Come configurare l'accesso Single Sign-On federato per un'applicazione della raccolta di Azure AD

Per tutte le applicazioni nella raccolta di Azure AD con funzionalità Enterprise Single Sign-On abilitata è disponibile un'esercitazione dettagliata. Per le istruzioni dettagliate, è possibile accedere all'Elenco di esercitazioni sulla procedura di integrazione delle app SaaS con Azure Active Directory.

Panoramica dei passaggi necessari

Per configurare un'applicazione della raccolta di Azure AD è necessario:

Per aggiungere un'applicazione dalla raccolta di Azure AD, seguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale o Coamministratore.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Applicazioni aziendali nel menu di navigazione a sinistra di Azure Active Directory.

  5. Fare clic sul pulsante Aggiungi nell'angolo superiore destro del pannello Applicazioni aziendali.

  6. Nella casella di testo Immettere un nome della sezione Aggiungi dalla raccolta digitare il nome dell'applicazione.

  7. Selezionare l'applicazione che si vuole configurare con l'accesso Single Sign-On.

  8. Prima di aggiungere l'applicazione, è possibile modificarne il nome usando la casella di testo Nome.

  9. Fare clic sul pulsante Aggiungi per aggiungere l'applicazione.

Dopo un breve periodo di tempo sarà possibile visualizzare il pannello di configurazione dell'applicazione.

Per configurare l'accesso Single Sign-On per un'applicazione, seguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale o Coamministratore.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Applicazioni aziendali nel menu di navigazione a sinistra di Azure Active Directory.

  5. Fare clic su Tutte le applicazioni per visualizzare un elenco di tutte le applicazioni.

    • Se l'applicazione non è inclusa nell'elenco, usare il controllo Filtro all'inizio dell'elenco Tutte le applicazioni e impostare l'opzione Mostra su Tutte le applicazioni.
  6. Selezionare l'applicazione per cui si vuole configurare l'accesso Single Sign-On.

  7. Dopo il caricamento dell'applicazione, fare clic su Single Sign-On nel menu di navigazione a sinistra dell'applicazione.

  8. Selezionare Accesso basato su SAML dal menu a discesa Modalità.

  9. Immettere i valori necessari in URL e dominio. È necessario ottenere questi valori dal fornitore dell'applicazione.

    1. Per configurare l'applicazione come SSO avviato da provider di servizi, l'URL di accesso è un valore obbligatorio. Per alcune applicazioni, anche l'identificatore è un valore obbligatorio.

    2. Per configurare l'applicazione come SSO avviato da IdP, l'URL di risposta è un valore obbligatorio. Per alcune applicazioni, anche l'identificatore è un valore obbligatorio.

  10. Facoltativo: fare clic su Mostra impostazioni URL avanzate se si vuole vedere i valori non obbligatori.

  11. In Attributi utente selezionare l'identificatore univoco per gli utenti nel menu a discesa Identificatore utente.

  12. Facoltativo: fare clic su Visualizza e modifica tutti gli altri attributi utente per modificare gli attributi da inviare all'applicazione nel token SAML quando l'utente effettua l'accesso.

    Per aggiungere un attributo:

    1. Fare clic su Aggiungi attributo. Immettere il Nome e selezionare il Valore nell'elenco a discesa.

    2. Fare clic su Salva. Il nuovo attributo verrà visualizzato nella tabella.

  13. Fare clic su Configura <nome applicazione> per accedere alla documentazione che illustra come configurare l'accesso Single Sign-On nell'applicazione. Sono inoltre disponibili il certificato e gli URL dei metadati richiesti per configurare l'accesso SSO con l'applicazione.

  14. Fare clic su Salva per salvare la configurazione.

  15. Assegnare utenti all'applicazione.

Selezionare l'identificatore utente e aggiungere gli attributi utente da inviare all'applicazione

Per selezionare l'identificatore utente o aggiungere gli attributi dell'utente, seguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale o Coamministratore.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Applicazioni aziendali nel menu di navigazione a sinistra di Azure Active Directory.

  5. Fare clic su Tutte le applicazioni per visualizzare un elenco di tutte le applicazioni.

    • Se l'applicazione non è inclusa nell'elenco, usare il controllo Filtro all'inizio dell'elenco Tutte le applicazioni e impostare l'opzione Mostra su Tutte le applicazioni.
  6. Selezionare l'applicazione per cui è stato configurato l'accesso Single Sign-On.

  7. Dopo il caricamento dell'applicazione, fare clic su Single Sign-On nel menu di navigazione a sinistra dell'applicazione.

  8. Nella sezione Attributi utente selezionare l'identificatore univoco per gli utenti nel menu a discesa Identificatore utente. L'opzione selezionata deve corrispondere al valore previsto nell'applicazione per autenticare l'utente.

