Accesso Single Sign-On facile di Azure Active Directory: domande frequentiAzure Active Directory Seamless Single Sign-On: Frequently asked questions

Questo articolo risponde ad alcune domande frequenti relative all'accesso Single Sign-On facile (SSO facile) di Azure Active Directory.In this article, we address frequently asked questions about Azure Active Directory Seamless Single Sign-On (Seamless SSO). Visitare questa pagina regolarmente per nuovi contenuti.Keep checking back for new content.

Con quali metodi di accesso funziona l'accesso SSO facile?What sign-in methods do Seamless SSO work with?

L'accesso SSO facile può essere combinato con i metodi di accesso che usano la sincronizzazione dell'hash delle password o l'autenticazione pass-through.Seamless SSO can be combined with either the Password Hash Synchronization or Pass-through Authentication sign-in methods. Tuttavia, questa funzionalità non può essere usata con Active Directory Federation Services (AD FS).However this feature cannot be used with Active Directory Federation Services (ADFS).

La funzionalità Accesso SSO facile è disponibile gratuitamente?Is Seamless SSO a free feature?

La funzionalità Accesso SSO facile è una funzionalità gratuita e non serve alcuna delle edizioni a pagamento di Azure AD per usarla.Seamless SSO is a free feature and you don't need any paid editions of Azure AD to use it. Rimane gratuita quando la funzionalità raggiunge la disponibilità generale.It remains free when the feature reaches general availability.

Quali applicazioni possono sfruttare le capacità dei parametri domain_hint o login_hint dell'accesso SSO facile?What applications take advantage of domain_hint or login_hint parameter capability of Seamless SSO?

Attualmente è in corso la compilazione dell'elenco delle applicazioni che inviano tali parametri e di quelle che non lo fanno.We are in the process of compiling the list of applications that send these parameters and the ones that don't. Se si hanno applicazioni interessate, segnalarlo nella sezione dei commenti.If you have applications that are interested in, let us know in the comments section.

L'accesso SSO facile supporta Alternate ID come nome utente, anziché userPrincipalName?Does Seamless SSO support Alternate ID as the username, instead of userPrincipalName?

Sì.Yes. L'accesso SSO facile supporta Alternate ID come nome utente quando è configurato in Azure AD Connect, come illustrato qui.Seamless SSO supports Alternate ID as the username when configured in Azure AD Connect as shown here. Non tutte le applicazioni di Office 365 supportano Alternate ID.Not all Office 365 applications support Alternate ID. Fare riferimento alla documentazione dell'applicazione specifica per sapere se è supportato.Refer to the specific application's documentation for the support statement.

Se si vuole registrare dispositivi non Windows 10 con Azure AD, senza l'uso di AD FS,I want to register non-Windows 10 devices with Azure AD, without using AD FS. è possibile usare l'accesso SSO facile?Can I use Seamless SSO instead?

Sì, per questo scenario è necessaria la versione 2.1 o versione successiva del client Workplace Join.Yes, this scenario needs version 2.1 or later of the workplace-join client.

Come è possibile rinnovare la chiave di decrittografia di Kerberos dell'account computer AZUREADSSOACC?How can I roll over the Kerberos decryption key of the AZUREADSSOACC computer account?

È importante rinnovare spesso la chiave di decrittografia di Kerberos dell'account computer AZUREADSSOACC, che rappresenta Azure AD, creato nella foresta di AD locale.It is important to frequently roll over the Kerberos decryption key of the AZUREADSSOACC computer account (which represents Azure AD) created in your on-premises AD forest.

Importante

È consigliabile rinnovare la chiave di decrittografia di Kerberos almeno ogni 30 giorni.We highly recommend that you roll over the Kerberos decryption key at least every 30 days.

Seguire questa procedura nel server locale in cui si esegue Azure AD Connect:Follow these steps on the on-premises server where you are running Azure AD Connect:

Passaggio 1.Step 1. Ottenere l'elenco delle foreste di Active Directory in cui è stata abilitata la funzionalità Accesso SSO facileGet list of AD forests where Seamless SSO has been enabled

  1. Scaricare e installare prima l' Assistente per l'accesso ai Microsoft Online Services.First, download, and install the Microsoft Online Services Sign-In Assistant.
  2. Scaricare e installare quindi il modulo di Azure Active Directory a 64 bit per Windows PowerShell.Then download and install the 64-bit Azure Active Directory module for Windows PowerShell.
  3. Passare alla cartella %programfiles%\Microsoft Azure Active Directory Connect.Navigate to the %programfiles%\Microsoft Azure Active Directory Connect folder.
  4. Importare il modulo di PowerShell Seamless SSO usando il comando seguente: Import-Module .\AzureADSSO.psd1.Import the Seamless SSO PowerShell module using this command: Import-Module .\AzureADSSO.psd1.
  5. Eseguire PowerShell come amministratore.Run PowerShell as an Administrator. In PowerShell eseguire la chiamata a New-AzureADSSOAuthenticationContext.In PowerShell, call New-AzureADSSOAuthenticationContext. Il comando dovrebbe far sì che venga visualizzata una finestra popup per l'immissione delle credenziali dell'amministratore globale del tenant.This command should give you a popup to enter your tenant's Global Administrator credentials.
  6. Eseguire la chiamata a Get-AzureADSSOStatus.Call Get-AzureADSSOStatus. ll comando consente di visualizzare l'elenco di foreste di Active Directory, ovvero l'elenco "Domini", in cui è stata abilitata questa funzionalità.This command provides you the list of AD forests (look at the "Domains" list) on which this feature has been enabled.

