Accesso Single Sign-On facile di Azure Active Directory

Che cos'è l'accesso Single Sign-On facile di Azure Active Directory?

L'accesso Single Sign-On (SSO) facile di Azure Active Directory consente agli utenti di eseguire l'accesso automaticamente dai dispositivi di proprietà dell'azienda connessi alla rete aziendale. Quando la funzionalità è abilitata, gli utenti non devono digitare la password per accedere ad Azure AD e in genere non devono neppure digitare il proprio nome utente. Gli utenti possono accedere facilmente alle applicazioni basate sul cloud senza usare componenti aggiuntivi in locale.

L'accesso SSO facile può essere combinato con i metodi di accesso che usano la sincronizzazione dell'hash delle password o l'autenticazione pass-through.

Accesso Single Sign-On facile

Importante

L'accesso Single Sign-On facile non è applicabile ad Active Directory Federation Services (AD FS).

Vantaggi principali

  • Miglioramento dell'esperienza utente
    • Gli utenti vengono automaticamente connessi sia alle applicazioni locali che a quelle basate sul cloud.
    • Gli utenti non devono immettere ripetutamente le proprie password.
  • Facilità di distribuzione e gestione
    • Non sono necessari componenti aggiuntivi locali per usare la funzionalità.
    • Funziona con qualsiasi metodo di autenticazione cloud: sincronizzazione dell'hash delle password o autenticazione pass-through.
    • Può essere implementata per alcuni o tutti gli utenti con Criteri di gruppo.
    • Registrare dispositivi non Windows 10 con Azure AD, senza che sia necessaria un'infrastruttura AD FS. Per questa funzionalità è necessaria la versione 2.1 o successiva del client Workplace Join.

Funzionalità in primo piano

  • Il nome utente usato per l'accesso può essere il nome utente predefinito locale (userPrincipalName) o un altro attributo configurato in Azure AD Connect (Alternate ID). Sono supportati entrambi i casi d'uso, perché l'accesso Single Sign-On facile usa l'attestazione securityIdentifier nel ticket Kerberos per cercare l'oggetto utente corrispondente in Azure AD.
  • L'accesso SSO facile è una funzionalità opportunistica. Se per qualche motivo ha esito negativo, l'esperienza di accesso dell'utente ritorna al comportamento normale, ovvero l'utente deve immettere la propria password nella pagina di accesso.
  • Se un'applicazione inoltra un parametro domain_hint (OpenID Connect) o whr (SAML) per identificare il tenant o un parametro login_hint per identificare l'utente, nella richiesta di accesso ad Azure AD l'accesso degli utenti viene effettuato automaticamente, senza che debbano immettere i nomi utente o le password.
  • Può essere abilitata da Azure AD Connect.
  • È una funzionalità gratuita e non serve alcuna delle edizioni a pagamento di Azure AD per utilizzarla.
  • Può essere usata per i client basati su Web browser e i client di Office che supportano l'autenticazione moderna nelle piattaforme e nei browser idonei per l'autenticazione Kerberos:
SO\Browser Internet Explorer Edge Google Chrome Mozilla Firefox Safari
Windows 10 No Sì* N/D
Windows 8.1 N/D Sì* N/D
Windows 8 N/D Sì* N/D
Windows 7 N/D Sì* N/D
Mac OS X N/D N/D Sì* Sì* Sì*

*Richiede una configurazione aggiuntiva

Nota

Per Windows 10, si consiglia di usare il join per Azure AD per ottenere risultati ottimali dall'accesso Single Sign-On con Azure AD.

Passaggi successivi