Come configurare l'accesso Single Sign-On federato per un'applicazione non inclusa nella raccolta

Per configurare un'applicazione non inclusa nella raccolta, è necessario disporre di Azure AD Premium e l'applicazione deve supportare SAML 2.0. Per altre informazioni sulle versioni di Azure AD, vedere Prezzi di Azure Active Directory.

Panoramica dei passaggi necessari

La panoramica di alto livello che segue mostra i passaggi necessari per configurare l'accesso Single Sign-On federato per un'applicazione non inclusa nella raccolta, ad esempio perché personalizzata.

Per configurare l'accesso Single Sign-On per un'applicazione non inclusa nella raccolta di Azure AD, seguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale o Coamministratore.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Applicazioni aziendali nel menu di navigazione a sinistra di Azure Active Directory.

  5. Fare clic sul pulsante Aggiungi nell'angolo superiore destro del pannello Applicazioni aziendali.

  6. Fare clic su Applicazione non nella raccolta nella sezione Aggiungi app personalizzata.

  7. Immettere il nome dell'applicazione nella casella di testo Nome.

  8. Fare clic sul pulsante Aggiungi per aggiungere l'applicazione.

  9. Dopo il caricamento dell'applicazione, fare clic su Single Sign-On nel menu di navigazione a sinistra dell'applicazione.

  10. Selezionare Accesso basato su SAML dal menu a discesa Modalità.

  11. Immettere i valori necessari in URL e dominio. È necessario ottenere questi valori dal fornitore dell'applicazione.

    1. Per configurare l'applicazione come SSO avviato da IdP, immettere l'URL di risposta e l'identificatore.

    2. Facoltativo: per configurare l'applicazione come SSO avviato da provider di servizi, l'URL di accesso è un valore obbligatorio.

  12. In Attributi utente selezionare l'identificatore univoco per gli utenti nel menu a discesa Identificatore utente.

  13. Facoltativo: fare clic su Visualizza e modifica tutti gli altri attributi utente per modificare gli attributi da inviare all'applicazione nel token SAML quando l'utente effettua l'accesso.

    Per aggiungere un attributo:

    1. Fare clic su Aggiungi attributo. Immettere il Nome e selezionare il Valore nell'elenco a discesa.

    2. Fare clic su Salva. Il nuovo attributo verrà visualizzato nella tabella.

  14. Fare clic su Configura <nome applicazione> per accedere alla documentazione che illustra come configurare l'accesso Single Sign-On nell'applicazione. Sono inoltre disponibili il certificato e gli URL di Azure AD richiesti per l'applicazione.

  15. Assegnare utenti all'applicazione

Selezionare l'identificatore utente e aggiungere gli attributi utente da inviare all'applicazione

Per selezionare l'identificatore utente o aggiungere gli attributi dell'utente, seguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale o Coamministratore.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Applicazioni aziendali nel menu di navigazione a sinistra di Azure Active Directory.

  5. Fare clic su Tutte le applicazioni per visualizzare un elenco di tutte le applicazioni.

    • Se l'applicazione non è inclusa nell'elenco, usare il controllo Filtro all'inizio dell'elenco Tutte le applicazioni e impostare l'opzione Mostra su Tutte le applicazioni.
  6. Selezionare l'applicazione per cui è stato configurato l'accesso Single Sign-On.

  7. Dopo il caricamento dell'applicazione, fare clic su Single Sign-On nel menu di navigazione a sinistra dell'applicazione.

  8. Nella sezione Attributi utente selezionare l'identificatore univoco per gli utenti nel menu a discesa Identificatore utente. L'opzione selezionata deve corrispondere al valore previsto nell'applicazione per autenticare l'utente.

    [!NOTA} Azure AD seleziona il formato per l'attributo NameID (identificatore utente) in base al valore selezionato o al formato richiesto dall'applicazione nell'oggetto AuthRequest SAML. Per altre informazioni, vedere l'articolo relativo al protocollo SAML per Single Sign-On sotto la sezione NameIDPolicy.

  9. Per aggiungere gli attributi utente, fare clic su Visualizza e modifica tutti gli altri attributi utente per modificare gli attributi da inviare all'applicazione nel token SAML quando l'utente effettua l'accesso.

