Accesso Single Sign-On facile di Azure Active Directory: domande frequentiAzure Active Directory Seamless Single Sign-On: Frequently asked questions

Questo articolo risponde ad alcune domande frequenti relative all'accesso Single Sign-On facile (SSO facile) di Azure Active Directory.In this article, we address frequently asked questions about Azure Active Directory Seamless Single Sign-On (Seamless SSO). Visitare questa pagina regolarmente per nuovi contenuti.Keep checking back for new content.

Con quali metodi di accesso funziona l'accesso SSO facile?What sign-in methods do Seamless SSO work with?

L'accesso SSO facile può essere combinato con i metodi di accesso che usano la sincronizzazione dell'hash delle password o l'autenticazione pass-through.Seamless SSO can be combined with either the Password Hash Synchronization or Pass-through Authentication sign-in methods. Tuttavia, questa funzionalità non può essere usata con Active Directory Federation Services (AD FS).However this feature cannot be used with Active Directory Federation Services (ADFS).

La funzionalità Accesso SSO facile è disponibile gratuitamente?Is Seamless SSO a free feature?

La funzionalità Accesso SSO facile è una funzionalità gratuita e non serve alcuna delle edizioni a pagamento di Azure AD per usarla.Seamless SSO is a free feature and you don't need any paid editions of Azure AD to use it.

L'accesso Single Sign-On facile è disponibile nel cloud Microsoft Azure Germania e nel cloud Microsoft Azure per enti pubblici?Is Seamless SSO available in the Microsoft Azure Germany cloud and the Microsoft Azure Government cloud?

No.No. L'accesso Single Sign-On facile è disponibile solo nell'istanza di Azure AD a livello mondiale.Seamless SSO is only available in the worldwide instance of Azure AD.

Quali applicazioni possono sfruttare le capacità dei parametri domain_hint o login_hint dell'accesso SSO facile?What applications take advantage of domain_hint or login_hint parameter capability of Seamless SSO?

Di seguito è riportato un elenco non completo delle applicazioni che inviano questi parametri ad Azure AD, consentendo agli utenti un'esperienza di accesso automatico tramite l'accesso Single Sign-On facile (ad esempio, senza che agli utenti sia richiesto di immettere il proprio username):Listed below is a non-exhaustive list of applications that send these parameters to Azure AD, and therefore provides users a silent sign-on experience using Seamless SSO (i.e., no need for your users to input their usernames):

Nome dell'applicazioneApplication name URL applicazione da usareApplication URL to be used
Pannello di accessoAccess panel myapps.microsoft.com/contoso.commyapps.microsoft.com/contoso.com
Outlook nel WebOutlook on Web outlook.office365.com/contoso.comoutlook.office365.com/contoso.com

In aggiunta, gli utenti possono usufruire di un'esperienza di accesso automatico nei casi in cui l'applicazione invia le richieste di accesso agli endpoint con tenant di Azure AD, ovvero https://login.microsoftonline.com/contoso.com/<..> o https://login.microsoftonline.com/<tenant_ID>/<..>, anziché all'endpoint comune di Azure AD (https://login.microsoftonline.com/common/<...>).In addition, users get a silent sign-on experience if an application sends sign-in requests to Azure AD's tenanted endpoints - that is, https://login.microsoftonline.com/contoso.com/<..> or https://login.microsoftonline.com/<tenant_ID>/<..> - instead of Azure AD's common endpoint - that is, https://login.microsoftonline.com/common/<...>. Di seguito viene fornito un elenco, non completo, di applicazioni che generano questi tipi di richieste di accesso.Listed below is a non-exhaustive list of applications that make these types of sign-in requests.

Nome dell'applicazioneApplication name URL applicazione da usareApplication URL to be used
SharePoint OnlineSharePoint Online contoso.sharepoint.comcontoso.sharepoint.com
Portale di AzureAzure portal portal.azure.com/contoso.comportal.azure.com/contoso.com

Nelle tabelle precedenti sostituire "contoso.com" con il nome di dominio per ottenere gli URL dell'applicazione corretti per il tenant.In the above tables, replace "contoso.com" with your domain name to get to the right application URLs for your tenant.

Se si desidera che altre applicazioni utilizzino la nostra esperienza di accesso automatico, si prega di segnalarlo nella sezione commenti e suggerimenti.If you want other applications using our silent sign-on experience, let us know in the feedback section.

L'accesso SSO facile supporta Alternate ID come nome utente, anziché userPrincipalName?Does Seamless SSO support Alternate ID as the username, instead of userPrincipalName?

Sì.Yes. L'accesso SSO facile supporta Alternate ID come nome utente quando è configurato in Azure AD Connect, come illustrato qui.Seamless SSO supports Alternate ID as the username when configured in Azure AD Connect as shown here. Non tutte le applicazioni di Office 365 supportano Alternate ID.Not all Office 365 applications support Alternate ID. Fare riferimento alla documentazione dell'applicazione specifica per sapere se è supportato.Refer to the specific application's documentation for the support statement.