Passaggio 2.Step 2. Aggiornare la chiave di decrittografia di Kerberos in ogni foresta di Active Directory in cui è stata impostataUpdate the Kerberos decryption key on each AD forest that it was set it up on

  1. Eseguire la chiamata a $creds = Get-Credential.Call $creds = Get-Credential. Quando richiesto, immettere le credenziali dell'amministratore di dominio per la foresta di Active Directory da usare.When prompted, enter the Domain Administrator credentials for the intended AD forest.
  2. Eseguire la chiamata a Update-AzureADSSOForest -OnPremCredentials $creds.Call Update-AzureADSSOForest -OnPremCredentials $creds. Questo comando aggiorna la chiave di decrittografia di Kerberos per l'account computer AZUREADSSOACC in questa foresta di AD specifica e la aggiorna in Azure AD.This command updates the Kerberos decryption key for the AZUREADSSOACC computer account in this specific AD forest and updates it in Azure AD.
  3. Ripetere i passaggi precedenti per ogni foresta di Active Directory in cui è stata configurata la funzionalità.Repeat the preceding steps for each AD forest that you’ve set up the feature on.

Importante

Assicurarsi di non eseguire il comando Update-AzureADSSOForest più di una volta.Ensure that you don't run the Update-AzureADSSOForest command more than once. In caso contrario, la funzionalità si interrompe fino alla scadenza dei ticket Kerberos degli utenti e fino a quando non vengono nuovamente inviati da Active Directory locale.Otherwise, the feature stops working until the time your users' Kerberos tickets expire and are reissued by your on-premises Active Directory.

Come è possibile disabilitare l'accesso SSO facile?How can I disable Seamless SSO?

La funzionalità Accesso SSO facile può essere disabilitata tramite Azure AD Connect.Seamless SSO can be disabled using Azure AD Connect.

Eseguire Azure AD Connect, scegliere la pagina "Cambia l'accesso utente" e fare clic su "Avanti".Run Azure AD Connect, choose "Change user sign-in page" and click "Next". Deselezionare quindi l'opzione "Abilita Single Sign-On".Then uncheck the "Enable single sign on" option. Continuare la procedura guidata.Continue through the wizard. Al termine della procedura guidata, l'accesso SSO facile è disabilitato nel tenant.After completion of the wizard, Seamless SSO is disabled on your tenant.

Viene tuttavia visualizzato un messaggio con il testo seguente:However, you see a message on screen that reads as follows:

"L'accesso Single Sign-On è ora disabilitato, ma è necessario eseguire altri passaggi manuali per completare la pulizia."Single sign-on is now disabled, but there are additional manual steps to perform in order to complete clean-up. Altre informazioni"Learn more"

Per completare il processo, seguire questa procedura manuale nel server locale in cui si esegue Azure AD Connect:To complete the process, follow these manual steps on the on-premises server where you are running Azure AD Connect:

Passaggio 1.Step 1. Ottenere l'elenco delle foreste di Active Directory in cui è stata abilitata la funzionalità Accesso SSO facileGet list of AD forests where Seamless SSO has been enabled

  1. Scaricare e installare prima l' Assistente per l'accesso ai Microsoft Online Services.First, download, and install the Microsoft Online Services Sign-In Assistant.
  2. Scaricare e installare quindi il modulo di Azure Active Directory a 64 bit per Windows PowerShell.Then download and install the 64-bit Azure Active Directory module for Windows PowerShell.
  3. Passare alla cartella %programfiles%\Microsoft Azure Active Directory Connect.Navigate to the %programfiles%\Microsoft Azure Active Directory Connect folder.
  4. Importare il modulo di PowerShell Seamless SSO usando il comando seguente: Import-Module .\AzureADSSO.psd1.Import the Seamless SSO PowerShell module using this command: Import-Module .\AzureADSSO.psd1.
  5. Eseguire PowerShell come amministratore.Run PowerShell as an Administrator. In PowerShell eseguire la chiamata a New-AzureADSSOAuthenticationContext.In PowerShell, call New-AzureADSSOAuthenticationContext. Il comando dovrebbe far sì che venga visualizzata una finestra popup per l'immissione delle credenziali dell'amministratore globale del tenant.This command should give you a popup to enter your tenant's Global Administrator credentials.
  6. Eseguire la chiamata a Get-AzureADSSOStatus.Call Get-AzureADSSOStatus. ll comando consente di visualizzare l'elenco di foreste di Active Directory, ovvero l'elenco "Domini", in cui è stata abilitata questa funzionalità.This command provides you the list of AD forests (look at the "Domains" list) on which this feature has been enabled.

Passaggio 2.Step 2. Eliminare manualmente l'account computer AZUREADSSOACCT da ogni foresta di AD elencata.Manually delete the AZUREADSSOACCT computer account from each AD forest that you see listed.

Passaggi successiviNext steps