    Per aggiungere un attributo:

    1. Fare clic su Aggiungi attributo. Immettere il Nome e selezionare il Valore nell'elenco a discesa.

    2. Fare clic su Salva. Il nuovo attributo verrà visualizzato nella tabella.

Scaricare il certificato o i metadati di Azure AD

Per scaricare il certificato o i metadati dell'applicazione da Azure AD, seguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale o Coamministratore.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Applicazioni aziendali nel menu di navigazione a sinistra di Azure Active Directory.

  5. Fare clic su Tutte le applicazioni per visualizzare un elenco di tutte le applicazioni.

    • Se l'applicazione non è inclusa nell'elenco, usare il controllo Filtro all'inizio dell'elenco Tutte le applicazioni e impostare l'opzione Mostra su Tutte le applicazioni.
  6. Selezionare l'applicazione per cui è stato configurato l'accesso Single Sign-On.

  7. Dopo il caricamento dell'applicazione, fare clic su Single Sign-On nel menu di navigazione a sinistra dell'applicazione.

  8. Passare alla sezione Certificato di firma SAML e quindi fare clic sul valore della colonna Download. A seconda di quale applicazione richiede la configurazione dell'accesso Single Sign-On, è visibile l'opzione per scaricare il codice XML dei metadati o l'opzione per scaricare il certificato.

Azure AD non fornisce URL per ottenere i metadati. I metadati possono essere recuperati solo come file XML.

Assegnare utenti all'applicazione

Per assegnare uno o più utenti direttamente a un'applicazione, seguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Applicazioni aziendali nel menu di navigazione a sinistra di Azure Active Directory.

  5. Fare clic su Tutte le applicazioni per visualizzare un elenco di tutte le applicazioni.

    • Se l'applicazione non è inclusa nell'elenco, usare il controllo Filtro all'inizio dell'elenco Tutte le applicazioni e impostare l'opzione Mostra su Tutte le applicazioni.
  6. Selezionare nell'elenco l'applicazione che si vuole assegnare a un utente.

  7. Dopo il caricamento dell'applicazione, fare clic su Utenti e gruppi nel menu di navigazione a sinistra dell'applicazione.

  8. Fare clic sul pulsante Aggiungi nella parte superiore dell'elenco Utenti e gruppi per aprire il pannello Aggiungi assegnazione.

  9. Fare clic sul selettore Utenti e gruppi nel pannello Aggiungi assegnazione.

  10. Nella casella di ricerca Cerca per nome o indirizzo di posta digitare il nome completo o l'indirizzo di posta elettronica dell'utente oggetto dell'assegnazione.

  11. Passare il puntatore sull'utente nell'elenco per visualizzare una casella di controllo. Fare clic sulla casella di controllo accanto alla foto o al logo del profilo dell'utente per aggiungere l'utente all'elenco Selezionato.

  12. Facoltativo: se si vuole aggiungere più di un utente, digitare un altro nome completo o indirizzo di posta elettronica nella casella di ricerca Cerca per nome o indirizzo di posta e fare clic sulla casella di controllo per aggiungere l'utente all'elenco selezionato.

  13. Dopo avere selezionato gli utenti, fare clic sul pulsante Seleziona per aggiungerli all'elenco di utenti e gruppi da assegnare all'applicazione.

  14. Facoltativo: fare clic sul selettore Seleziona ruolo nel pannello Aggiungi assegnazione per scegliere un ruolo da assegnare agli utenti selezionati.

  15. Fare clic sul pulsante Assegna per assegnare l'applicazione agli utenti selezionati.

Dopo un breve periodo di tempo, gli utenti selezionati potranno avviare queste applicazioni usando i metodi illustrati nella sezione Descrizione della soluzione.

Personalizzazione delle attestazioni SAML inviate a un'applicazione

Per informazioni su come personalizzare le attestazioni degli attributi SAML inviate all'applicazione, vedere Claims mapping in Azure Active Directory (Mapping di attestazioni in Azure Active Directory).

Passaggi successivi

Fornire l'accesso Single Sign-On alle app con il proxy di applicazione