Qual è la differenza tra l'esperienza Single Sign-On offerta da Aggiunta ad Azure AD e dall'accesso Single Sign-On facile?What is the difference between the single sign-on experience provided by Azure AD Join and Seamless SSO?

Aggiunta ad Azure AD offre l'accesso SSO agli utenti se i dispositivi sono registrati con Azure AD.Azure AD Join provides SSO to users if their devices are registered with Azure AD. Questi dispositivi non devono necessariamente essere aggiunti a un dominio.These devices don't necessarily have to be domain-joined. L'accesso SSO viene fornito usando token di aggiornamento primari o PRT e non Kerberos.SSO is provided using primary refresh tokens or PRTs, and not Kerberos. L'esperienza utente è ottimale sui dispositivi Windows 10.The user experience is most optimal on Windows 10 devices. L'accesso SSO viene eseguito automaticamente nel browser Microsoft Edge.SSO happens automatically on the Edge browser. Funziona anche in Chrome con l'uso di un'estensione del browser.It also works on Chrome with the use of a browser extension.

È possibile usare sia Aggiunta ad Azure AD che Single Sign-On facile nel tenant.You can use both Azure AD Join and Seamless SSO on your tenant. Queste due funzionalità sono complementari.These two features are complementary. Se entrambe le funzionalità sono attivate, l'accesso SSO di Aggiunta ad Azure AD ha la precedenza su Single Sign-On facile.If both features are turned on, then SSO from Azure AD Join takes precedence over Seamless SSO.

Se si vuole registrare dispositivi non Windows 10 con Azure AD, senza l'uso di AD FS,I want to register non-Windows 10 devices with Azure AD, without using AD FS. è possibile usare l'accesso SSO facile?Can I use Seamless SSO instead?

Sì, per questo scenario è necessaria la versione 2.1 o versione successiva del client Workplace Join.Yes, this scenario needs version 2.1 or later of the workplace-join client.

Come è possibile rinnovare la chiave di decrittografia di Kerberos dell'account computer AZUREADSSOACC?How can I roll over the Kerberos decryption key of the AZUREADSSOACC computer account?

È importante rinnovare spesso la chiave di decrittografia di Kerberos dell'account computer AZUREADSSOACC, che rappresenta Azure AD, creato nella foresta di AD locale.It is important to frequently roll over the Kerberos decryption key of the AZUREADSSOACC computer account (which represents Azure AD) created in your on-premises AD forest.

Importante

È consigliabile rinnovare la chiave di decrittografia di Kerberos almeno ogni 30 giorni.We highly recommend that you roll over the Kerberos decryption key at least every 30 days.

Seguire questa procedura nel server locale in cui si esegue Azure AD Connect:Follow these steps on the on-premises server where you are running Azure AD Connect:

Passaggio 1.Step 1. Ottenere l'elenco delle foreste di Active Directory in cui è stata abilitata la funzionalità Accesso SSO facileGet list of AD forests where Seamless SSO has been enabled

  1. Scaricare e installare prima l' Assistente per l'accesso ai Microsoft Online Services.First, download, and install the Microsoft Online Services Sign-In Assistant.
  2. Scaricare e installare quindi il modulo di Azure Active Directory a 64 bit per Windows PowerShell.Then download and install the 64-bit Azure Active Directory module for Windows PowerShell.
  3. Passare alla cartella %programfiles%\Microsoft Azure Active Directory Connect.Navigate to the %programfiles%\Microsoft Azure Active Directory Connect folder.
  4. Importare il modulo di PowerShell Seamless SSO usando il comando seguente: Import-Module .\AzureADSSO.psd1.Import the Seamless SSO PowerShell module using this command: Import-Module .\AzureADSSO.psd1.
  5. Eseguire PowerShell come amministratore.Run PowerShell as an Administrator. In PowerShell eseguire la chiamata a New-AzureADSSOAuthenticationContext.In PowerShell, call New-AzureADSSOAuthenticationContext. Il comando dovrebbe far sì che venga visualizzata una finestra popup per l'immissione delle credenziali dell'amministratore globale del tenant.This command should give you a popup to enter your tenant's Global Administrator credentials.
  6. Eseguire la chiamata a Get-AzureADSSOStatus.Call Get-AzureADSSOStatus. ll comando consente di visualizzare l'elenco di foreste di Active Directory, ovvero l'elenco "Domini", in cui è stata abilitata questa funzionalità.This command provides you the list of AD forests (look at the "Domains" list) on which this feature has been enabled.

