Accesso Single Sign-On facile di Azure Active Directory: approfondimento tecnicoAzure Active Directory Seamless Single Sign-On: Technical deep dive

Questo articolo riporta i dettagli tecnici del funzionamento dell'accesso Single Sign-On (SSO) facile di Azure Active Directory.This article gives you technical details into how the Azure Active Directory Seamless Single Sign-On (Seamless SSO) feature works.

Come opera la SSO facille?How does Seamless SSO work?

Questa sezione è composta da due parti:This section has two parts to it:

  1. Installazione della funzionalità di accesso SSO facile.The setup of the Seamless SSO feature.
  2. Funzionamento di una transazione di accesso utente singolo con SSO facile.How a single user sign-in transaction works with Seamless SSO.

InstallazioneHow does set up work?

L'accesso SSO facile viene abilitato con Azure AD Connect, come illustrato qui.Seamless SSO is enabled using Azure AD Connect as shown here. Durante l'abilitazione della funzionalità, si verificano i passaggi seguenti:While enabling the feature, the following steps occur:

  • Un account computer denominato AZUREADSSOACC, che rappresenta Azure AD, viene creato in Active Directory (AD) locale.A computer account named AZUREADSSOACC (which represents Azure AD) is created in your on-premises Active Directory (AD).
  • La chiave di decrittografia Kerberos dell'account computer viene condivisa in modo sicuro con Azure AD.The computer account's Kerberos decryption key is shared securely with Azure AD.
  • Vengono anche creati due nomi dell'entità servizio (SPN, Service Principal Name) Kerberos per rappresentare due URL usati durante l'accesso ad Azure AD.In addition, two Kerberos service principal names (SPNs) are created to represent two URLs that are used during Azure AD sign-in.

Nota

L'account computer e gli SPN Kerberos vengono creati in ogni foresta di AD che si sincronizza con Azure AD, tramite Azure AD Connect, e per i cui utenti si vuole abilitare l'accesso SSO facile.The computer account and the Kerberos SPNs are created in each AD forest you synchronize to Azure AD (using Azure AD Connect) and for whose users you want Seamless SSO. Spostare l'account computer AZUREADSSOACC in un'unità organizzativa in cui sono archiviati altri account computer per assicurarsi che venga gestito allo stesso modo e non venga eliminato.Move the AZUREADSSOACC computer account to an Organization Unit (OU) where other computer accounts are stored to ensure that it is managed in the same way and is not deleted.

Importante

È consigliabile rinnovare la chiave di decrittografia di Kerberos dell'account computer AZUREADSSOACC almeno ogni 30 giorni.We highly recommend that you roll over the Kerberos decryption key of the AZUREADSSOACC computer account at least every 30 days.

Funzionamento dell'accesso SSO facileHow does sign-in with Seamless SSO work?

Una volta completata l'installazione, l'accesso SSO facile funziona esattamente come qualsiasi altro accesso che usa l'autenticazione integrata di Windows (NTLM).Once the set-up is complete, Seamless SSO works the same way as any other sign-in that uses Integrated Windows Authentication (IWA). Il flusso è il seguente:The flow is as follows:

  1. L'utente tenta di accedere a un'applicazione, ad esempio Outlook Web App, https://outlook.office365.com/owa/, da un dispositivo aziendale appartenente a un dominio all'interno della rete aziendale.The user tries to access an application (for example, the Outlook Web App - https://outlook.office365.com/owa/) from a domain-joined corporate device inside your corporate network.
  2. Se l'utente non ha ancora eseguito l'accesso, viene reindirizzato alla pagina di accesso di Azure AD.If the user is not already signed in, the user is redirected to the Azure AD sign-in page.

    Nota

    Se la richiesta di accesso ad Azure AD include il parametro domain_hint che identifica il tenant, ad esempio contoso.onmicrosoft.com, o il parametro login_hint che identifica l'utente, ad esempio user@contoso.onmicrosoft.com o user@contoso.com, il passaggio 2 viene saltato.If the Azure AD sign-in request includes a domain_hint (identifying your tenant- for example, contoso.onmicrosoft.com) or login_hint (identifying the user - for example, user@contoso.onmicrosoft.com or user@contoso.com) parameter, then step 2 is skipped.

  3. L'utente digita il nome utente nella pagina di accesso di Azure AD.The user types in their user name into the Azure AD sign-in page.

  4. Tramite l'uso di JavaScript in background, Azure AD richiede al browser, tramite una risposta di tipo 401 Non autorizzato, di specificare un ticket Kerberos.Using JavaScript in the background, Azure AD challenges the browser, via a 401 Unauthorized response, to provide a Kerberos ticket.
  5. Il browser, a sua volta, richiede un ticket ad Active Directory per l'account computer AZUREADSSOACC che rappresenta Azure AD.The browser, in turn, requests a ticket from Active Directory for the AZUREADSSOACC computer account (which represents Azure AD).
  6. Active Directory individua l'account computer e restituisce un ticket Kerberos al browser, crittografato con il segreto dell'account computer.Active Directory locates the computer account and returns a Kerberos ticket to the browser encrypted with the computer account's secret.
  7. Il browser inoltra il ticket Kerberos acquisito da Active Directory ad Azure AD in uno degli URL di Azure AD aggiunti in precedenza nelle impostazioni dell'area Intranet del browser.The browser forwards the Kerberos ticket it acquired from Active Directory to Azure AD (on one of the Azure AD URLs previously added to the browser's Intranet zone settings).
  8. Azure AD esegue la decrittografia del ticket Kerberos, che include l'identità dell'utente connesso al dispositivo aziendale, usando la chiave già condivisa.Azure AD decrypts the Kerberos ticket, which includes the identity of the user signed into the corporate device, using the previously shared key.
  9. Dopo la valutazione, Azure AD restituisce un token all'applicazione oppure chiede all'utente di eseguire prove aggiuntive, ad esempio l'autenticazione a più fattori.After evaluation, Azure AD either returns a token back to the application or asks the user to perform additional proofs, such as Multi-Factor Authentication.
  10. Se l'accesso dell'utente ha esito positivo, l'utente può accedere all'applicazione.If the user sign-in is successful, the user is able to access the application.

Il diagramma seguente illustra tutti i componenti e i passaggi interessati.The following diagram illustrates all the components and the steps involved.

Seamless Single Sign-On

L'accesso SSO facile è una funzionalità opportunistica, il che significa che, se ha esito negativo, l'esperienza di accesso dell'utente ritorna al comportamento normale, ovvero l'utente dovrà immettere la propria password per eseguire l'accesso.Seamless SSO is opportunistic, which means if it fails, the sign-in experience falls back to its regular behavior - i.e, the user needs to enter their password to sign in.

Passaggi successiviNext steps