Integrare i servizi Single Sign-On di Azure Active Directory nelle app SaaS

Le organizzazioni usano più applicazioni Software as a Service (SaaS) per la produttività in quanto la tecnologia e gli strumenti cloud stanno diventando sempre più disponibili. Con l'aumento del numero delle applicazioni SaaS, diventa difficile per gli amministratori gestire gli account e i diritti di accesso e per gli utenti ricordare le diverse password. Gestire singolarmente queste applicazioni richiede un impegno aggiuntivo ed è meno sicuro.

  • I dipendenti che devono tenere traccia di numerose password tendono a usare metodi meno sicuri per ricordarle, annotando le password o usando le stesse password per diversi account.
  • Quando arriva un nuovo dipendente o un dipendente esistente lascia l'organizzazione, è necessario eseguire il provisioning o deprovisioning di tutti i relativi account singolarmente.
  • Inoltre, i dipendenti possono iniziare a usare app SaaS per il proprio lavoro senza rivolgersi al reparto IT, creando i propri account in sistemi che gli amministratori IT non hanno approvato e non monitorano.

Una soluzione per tutti questi problemi è l'accesso Single Sign-On (SSO). Si tratta del modo più semplice per gestire più app e fornire agli utenti un'esperienza di accesso coerente. Azure Active Directory (Azure AD) fornisce un'efficiente soluzione SSO e dispone di molte applicazioni già integrate, con esercitazioni che consentono agli amministratori di impostare rapidamente una nuova applicazione e avviare il provisioning degli utenti.

Come vengono integrate le app in Azure Active Directory?

Azure AD consente di integrare le app e gli account di cui è stato eseguito il provisioning. Questa operazione può essere eseguita tramite due approcci.

  • Se l'app è già integrata nella raccolta di app, è possibile usare questo portale impostare le app e configurare le impostazioni per consentire l'accesso SSO. Per qualsiasi app nella raccolta, è possibile iniziare seguendo le semplici istruzioni dettagliate presentate nella raccolta e nel portale di Azure per abilitare Single Sign-On.
  • Se l'app non è presente nella raccolta, è comunque possibile impostare la maggior parte delle app in Azure AD come un'app personalizzata. Questa operazione richiede un livello leggermente superiore di esperienza tecnica per la configurazione. È possibile aggiungere qualunque applicazione che supporta SAML 2.0 come applicazione federata o qualunque applicazione che dispone di una pagina di accesso basata su HTML come applicazione Single Sign-On con password.

Nel caso gli utenti abbiano creato i propri account per app SaaS che non sono gestite dal reparto IT, lo strumento Cloud App Discovery offre una soluzione. Questo strumento monitora il traffico Web per identificare le app che vengono usate in tutta l'organizzazione e il numero di utenti che usano ognuna di esse. Il personale IT può usare queste informazioni per determinare quali sono le app preferite dagli utenti e decidere quali integrare in Azure AD per l'accesso SSO.

Quando si integra un'app in Azure AD, è possibile mappare le identità delle applicazioni stabilite dagli utenti alle rispettive identità di Azure AD.

Per iniziare a configurare Single Sign-On per un'applicazione che si desidera introdurre nella propria organizzazione, sarà necessario usare una directory esistente in Azure Active Directory (Azure AD). È possibile usare una directory di Azure AD ottenuta tramite Microsoft Azure, Office 365 o Windows Intune. Se si dispone di due o più directory di questo tipo, vedere Amministrare la directory di Azure AD per determinare quale usare.

Importante

Microsoft consiglia di gestire Azure AD usando l'interfaccia di amministrazione di Azure AD nel portale di Azure invece di usare il portale di Azure classico citato nel presente articolo. Per informazioni su come assegnare i ruoli amministratore nell'interfaccia di amministrazione di Azure AD, vedere Assegnazione dei ruoli di amministratore in Azure Active Directory.

Autenticazione

Per le applicazioni che supportano i protocolli SAML 2.0, WS-Federation o OpenID Connect, Azure Active Directory usa i certificati di firma per stabilire relazioni di trust. Per altre informazioni su questo aspetto, vedere Gestione dei certificati per Single Sign-On federato.

