Autenticazione basata su intestazione per l'accesso Single Sign-On con il proxy di applicazione e PingAccessHeader-based authentication for single sign-on with Application Proxy and PingAccess

Il proxy dell'applicazione Azure Active Directory e PingAccess hanno collaborato per fornire ai clienti di Azure Active Directory l'accesso a un numero ancora maggiore di applicazioni.Azure Active Directory Application Proxy and PingAccess have partnered together to provide Azure Active Directory customers with access to even more applications. PingAccess espande le offerte esistenti del proxy di applicazione in modo da includere l'accesso Single Sign-On alle applicazioni che usano intestazioni per l'autenticazione.PingAccess expands the existing Application Proxy offerings to include single sign-on access to applications that use headers for authentication.

Che cos'è PingAccess per Azure AD?What is PingAccess for Azure AD?

PingAccess per Azure Active Directory è un'offerta di PingAccess che consente di mettere a disposizione degli utenti l'accesso e l'accesso Single Sign-On alle applicazioni che usano intestazioni per l'autenticazione.PingAccess for Azure Active Directory is an offering of PingAccess that enables you to give users access and single sign-on to applications that use headers for authentication. Il proxy dell'applicazione tratta queste app come qualsiasi altra, usando Azure AD per autenticare l'accesso e quindi passando il traffico attraverso il servizio del connettore.Application Proxy treats these apps like any other, using Azure AD to authenticate access and then passing traffic through the connector service. PingAccess sta davanti alle app e converte il token di accesso da Azure AD in un'intestazione, in modo che l'applicazione riceva l'autenticazione nel formato che è in grado di leggere.PingAccess sits in front of the apps and translates the access token from Azure AD into a header so that the application receives the authentication in the format it can read.

Gli utenti non noteranno nulla di diverso quando eseguono l'accesso per usare le app aziendali.Your users won’t notice anything different when they sign in to use your corporate apps. Possono comunque lavorare da qualsiasi luogo e dispositivo.They can still work from anywhere on any device.

Poiché i connettori del proxy dell'applicazione indirizzano il traffico remoto a tutte le app indipendentemente dal loro tipo di autenticazione, continueranno a bilanciare il carico automaticamente.Since the Application Proxy connectors direct remote traffic to all apps regardless of their authentication type, they’ll continue to load balance automatically, as well.

Come si ottiene l'accesso?How do I get access?

Poiché questo scenario è il risultato di una partnership fra Azure Active Directory e PingAccess, sono necessarie le licenze per entrambi i servizi.Since this scenario is offered through a partnership between Azure Active Directory and PingAccess, you need licenses for both services. Le sottoscrizioni Premium di Azure Active Directory, tuttavia, includono una licenza PingAccess di base che copre fino a 20 applicazioni.However, Azure Active Directory Premium subscriptions include a basic PingAccess license that covers up to 20 applications. Se è necessario pubblicare più di 20 applicazioni basate su intestazione, è possibile acquistare una licenza aggiuntiva da PingAccess.If you need to publish more than 20 header-based applications, you can purchase an additional license from PingAccess.

Per altre informazioni, vedere Edizioni di Azure Active Directory.For more information, see Azure Active Directory editions.

Pubblicare l'applicazione in AzurePublish your application in Azure

Questo articolo è destinato a chi pubblica un'app con questo scenario per la prima volta.This article is intended for people who are publishing an app with this scenario for the first time. Illustra come iniziare a usare sia l'applicazione sia PingAccess, oltre ai passaggi di pubblicazione.It walks through how to get started with both Application and PingAccess, in addition to the publishing steps. Se sono già stati configurati entrambi i servizi ma si vuole rivedere i passaggi di pubblicazione, è possibile ignorare l'installazione del connettore e passare a Aggiungere l'app in Azure AD con il proxy dell'applicazione.If you’ve already configured both services but want a refresher on the publishing steps, you can skip the connector installation and move on to Add your app to Azure AD with Application Proxy.

Nota

Poiché questo scenario è il risultato di una partnership fra Azure AD e PingAccess, alcune delle istruzioni sono presenti sul sito di Ping Identity.Since this scenario is a partnership between Azure AD and PingAccess, some of the instructions exist on the Ping Identity site.