Passaggio 2.Step 2. Aggiornare la chiave di decrittografia di Kerberos in ogni foresta di Active Directory in cui è stata impostataUpdate the Kerberos decryption key on each AD forest that it was set it up on

  1. Eseguire la chiamata a $creds = Get-Credential.Call $creds = Get-Credential. Quando richiesto, immettere le credenziali dell'amministratore di dominio per la foresta di Active Directory da usare.When prompted, enter the Domain Administrator credentials for the intended AD forest.
  2. Eseguire la chiamata a Update-AzureADSSOForest -OnPremCredentials $creds.Call Update-AzureADSSOForest -OnPremCredentials $creds. Questo comando aggiorna la chiave di decrittografia di Kerberos per l'account computer AZUREADSSOACC in questa foresta di AD specifica e la aggiorna in Azure AD.This command updates the Kerberos decryption key for the AZUREADSSOACC computer account in this specific AD forest and updates it in Azure AD.
  3. Ripetere i passaggi precedenti per ogni foresta di Active Directory in cui è stata configurata la funzionalità.Repeat the preceding steps for each AD forest that you’ve set up the feature on.

Importante

Assicurarsi di non eseguire il comando Update-AzureADSSOForest più di una volta.Ensure that you don't run the Update-AzureADSSOForest command more than once. In caso contrario, la funzionalità si interrompe fino alla scadenza dei ticket Kerberos degli utenti e fino a quando non vengono nuovamente inviati da Active Directory locale.Otherwise, the feature stops working until the time your users' Kerberos tickets expire and are reissued by your on-premises Active Directory.

Come è possibile disabilitare l'accesso SSO facile?How can I disable Seamless SSO?

La funzionalità Accesso SSO facile può essere disabilitata tramite Azure AD Connect.Seamless SSO can be disabled using Azure AD Connect.

Eseguire Azure AD Connect, scegliere la pagina "Cambia l'accesso utente" e fare clic su "Avanti".Run Azure AD Connect, choose "Change user sign-in page" and click "Next". Deselezionare quindi l'opzione "Abilita Single Sign-On".Then uncheck the "Enable single sign on" option. Continuare la procedura guidata.Continue through the wizard. Al termine della procedura guidata, l'accesso SSO facile è disabilitato nel tenant.After completion of the wizard, Seamless SSO is disabled on your tenant.

Viene tuttavia visualizzato un messaggio con il testo seguente:However, you see a message on screen that reads as follows:

"L'accesso Single Sign-On è ora disabilitato, ma è necessario eseguire altri passaggi manuali per completare la pulizia."Single sign-on is now disabled, but there are additional manual steps to perform in order to complete clean-up. Altre informazioni"Learn more"

Per completare il processo, seguire questa procedura manuale nel server locale in cui si esegue Azure AD Connect:To complete the process, follow these manual steps on the on-premises server where you are running Azure AD Connect:

Passaggio 1.Step 1. Ottenere l'elenco delle foreste di Active Directory in cui è stata abilitata la funzionalità Accesso SSO facileGet list of AD forests where Seamless SSO has been enabled

  1. Scaricare e installare prima l' Assistente per l'accesso ai Microsoft Online Services.First, download, and install the Microsoft Online Services Sign-In Assistant.
  2. Scaricare e installare quindi il modulo di Azure Active Directory a 64 bit per Windows PowerShell.Then download and install the 64-bit Azure Active Directory module for Windows PowerShell.
  3. Passare alla cartella %programfiles%\Microsoft Azure Active Directory Connect.Navigate to the %programfiles%\Microsoft Azure Active Directory Connect folder.
  4. Importare il modulo di PowerShell Seamless SSO usando il comando seguente: Import-Module .\AzureADSSO.psd1.Import the Seamless SSO PowerShell module using this command: Import-Module .\AzureADSSO.psd1.
  5. Eseguire PowerShell come amministratore.Run PowerShell as an Administrator. In PowerShell eseguire la chiamata a New-AzureADSSOAuthenticationContext.In PowerShell, call New-AzureADSSOAuthenticationContext. Il comando dovrebbe far sì che venga visualizzata una finestra popup per l'immissione delle credenziali dell'amministratore globale del tenant.This command should give you a popup to enter your tenant's Global Administrator credentials.
  6. Eseguire la chiamata a Get-AzureADSSOStatus.Call Get-AzureADSSOStatus. ll comando consente di visualizzare l'elenco di foreste di Active Directory, ovvero l'elenco "Domini", in cui è stata abilitata questa funzionalità.This command provides you the list of AD forests (look at the "Domains" list) on which this feature has been enabled.

Passaggio 2.Step 2. Eliminare manualmente l'account computer AZUREADSSOACCT da ogni foresta di AD elencata.Manually delete the AZUREADSSOACCT computer account from each AD forest that you see listed.

Passaggi successiviNext steps