    Nota

    Azure AD seleziona il formato per l'attributo NameID (identificatore utente) in base al valore selezionato o al formato richiesto dall'applicazione nell'oggetto AuthRequest SAML. Per altre informazioni, vedere l'articolo relativo al protocollo SAML per Single Sign-On sotto la sezione NameIDPolicy.

  9. Per aggiungere gli attributi utente, fare clic su Visualizza e modifica tutti gli altri attributi utente per modificare gli attributi da inviare all'applicazione nel token SAML quando l'utente effettua l'accesso.

    Per aggiungere un attributo:

    1. Fare clic su Aggiungi attributo. Immettere il Nome e selezionare il Valore nell'elenco a discesa.

    2. Fare clic su Salva. Il nuovo attributo verrà visualizzato nella tabella.

Scaricare il certificato o i metadati di Azure AD

Per scaricare il certificato o i metadati dell'applicazione da Azure AD, seguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale o Coamministratore.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Applicazioni aziendali nel menu di navigazione a sinistra di Azure Active Directory.

  5. Fare clic su Tutte le applicazioni per visualizzare un elenco di tutte le applicazioni.

    • Se l'applicazione non è inclusa nell'elenco, usare il controllo Filtro all'inizio dell'elenco Tutte le applicazioni e impostare l'opzione Mostra su Tutte le applicazioni.
  6. Selezionare l'applicazione per cui è stato configurato l'accesso Single Sign-On.

  7. Dopo il caricamento dell'applicazione, fare clic su Single Sign-On nel menu di navigazione a sinistra dell'applicazione.

  8. Passare alla sezione Certificato di firma SAML e quindi fare clic sul valore della colonna Download. A seconda di quale applicazione richiede la configurazione dell'accesso Single Sign-On, è visibile l'opzione per scaricare il codice XML dei metadati o l'opzione per scaricare il certificato.

Azure AD non fornisce URL per ottenere i metadati. I metadati possono essere recuperati solo come file XML.

Assegnare utenti all'applicazione

Per assegnare uno o più utenti direttamente a un'applicazione, seguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Applicazioni aziendali nel menu di navigazione a sinistra di Azure Active Directory.

  5. Fare clic su Tutte le applicazioni per visualizzare un elenco di tutte le applicazioni.

    • Se l'applicazione non è inclusa nell'elenco, usare il controllo Filtro all'inizio dell'elenco Tutte le applicazioni e impostare l'opzione Mostra su Tutte le applicazioni.
  6. Selezionare nell'elenco l'applicazione che si vuole assegnare a un utente.

  7. Dopo il caricamento dell'applicazione, fare clic su Utenti e gruppi nel menu di navigazione a sinistra dell'applicazione.

  8. Fare clic sul pulsante Aggiungi nella parte superiore dell'elenco Utenti e gruppi per aprire il pannello Aggiungi assegnazione.

  9. Fare clic sul selettore Utenti e gruppi nel pannello Aggiungi assegnazione.

  10. Nella casella di ricerca Cerca per nome o indirizzo di posta digitare il nome completo o l'indirizzo di posta elettronica dell'utente oggetto dell'assegnazione.

  11. Passare il puntatore sull'utente nell'elenco per visualizzare una casella di controllo. Fare clic sulla casella di controllo accanto alla foto o al logo del profilo dell'utente per aggiungere l'utente all'elenco Selezionato.

  12. Facoltativo: se si vuole aggiungere più di un utente, digitare un altro nome completo o indirizzo di posta elettronica nella casella di ricerca Cerca per nome o indirizzo di posta e fare clic sulla casella di controllo per aggiungere l'utente all'elenco selezionato.

  13. Dopo avere selezionato gli utenti, fare clic sul pulsante Seleziona per aggiungerli all'elenco di utenti e gruppi da assegnare all'applicazione.

  14. Facoltativo: fare clic sul selettore Seleziona ruolo nel pannello Aggiungi assegnazione per scegliere un ruolo da assegnare agli utenti selezionati.

  15. Fare clic sul pulsante Assegna per assegnare l'applicazione agli utenti selezionati.

Dopo un breve periodo di tempo, gli utenti selezionati potranno avviare queste applicazioni usando i metodi illustrati nella sezione Descrizione della soluzione.

Personalizzazione delle attestazioni SAML inviate a un'applicazione

Per informazioni su come personalizzare le attestazioni degli attributi SAML inviate all'applicazione, vedere Claims mapping in Azure Active Directory (Mapping di attestazioni in Azure Active Directory).

Passaggi successivi

Fornire l'accesso Single Sign-On alle app con il proxy di applicazione