Installare un connettore proxy di applicazioneInstall an Application Proxy connector

Se il proxy di applicazione è già attivato e si ha già un connettore installato, è possibile ignorare questa sezione e passare a Aggiungere l'app in Azure AD con il proxy dell'applicazione.If you already have Application Proxy enabled, and have a connector installed, you can skip this section and move on to Add your app to Azure AD with Application Proxy.

Il connettore del proxy di applicazione è un servizio di Windows Server che indirizza il traffico dai dipendenti remoti alle app pubblicate.The Application Proxy connector is a Windows Server service that directs the traffic from your remote employees to your published apps. Per istruzioni di installazione più dettagliate, vedere Abilitare il proxy di applicazione nel portale di Azure.For more detailed installation instructions, see Enable Application Proxy in the Azure portal.

  1. Accedere al portale di Azure come amministratore globale.Sign in to the Azure portal as a global administrator.
  2. Selezionare Azure Active Directory > Proxy dell'applicazione.Select Azure Active Directory > Application proxy.
  3. Selezionare Download Connector (Scarica il connettore) per avviare il download del connettore del proxy di applicazione.Select Download Connector to start the Application Proxy connector download. Seguire le istruzioni di installazione.Follow the installation instructions.

    Abilitare il proxy dell'applicazione e scaricare il connettore

  4. Scaricando il connettore si attiverà automaticamente il proxy di applicazione per la directory, ma se così non fosse, è possibile selezionare Abilita proxy di applicazione.Downloading the connector should automatically enable Application Proxy for your directory, but if not you can select Enable Application Proxy.

Aggiungere l'app ad Azure AD con il proxy dell'applicazioneAdd your app to Azure AD with Application Proxy

Nel portale di Azure è necessario eseguire due azioni.There are two actions you need to take in the Azure portal. Per prima cosa, si pubblica l'applicazione con il proxy di applicazione,First, you need to publish your application with Application Proxy. quindi si raccolgono alcune informazioni sull'app che è possibile usare durante la procedura di PingAccess.Then, you need to collect some information about the app that you can use during the PingAccess steps.

Seguire questi passaggi per pubblicare l'app.Follow these steps to publish your app. Per una descrizione più dettagliata dei passaggi 1-8, vedere Pubblicare applicazioni mediante il proxy di applicazione AD Azure.For a more detailed walkthrough of steps 1-8, see Publish applications using Azure AD Application Proxy.

  1. Se non lo si è fatto nell'ultima sezione, accedere al portale di Azure come amministratore globale.If you didn't in the last section, sign in to the Azure portal as a global administrator.
  2. Selezionare Azure Active Directory > Applicazioni aziendali.Select Azure Active Directory > Enterprise applications.
  3. Selezionare Aggiungi nella parte superiore del pannello.Select Add at the top of the blade.
  4. Selezionare Applicazione locale.Select On-premises application.
  5. Compilare i campi obbligatori con le informazioni della nuova app.Fill out the required fields with information about your new app. Usare le seguenti linee guida per le impostazioni:Use the following guidance for the settings:

    • URL interno: normalmente si indica l'URL che porta alla pagina di accesso dell'app quando ci si trova nella rete aziendale.Internal URL: Normally you provide the URL that takes you to the app’s sign in page when you’re on the corporate network. Per questo scenario il connettore deve trattare il proxy PingAccess come prima pagina dell'app.For this scenario the connector needs to treat the PingAccess proxy as the front page of the app. Usare il formato seguente: https://<host name of your PA server>:<port>.Use this format: https://<host name of your PA server>:<port>. La porta 3000 per impostazione predefinita, ma è possibile configurarla in PingAccess.The port is 3000 by default, but you can configure it in PingAccess.
    • Metodo di autenticazione preliminare: Azure Active DirectoryPre-authentication method: Azure Active Directory
    • Tradurre URL nelle intestazioni: NoTranslate URL in Headers: No

    Nota

    Se si tratta della prima applicazione, usare inizialmente la porta 3000 e aggiornare questa impostazione se viene modificata la configurazione di PingAccess.If this is your first application, use port 3000 to start and come back to update this setting if you change your PingAccess configuration. Se si tratta almeno di una seconda app, è necessaria una corrispondenza con il listener configurato in PingAccess.If this is your second or later app, this will need to match the Listener you’ve configured in PingAccess. Altre informazioni sui listener in PingAccess.Learn more about listeners in PingAccess.

