Come viene offerto l'accesso Single Sign-On dal proxy di applicazione di Azure AD?How does Azure AD Application Proxy provide single sign-on?

Single Sign-On è un elemento chiave del proxy di applicazione di Azure AD.Single sign-on is a key element of Azure AD Application Proxy. Offre un'esperienza d'uso ottimale, poiché gli utenti devono solo eseguire l'accesso ad Azure Active Directory nel cloud.It provides the best user experience because your users only have to sign in to Azure Active Directory in the cloud. Dopo che un utente ha eseguito l'autenticazione ad Azure Active Directory, il connettore del proxy di applicazione gestisce l'autenticazione all'applicazione locale.Once they authenticate to Azure Active Directory, the Application Proxy connector handles the authentication to the on-premises application. L'applicazione di back-end non è in grado di rilevare la differenza tra un utente remoto che accede tramite il proxy di applicazione e un utilizzo standard basato su un dispositivo aggiunto al dominio.The backend application can't tell the difference between a remote user signing in through Application Proxy and a regular use on a domain-joined device.

Per usare Azure Active Directory per l'accesso Single Sign-On alle applicazioni, è necessario selezionare Azure Active Directory come metodo di pre-autenticazione.To use Azure Active Directory for single sign-on to your applications, you need to select Azure Active Directory as the pre-authentication method. Se si seleziona PassThrough, gli utenti non eseguono l'autenticazione ad Azure Active Directory ma vengono indirizzati direttamente all'applicazione.If you select Passthrough then your users don't authenticate to Azure Active Directory at all, but are directed straight to the application. È possibile configurare questa impostazione quando si pubblica per la prima volta un'applicazione. In alternativa, è possibile accedere all'applicazione nel portale di Azure e modificare le impostazioni del proxy di applicazione.You can configure this setting when you first publish an application, or navigate to your application in the Azure portal and edit the Application Proxy settings.

Per visualizzare le opzioni relative all'accesso Single Sign-On, seguire questa procedura:To see your single sign-on options, follow these steps:

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Selezionare Azure Active Directory > Applicazioni aziendali > Tutte le applicazioni.Navigate to Azure Active Directory > Enterprise applications > All applications.
  3. Selezionare l'app di cui si vuole gestire le opzioni di accesso Single Sign-On.Select the app whose single sign-on options you want to manage.
  4. Selezionare Single Sign-On.Select Single sign-on.

    Menu a discesa Single Sign-On

Nel menu a discesa sono disponibili cinque opzioni per l'accesso Single Sign-On all'applicazione:The dropdown menu shows five options for single sign-on to your application:

  • Single Sign-On di Azure AD disabilitatoAzure AD single sign-on disabled
  • Accesso basato su passwordPassword-based sign-on
  • Linked sign-on (Accesso collegato)Linked sign-on
  • Autenticazione integrata di WindowsIntegrated Windows Authentication
  • Accesso basato su intestazioneHeader-based sign-on

Single Sign-On di Azure AD disabilitatoAzure AD single sign-on disabled

Se non si vuole usare l'integrazione di Azure Active Directory per l'accesso Single Sign-On all'applicazione, scegliere Single Sign-On di Azure AD disabilitato.If you don't want to use Azure Active Directory integration for single sign-on to your application, choose Azure AD single sign-on disabled. Con questa opzione selezionata, gli utenti possono eseguire l'autenticazione due volte.With this option selected, your users may authenticate twice. Eseguire prima l'autenticazione ad Azure Active Directory e quindi accedere all'applicazione.First, they authenticate to Azure Active Directory and then sign in to the application itself.

Questa opzione è la scelta migliore se l'applicazione locale non prevede l'autenticazione ma si vuole aggiungere Azure Active Directory come un livello di sicurezza per l'accesso remoto.This option is a good choice if your on-premises application doesn't require users to authenticate, but you want to add Azure Active Directory as a layer of security for remote access.

