Accesso Single Sign-On facile di Azure Active Directory: approfondimento tecnico

Questo articolo riporta i dettagli tecnici del funzionamento dell'accesso Single Sign-On (SSO) facile di Azure Active Directory.

Come opera la SSO facille?

Questa sezione è composta da due parti:

  1. Installazione della funzionalità di accesso SSO facile.
  2. Funzionamento di una transazione di accesso utente singolo con SSO facile.

Installazione

L'accesso SSO facile viene abilitato con Azure AD Connect, come illustrato qui. Durante l'abilitazione della funzionalità, si verificano i passaggi seguenti:

  • Un account computer denominato AZUREADSSOACC, che rappresenta Azure AD, viene creato in Active Directory (AD) locale.
  • La chiave di decrittografia Kerberos dell'account computer viene condivisa in modo sicuro con Azure AD.
  • Vengono anche creati due nomi dell'entità servizio (SPN, Service Principal Name) Kerberos per rappresentare due URL usati durante l'accesso ad Azure AD.

Nota

L'account computer e gli SPN Kerberos vengono creati in ogni foresta di AD che si sincronizza con Azure AD, tramite Azure AD Connect, e per i cui utenti si vuole abilitare l'accesso SSO facile. Spostare l'account computer AZUREADSSOACC in un'unità organizzativa in cui sono archiviati altri account computer per assicurarsi che venga gestito allo stesso modo e non venga eliminato.

Importante

È consigliabile rinnovare la chiave di decrittografia di Kerberos dell'account computer AZUREADSSOACC almeno ogni 30 giorni.

Funzionamento dell'accesso SSO facile

Una volta completata l'installazione, l'accesso SSO facile funziona esattamente come qualsiasi altro accesso che usa l'autenticazione integrata di Windows (NTLM). Il flusso è il seguente:

  1. L'utente tenta di accedere a un'applicazione, ad esempio Outlook Web App, https://outlook.office365.com/owa/, da un dispositivo aziendale appartenente a un dominio all'interno della rete aziendale.
  2. Se l'utente non ha ancora eseguito l'accesso, viene reindirizzato alla pagina di accesso di Azure AD.

    Nota

    Se la richiesta di accesso ad Azure AD include il parametro domain_hint che identifica il tenant, ad esempio contoso.onmicrosoft.com, o il parametro login_hint che identifica l'utente, ad esempio user@contoso.onmicrosoft.com o user@contoso.com, il passaggio 2 viene saltato.

  3. L'utente digita il nome utente nella pagina di accesso di Azure AD.

  4. Tramite l'uso di JavaScript in background, Azure AD richiede al browser, tramite una risposta di tipo 401 Non autorizzato, di specificare un ticket Kerberos.
  5. Il browser, a sua volta, richiede un ticket ad Active Directory per l'account computer AZUREADSSOACC che rappresenta Azure AD.
  6. Active Directory individua l'account computer e restituisce un ticket Kerberos al browser, crittografato con il segreto dell'account computer.
  7. Il browser inoltra il ticket Kerberos acquisito da Active Directory ad Azure AD in uno degli URL di Azure AD aggiunti in precedenza nelle impostazioni dell'area Intranet del browser.
  8. Azure AD esegue la decrittografia del ticket Kerberos, che include l'identità dell'utente connesso al dispositivo aziendale, usando la chiave già condivisa.
  9. Dopo la valutazione, Azure AD restituisce un token all'applicazione oppure chiede all'utente di eseguire prove aggiuntive, ad esempio l'autenticazione a più fattori.
  10. Se l'accesso dell'utente ha esito positivo, l'utente può accedere all'applicazione.

Il diagramma seguente illustra tutti i componenti e i passaggi interessati.

Seamless Single Sign-On

L'accesso SSO facile è una funzionalità opportunistica, il che significa che, se ha esito negativo, l'esperienza di accesso dell'utente ritorna al comportamento normale, ovvero l'utente dovrà immettere la propria password per eseguire l'accesso.

Passaggi successivi