  6. Selezionare Aggiungi nella parte inferiore del pannello.Select Add at the bottom of the blade. L'applicazione viene aggiunta e si apre il menu di avvio rapido.Your application is added, and the quick start menu opens.

  7. Nel menu di avvio rapido selezionare Assegna utente per il test e aggiungere almeno un utente all'applicazione.In the quick start menu, select Assign a user for testing, and add at least one user to the application. Assicurarsi che questo account di test abbia accesso all'applicazione locale.Make sure this test account has access to the on-premises application.
  8. Selezionare Assegna per salvare l'assegnazione dell'utente di test.Select Assign to save the test user assignment.
  9. Nel pannello di gestione dell'app selezionare Single Sign-On.On the app management blade, select Single sign-on.
  10. Scegliere Header-based sign-on (Accesso basato su intestazione) dal menu a discesa.Choose Header-based sign-on from the drop-down menu. Selezionare Salva.Select Save.

    Suggerimento

    Se è la prima volta che si usa l'accesso Single Sign-On basato su intestazione, è necessario installare PingAccess.If this is your first time using header-based single sign-on, you need to install PingAccess. Per assicurarsi che la sottoscrizione di Azure venga associata automaticamente all'installazione di PingAccess, usare il collegamento presente nella pagina dell'accesso Single Sign-On per scaricare PingAccess.To make sure your Azure subscription is automatically associated with your PingAccess installation, use the link on this single sign-on page to download PingAccess. È possibile aprire il sito di download ora o in un secondo momento.You can open the download site now, or come back to this page later.

    Selezionare l'accesso basato su intestazione

  11. Chiudere il pannello Applicazioni aziendali o scorrere completamente a sinistra per tornare al menu di Azure Active Directory.Close the Enterprise applications blade or scroll all the way to the left to return to the Azure Active Directory menu.

  12. Selezionare Registrazioni per l'app.Select App registrations.

    Selezionare Registrazioni per l'app

  13. Selezionare l'app appena aggiunta e quindi URL di risposta.Select the app you just added, then Reply URLs.

    Selezionare URL di risposta

  14. Verificare se l'URL esterno assegnato all'app al passaggio 5 è incluso nell'elenco URL di risposta.Check to see if the external URL that you assigned to your app in step 5 is in the Reply URLs list. In caso contrario aggiungerlo ora.If it’s not, add it now.

  15. Nel pannello delle impostazioni dell'app selezionare Autorizzazioni necessarie.On the app settings blade, select Required permissions.

    Selezionare Autorizzazioni necessarie

  16. Selezionare Aggiungi.Select Add. Per l'API scegliere Windows Azure Active Directory e quindi Seleziona.For the API, choose Windows Azure Active Directory, then Select. Per le autorizzazioni scegliere Read and write all applications (Leggi e scrivi in tutte le applicazioni) e Accedi e leggi il profilo di un altro utente e quindi Seleziona e Fine.For the permissions, choose Read and write all applications and Sign in and read user profile, then Select and Done.

    Autorizzazioni SELECT

  17. Concedere le autorizzazioni prima di chiudere la schermata delle autorizzazioni.Grant permissions before you close the permissions screen. Concedere le autorizzazioniGrant Permissions

Raccogliere informazioni per la procedura PingAccessCollect information for the PingAccess steps

  1. Nel pannello delle impostazioni dell'app selezionare Proprietà.On your app settings blade, select Properties.

    Selezionare Proprietà

  2. Annotare il valore ID applicazione.Save the Application Id value. Sarà usato come ID client per la configurazione di PingAccess.This is used for the client ID when you configure PingAccess.

  3. Nel pannello delle impostazioni dell'app selezionare Chiavi.On the app settings blade, select Keys.

    Selezionare Chiavi

  4. Creare una chiave immettendo una descrizione della chiave e scegliendo una data di scadenza dal menu a discesa.Create a key by entering a key description and choosing an expiration date from the drop-down menu.

  5. Selezionare Salva.Select Save. Viene visualizzato un GUID nel campo Valore.A GUID appears in the Value field.

    Annotare il valore adesso, in quanto non sarà più visibile dopo aver chiuso questa finestra.Save this value now, as you won’t be able to see it again after you close this window.

    Creare una nuova chiave

  6. Chiudere il pannello Registrazioni per l'app o scorrere completamente a sinistra per tornare al menu di Azure Active Directory.Close the App registrations blade or scroll all the way to the left to return to the Azure Active Directory menu.