Accesso basato su passwordPassword-based sign-on

Se si vuole usare Azure Active Directory come un insieme di credenziali delle password per le applicazioni locali, scegliere Accesso basato su password.If you want to use Azure Active Directory as a password vault for your on-premises applications, choose Password-based sign-on. Questa opzione è la scelta migliore se l'autenticazione all'applicazione è bastata su nome utente e password e non su intestazioni o token di accesso.This option is a good choice if your application authenticates with a username/password combo instead of access tokens or headers. Con l'accesso basato su password, gli utenti devono eseguire la procedura di accesso all'applicazione solo al primo accesso.With password-based sign-on, your users need to sign in to the application the first time they access it. Successivamente, sarà Azure Active Directory a fornire il nome utente e la password per conto dell'utente.After that, Azure Active Directory supplies the username and password on behalf of the user.

Per informazioni sulla configurazione dell'accesso basato su password, vedere Insieme di credenziali delle password per l'accesso Single Sign-On con il proxy di applicazione.For information about setting up password-based sign-on, see Password vaulting for single sign-on with Application Proxy.

Linked sign-on (Accesso collegato)Linked sign-on

Se è già stata configurata una soluzione di accesso Single Sign-On per le identità locali, scegliere Accesso collegato.If you already have a single sign-on solution set up for your on-premises identities, choose Linked sign-on. Questa opzione consente ad Azure Active Directory di sfruttare le soluzioni Single Sign-On esistenti, ma continua a offrire agli utenti l'accesso remoto all'applicazione.This option enables Azure Active Directory to leverage existing SSO solutions, but still gives your users remote access to the application.

Per altre informazioni sul linked sign-on (accesso collegato), noto formalmente come Single Sign-On esistente, vedere Informazioni sull'accesso alle applicazioni e Single Sign-On con Azure Active Directory.For information about linked sign-on (formally known as existing single sign-on), see What is application access and single sign-on with Azure Active Directory?.

Autenticazione integrata di WindowsIntegrated Windows Authentication

Se le applicazioni locali usano l'autenticazione di Windows integrata o se si preferisce usare la delega vincolata Kerberos per l'accesso Single Sign-On, scegliere Autenticazione di Windows integrata.If your on-premises applications use Integrated Windows Authentication(IWA) or if you want to use Kerberos Constrained Delegation (KCD) for single sign-on, choose Integrated Windows Authentication. Con questa opzione, l'utente deve solo eseguire l'autenticazione ad Azure Active Directory e il connettore del proxy di applicazione acquisirà un token Kerberos e accederà all'applicazione per conto dell'utente.With this option, your users only need to authenticate to Azure Active Directory, and then the Application Proxy connector impersonates the user to get a Kerberos token and sign in to the application.

Per informazioni sulla configurazione dell'autenticazione di Windows integrata, vedere Delega vincolata Kerberos per l'accesso Single Sign-On con il proxy di applicazione.For information about setting up Integrated Windows Authentication, see Kerberos Constrained Delegation for single sign-on with Application Proxy.

Accesso basato su intestazioneHeader-based sign-on

Se le applicazioni usano le intestazioni per l'autenticazione, scegliere Accesso basato su intestazione.If your applications use headers for authentication, choose Header-based sign-on. Con questa opzione, gli utenti devono solo eseguire l'autenticazione ad Azure Active Directory.With this option, your users only need to authentication the Azure Active Directory. Microsoft si avvale di un servizio di autenticazione di terze parti chiamato PingAccess, che converte il token di accesso ad Azure Active Directory in un formato di intestazione per l'applicazione.Microsoft partners with a third-party authentication service called PingAccess, which translated the Azure Active Directory access token into a header format for the application.

Per informazioni sulla configurazione dell'autenticazione basata su intestazione, vedere Autenticazione basata su intestazione per l'accesso Single Sign-On con il proxy di applicazione.For information about setting up header-based authentication, see Header-based authentication for single sign-on with Application Proxy.

Passaggi successiviNext steps