Per le applicazioni che supportano solo l'accesso basato su moduli HTML, Azure Active Directory usa gli insiemi di credenziali per stabilire relazioni di trust. Ciò consente agli utenti dell'organizzazione di accedere automaticamente a un'applicazione SaaS tramite Azure AD utilizzando le informazioni dell'account utente dall'applicazione SaaS. Azure AD raccoglie e archivia in modo sicuro le informazioni sull'account utente e la relativa password. Per altre informazioni, vedere Single Sign-On basato su password.

Autorizzazione

Un account con provisioning consente all'utente di essere autorizzato a usare un'applicazione, dopo l'autenticazione tramite Single Sign-On. Il provisioning dell'utente può essere eseguito manualmente o in alcuni casi è possibile aggiungere e rimuovere le informazioni utente dall'applicazione SaaS in base alle modifiche apportate in Azure Active Directory. Per altre informazioni sull'uso dei connettori di Azure AD esistenti per il provisioning automatico, vedere Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Azure Active Directory.

In caso contrario, è possibile aggiungere manualmente le informazioni sull'utente a un'applicazione o usare altre soluzioni di provisioning disponibili sul mercato.

Accesso

Azure AD fornisce diverse soluzioni personalizzabili per distribuire le applicazioni agli utenti finali all'interno dell'organizzazione: Non è obbligatorio usare soluzioni specifiche per la distribuzione o l'accesso. È possibile usare la soluzione più adatta alle proprie esigenze.

Considerazioni aggiuntive per le applicazioni già in uso.

L'impostazione di Single Sign-On per un'applicazione in uso nell'organizzazione è un processo diverso rispetto alla creazione di nuovi account per una nuova applicazione. Esistono un paio di passaggi preliminari tra cui il mapping di identità utente nell'applicazione alle identità di Azure AD e le informazioni sull'esperienza utente durante l'accesso a un'applicazione dopo la relativa integrazione.

Nota

Per configurare SSO per un'applicazione esistente, è necessario disporre dei diritti di amministratore globale sia per Azure AD sia per l'applicazione SaaS.

Mapping degli account utente

Un'identità utente ha in genere un identificatore univoco che può essere un indirizzo di posta elettronica o un nome dell'entità utente (UPN). Sarà necessario collegare (mappare) ciascuna identità utente dell'applicazione alla rispettiva identità di Azure AD. Per eseguire questa operazione è possibile procedere in due modi, a seconda dei requisiti di autenticazione dell'applicazione.

Per altre informazioni sul mapping delle identità delle applicazioni alle identità di Azure AD, vedere l'articolo relativo alla personalizzazione delle attestazioni rilasciate nel token SAML e alla personalizzazione dei mapping degli attributi per il provisioning.

Informazioni sull'esperienza utente all'accesso

Quando si integra SSO per un'applicazione già in uso, è importante tenere presente che ci saranno effetti sull'esperienza utente. Per tutte le applicazioni, gli utenti inizieranno a usare le credenziali di Azure AD per l'accesso. Inoltre, potrebbero dover usare un portale diverso per accedere alle applicazioni.

L'accesso SSO per alcune applicazioni può essere eseguito nell'interfaccia di accesso dell'applicazione, ma per accedere ad altre applicazioni l'utente dovrà passare attraverso un portale centrale, ad esempio App personali o Office365. Per altre informazioni sui diversi tipi di SSO e le relative esperienze utente, vedere Informazioni sull'accesso alle applicazioni e Single Sign-On con Azure Active Directory.

Vedere anche la sezione relativa all' eliminazione dell'autorizzazione utente nella pagina della guida per gli sviluppatori .

Passaggi successivi

Per le applicazioni SaaS disponibili nella raccolta delle app, Azure AD offre varie esercitazioni pratiche su come integrare delle app SaaS.

Se l'app non è presente nella raccolta, è possibile aggiungerla alla raccolta delle app di Azure AD come applicazione personalizzata.

La libreria di Azure.com include molti altri dettagli su tutti questi aspetti, a partire da Informazioni sull'accesso alle applicazioni e Single Sign-On con Azure Active Directory.

Vedere anche Indice di articoli per la gestione di applicazioni in Azure Active Directory.