  7. Selezionare Proprietà.Select Properties.
  8. Salvare il GUID ID directory.Save the Directory ID GUID.

Facoltativo: aggiornare GraphAPI per inviare campi personalizzatiOptional - Update GraphAPI to send custom fields

Per un elenco dei token di sicurezza che Azure AD invia per l'autenticazione, vedere Riferimento al token di Azure AD.For a list of security tokens that Azure AD sends for authentication, see Azure AD token reference. Se è necessaria un'attestazione personalizzata che invia altri token, usare GraphAPI per impostare il campo app acceptMappedClaims su True.If you need a custom claim that sends other tokens, use GraphAPI to set the app field acceptMappedClaims to True. Per eseguire questa configurazione, è possibile usare solo Azure AD Graph Explorer.You can only use Azure AD Graph Explorer to make this configuration.

In questo esempio viene usato Graph Explorer:This example uses Graph Explorer:

PATCH https://graph.windows.net/myorganization/applications/<object_id_GUID_of_your_application> 

{
  "acceptMappedClaims":true
}

Nota

Per usare un'attestazione personalizzata, è anche necessario avere un criterio personalizzato definito e assegnato all'applicazione.To use a custom claim, you must also have a custom policy defined and assigned to the application. Questo criterio deve includere tutti gli attributi personalizzati necessari.This policy should include all required custom attributes.

La definizione e l'assegnazione del criterio possono essere eseguite con PowerShell, Azure AD Graph Explorer o Microsoft Graph.Policy definition and assignment can be done through PowerShell, Azure AD Graph Explorer, or MS Graph. Se si eseguono queste operazioni in PowerShell, potrebbe essere necessario usare prima New-AzureADPolicy e quindi assegnarlo all'applicazione con Set-AzureADServicePrincipalPolicy.If you are doing this in PowerShell, you may need to first use New-AzureADPolicyand then assign it to the application with Set-AzureADServicePrincipalPolicy. Per altre informazioni, vedere la documentazione dei criteri di Azure AD.For more information see the Azure AD Policy documentation.

Facoltativo: usare un'attestazione personalizzataOptional - Use a custom claim

Per fare in modo che l'applicazione usi un'attestazione personalizzata e includa campi aggiuntivi, assicurarsi anche di avere creato un criterio di mapping di attestazioni personalizzate e di averlo assegnato all'applicazione.To make your application use a custom claim and include additional fields, be sure that you have also created a custom claims mapping policy and assigned it to the application.

Scaricare PingAccess e configurare l'appDownload PingAccess and configure your app

Dopo aver completato la procedura di installazione di Azure Active Directory, è possibile ora passare alla configurazione di PingAccess.Now that you've completed all the Azure Active Directory setup steps, you can move on to configuring PingAccess.

I passaggi dettagliati per la parte PingAccess di questo scenario continuano nella documentazione di Ping Identity, Configurare PingAccess per Azure AD.The detailed steps for the PingAccess part of this scenario continue in the Ping Identity documentation, Configure PingAccess for Azure AD.

Questi passaggi consentono di ottenere un account PingAccess se non se ne possiede già uno, installare PingAccess Server e creare una connessione al Provider OIDC di Azure AD con l'ID directory copiato dal portale di Azure.Those steps walk you through the process of getting a PingAccess account if you don't already have one, installing the PingAccess Server, and creating an Azure AD OIDC Provider connection with the Directory ID that you copied from the Azure portal. È quindi possibile usare i valori dell'ID applicazione e della chiave per creare una sessione Web in PingAccess.Then, you use the Application ID and Key values to create a Web Session on PingAccess. Successivamente è possibile impostare i mapping delle identità e creare l'host virtuale, il sito e l'applicazione.After that, you can set up identity mapping and create a virtual host, site, and application.

Test dell'appTest your app

Dopo aver completato tutti questi passaggi, l'app dovrebbe funzionare.When you've completed all these steps, your app should be up and running. Per verificarlo aprire un browser e passare all'URL esterno creato quando è stata pubblicata l'applicazione in Azure.To test it, open a browser and navigate to the external URL that you created when you published the app in Azure. Accedere con l'account di test assegnato all'app.Sign in with the test account that you assigned to the app.

Passaggi successiviNext steps