Procedura: Configurazione dell'accesso Single Sign-On all'applicazione Proxy di applicazioneHow to configure single sign-on to an Application Proxy application

L'accesso Single sign-on (SSO) consente agli utenti di accedere a un'applicazione senza effettuare l'autenticazione più volte.Single sign-on (SSO) allows your users to access an application without authenticating multiple times. Consente di eseguire l'autenticazione solo nel cloud, in Azure Active Directory e consente al servizio o al connettore di rappresentare l'utente per completare eventuali richieste di autenticazione aggiuntive dall'applicazione.It allows the single authentication to occur in the cloud, against Azure Active Directory, and allows the service or Connector to impersonate the user to complete any additional authentication challenges from the application.

Come configurare l'accesso Single Sign-OnHow to configure single-sign on

Per configurare SSO, verificare innanzitutto che l'applicazione sia configurata per la preautenticazione tramite Azure Active Directory.To configure SSO, first make sure that your application is configured for Pre-Authentication through Azure Active Directory. A tale scopo, accedere a Azure Active Directory - > Applicazioni aziendali - > Tutte le applicazioni - >L'applicazione - >Proxy di applicazione.To do this, go to Azure Active Directory -> Enterprise Applications -> All Applications -> Your application -> Application Proxy. Assicurarsi che il campo "Pre-autenticazione" visualizzato in questa pagina sia impostato su Azure Active Directory.On this page, you see the “Pre Authentication” field, and make sure that is set to “Azure Active Directory.

Per altre informazioni sui metodi di pre-autenticazione, vedere il passaggio 4 del documento sulla pubblicazione dell'app.For more information on the Pre-Authentication methods, see step four of the app publishing document.

Metodo di preautenticazione nel portale di Azure

Configurazione delle modalità Single Sign-On per le applicazioni Proxy di applicazioneConfiguring single sign-on modes for Application Proxy Applications

Successivamente si passerà a configurare il tipo specifico di Single Sign-On.Next we configure the specific type of single sign-on. I metodi di accesso sono classificati in base al tipo di autenticazione usato dall'applicazione back-end.The sign-on methods are classified based on what type of authentication the backend application uses. Le applicazioni Proxy di applicazione supportano tre tipi di accesso:App Proxy applications supports three types of sign-on:

  • Accesso basato su password: l'accesso basato su password può essere usato per qualsiasi applicazione che usa i campi nome utente e password per l'accesso.Password-based Sign-On: Password-based sign-on can be used for any application that uses username and password fields to sign-on. I passaggi per la configurazione sono reperibili nella documentazione relativa alla configurazione SSO tramite password.Configuration steps can be found in our password-SSO configuration documentation.

  • Autenticazione integrata di Windows: per le applicazioni che usano l'autenticazione integrata di Windows (IWA), l'accesso Single Sign-On è abilitato tramite delega vincolata Kerberos (KCD).Integrated Windows Authentication: For applications using Integrated Windows Authentication (IWA), single sign-on is enabled through Kerberos Constrained Delegation (KCD). Ciò consente di connettori Proxy di applicazione in Active Directory di rappresentare gli utenti e inviare e ricevere i token per loro conto.This gives Application Proxy Connectors permission in Active Directory to impersonate users, and to send and receive tokens on their behalf. I dettagli relativi alla configurazione della delega vincolata Kerberos sono reperibili nella documentazione relativa all'accesso Single Sign-On con delega vincolata Kerberos.Details on configuring KCD can be found in the Single Sign-On with KCD documentation.

  • Accesso basato su intestazione: l'accesso basato su intestazione viene abilitato mediante una relazione e non richiede un'ulteriore configurazione.Header-based Sign-On: Header-based sign on is enabled through a partnership and does require some additional configuration. Per informazioni dettagliate sulla relazione e istruzioni dettagliate per la configurazione dell'accesso Single Sign-On per un'applicazione che usa le intestazioni per l'autenticazione, vedere la documentazione di PingAccess per Azure AD.For details on the partnership and step-by-step instructions for configuring single sign-on to an application that uses headers for authentication, see the PingAccess for Azure AD documentation.

Ognuna di queste opzioni è reperibile da "Applicazioni aziendali" nella propria applicazione e aprendo la pagina Single Sign-On nel menu a sinistra.Each of these options can be found by going to your application in “Enterprise Applications”, and opening the Single Sign-On page on the left menu. Si noti che se l'applicazione è stata creata nel portale precedente, potrebbero non essere visibili tutte queste opzioni.note that if your application was created in the old portal, you may not see all these options.

In questa pagina viene visualizzata inoltre un opzione di accesso aggiuntiva: Linked sign-on (Accesso collegato).On this page, you also see one additional Sign-On option: Linked Sign-On. Questa opzione è supportata anche da Proxy di applicazione.This is also supported by Application Proxy. Si noti tuttavia che questa opzione non aggiunge l'accesso Single Sign-On all'applicazione.However, note that this option does not add single sign-on to the application. L'applicazione potrebbe comunque avere già implementato l'accesso Single Sign-On usando un altro servizio, ad esempio Active Directory Federation Services.That said the application may already have single sign-on implemented using another service such as Active Directory Federation Services.

Questa opzione consente a un amministratore di creare un collegamento a una prima applicazione a cui accedono gli utenti quando accedono all'applicazione.This option allows an admin to create a link to an application that users first land on when accessing the application. Ad esempio, se è presente un'applicazione configurata per l'autenticazione degli utenti tramite Active Directory Federation Services 2.0, un amministratore può usare l'opzione "Linked sign-on (Accesso collegato)" per creare un collegamento ad essa sul pannello di accesso.For example, if there is an application that is configured to authenticate users using Active Directory Federation Services 2.0, an administrator can use the “Linked Sign-On” option to create a link to it on the access panel.

Passaggi successiviNext steps

Fornire l'accesso Single Sign-On alle app con il proxy di applicazioneProvide single sign-on to your apps with Application Proxy