso Single Sign-On in Accesso basato su SAML.Click the Single sign-on link in the left pane and change Single Sign-on Mode to SAML-based Sign-on. Questo passaggio genera un certificato valido tre anni per l'applicazione.This step generates a three-year certificate for your application.

  4. Per creare un nuovo certificato, fare clic sul collegamento Crea nuovo certificato nella sezione Certificato di firma SAML.To create a new certificate, click the Create new certificate link in the SAML Signing Certificate section.

    Genera un nuovo certificato

  5. Il collegamento Crea un nuovo certificato apre il controllo del calendario.The Create a new certificate link opens the calendar control. È possibile impostare data e ora fino a tre anni dalla data corrente.You can set any date and time up to three years from the current date. La data e l'ora selezionate e sono la data e l'ora di scadenza del nuovo certificato.The selected date and time is the new expiration date and time of your new certificate. Fare clic su Salva.Click Save.

    Scaricare e quindi caricare il certificato

  6. Ora il nuovo certificato è disponibile per il download.Now the new certificate is available to download. Fare clic sul collegamento Certificato per scaricarlo.Click the Certificate link to download it. Per il momento il certificato non è attivo.At this point, your certificate is not active. Per eseguire il rollover del certificato, selezionare la casella di attivazione del nuovo certificato e fare clic su Salva.When you want to roll over to this certificate, select the Make new certificate active check box and click Save. Da questo momento in poi Azure AD si avvia usando il nuovo certificato per firmare la risposta.From that point, Azure AD starts using the new certificate for signing the response.

  7. Per informazioni su come caricare il certificato in un'applicazione SaaS specifica, fare clic sul collegamento che consente di visualizzare l'esercitazione sulla configurazione dell'applicazione.To learn how to upload the certificate to your particular SaaS application, click the View application configuration tutorial link.

Rinnovare un certificato con scadenza imminenteRenew a certificate that will soon expire

I passaggi per il rinnovo illustrati di seguito non dovrebbero idealmente comportare tempi di inattività significativi per gli utenti.The following renewal steps should result in no significant downtime for your users. Le schermate di questa sezione includono Salesforce come esempio, ma i passaggi possono essere applicati a qualsiasi app SaaS federata.The screenshots in this section feature Salesforce as an example, but these steps can apply to any federated SaaS app.

  1. Nella pagina Single Sign-On dell'applicazione Azure Active Directory generare il nuovo certificato per l'applicazione.On the Azure Active Directory application Single sign-on page, generate the new certificate for your application. Per creare il certificato, fare clic sul collegamento Crea nuovo certificato nella sezione Certificato di firma SAML.You can do this by clicking the Create new certificate link in the SAML Signing Certificate section.

    Genera un nuovo certificato

  2. Selezionare la data e l'ora di scadenza per il nuovo certificato e fare clic su Salva.Select the desired expiration date and time for your new certificate and click Save.

  3. Scaricare il certificato nella sezione Certificato di firma SAML.Download the certificate in the SAML Signing certificate option. Caricare il nuovo certificato nella schermata di configurazione dell'accesso Single Sign-On dell'applicazione SaaS.Upload the new certificate to the SaaS application's single sign-on configuration screen. Per informazioni su come eseguire queste operazioni per un'applicazione SaaS specifica, fare clic sul collegamento all'esercitazione sulla configurazione dell'applicazione.To learn how to do this for your particular SaaS application, click the View application configuration tutorial link.

  4. Per attivare il nuovo certificato in Azure AD selezionare l'opzione Attiva nuovo certificato e fare clic sul pulsante Salva nella parte superiore della pagina.To activate the new certificate in Azure AD, select the Make new certificate active check box and click the Save button at the top of the page. In questo modo viene eseguito il rollover del certificato sul lato Azure AD.This rolls over the new certificate on the Azure AD side. Lo stato del certificato passa da Nuovo ad Attivo.The status of the certificate changes from New to Active. Da questo momento in poi Azure AD si avvia usando il nuovo certificato per firmare la risposta.From that point, Azure AD starts using the new certificate for signing the response.

    Genera un nuovo certificato