Accesso Single Sign-On facile di Azure Active Directory: guida introduttiva

Come distribuire l'accesso Single Sign-On facile

La funzionalità Accesso Single Sign-On facile (Accesso SSO facile) di Azure Active Directory consente agli utenti di eseguire l'accesso automaticamente dai desktop di proprietà dell'azienda connessi alla rete aziendale. Consente agli utenti di accedere facilmente alle applicazioni basate su cloud senza la necessità di componenti aggiuntivi in locale.

Per distribuire l'accesso SSO facile, è necessario seguire questa procedura:

Passaggio 1: Verificare i prerequisiti

Accertarsi di aver soddisfatto i prerequisiti seguenti:

  1. Configurare il server di Azure AD Connect: se si usa l'autenticazione pass-through come metodo di accesso, non è necessaria alcuna altra azione. Se come metodo di accesso si usa la sincronizzazione dell'hash delle password e se vi è un firewall tra Azure AD Connect e Azure AD, assicurarsi che:
  2. Si usi la versione 1.1.484.0 o versioni successive di Azure AD Connect.
  3. Azure AD Connect possa comunicare con gli URL *.msappproxy.net e tramite la porta 443. Questo prerequisito è applicabile solo quando si abilita la funzionalità, non per gli accessi utente effettivi.
  4. Azure AD Connect possa eseguire connessioni IP dirette agli intervalli IP dei data center di Azure. Anche questo prerequisito è applicabile solo quando si abilita la funzionalità.
  5. Sono necessarie le credenziali di amministratore di dominio per ogni foresta di AD che si sincronizza con Azure AD, tramite Azure AD Connect, e per i cui utenti si vuole abilitare la funzionalità Accesso SSO facile.

Passaggio 2: Abilitare la funzionalità

La funzionalità Accesso SSO facile può essere abilitata tramite Azure AD Connect.

Se si esegue una nuova installazione di Azure AD Connect, scegliere il percorso di installazione personalizzato. Nella pagina "Accesso utente" selezionare l'opzione "Abilita Single Sign-On".

Azure AD Connect - Accesso utente

Se Azure AD Connect è già installato, scegliere la pagina "Cambia l'accesso utente" in Azure AD Connect e fare clic su "Avanti". Selezionare quindi l'opzione "Abilita Single Sign-On".

Azure AD Connect - Cambiare l'accesso utente

Continuare la procedura guidata fino a quando si arriva alla pagina "Abilita Single Sign-On". Immettere le credenziali di amministratore di dominio per ogni foresta di AD che si sincronizza con Azure AD, tramite Azure AD Connect, e per i cui utenti si vuole abilitare la funzionalità Accesso SSO facile.

Al termine della procedura guidata, l'accesso SSO facile è abilitato nel tenant.

Nota

Le credenziali di amministratore di dominio non vengono archiviate in Azure AD Connect o in Azure AD, ma vengono usate solo per abilitare la funzionalità.

Seguire queste istruzioni per verificare di aver abilitato correttamente l'accesso Single Sign-On facile:

  1. Accedere all'interfaccia di amministrazione di Azure Active Directory con le credenziali di amministratore globale del tenant.
  2. Selezionare Azure Active Directory nell'opzione di spostamento a sinistra.
  3. Selezionare Azure AD Connect.
  4. Verificare che la funzionalità Accesso Single Sign-On facile sia impostata su Abilitato.

Portale di Azure - Pannello Azure AD Connect

Passaggio 3: Distribuire la funzionalità

Per distribuire la funzionalità agli utenti, è necessario aggiungere gli URL di Azure AD seguenti alle impostazioni dell'area Intranet degli utenti usando Criteri di gruppo in Active Directory:

Nota

Le istruzioni seguenti valgono solo per Internet Explorer e Google Chrome in Windows, se condivide l'insieme di URL di siti attendibili con Internet Explorer. Vedere la sezione successiva per istruzioni sulla configurazione di Mozilla Firefox e Google Chrome su Mac.

Motivo per cui è necessario modificare le impostazioni della zona Intranet degli utenti

Per impostazione predefinita, il browser calcola automaticamente l'area giusta, Internet o Intranet, dall'URL. Ad esempio l'URL http://contoso/ viene mappato all'area Intranet, mentre l'URL http://intranet.contoso.com/ viene mappato all'area Internet perché l'URL contiene un punto. I browser non inviano i ticket Kerberos a un endpoint del cloud, come i due URL di Azure AD, a meno che l'URL relativo non venga aggiunto all'area Intranet del browser.

Procedura dettagliata

  1. Aprire lo strumento Gestione criteri di gruppo.
  2. Modificare i Criteri di gruppo applicati ad alcuni utenti o a tutti. In questo esempio viene usato Criterio dominio predefinito.
  3. Passare a Configurazione utente\Modelli amministrativi\Componenti di Windows\Internet Explorer\Pannello di controllo Internet\Scheda Sicurezza e selezionare Elenco di assegnazione siti ad aree. Single Sign-On
  4. Abilitare i criteri e immettere i valori seguenti (URL di Azure AD in cui vengono inoltrati i ticket Kerberos) e i dati (1 indica l'area Intranet) nella finestra di dialogo.

     Value: https://autologon.microsoftazuread-sso.com
     Data: 1
     Value: https://aadg.windows.net.nsatc.net
     Data: 1
    

    Nota

    Se si vuole impedire ad alcuni utenti di usare l'accesso SSO facile, ad esempio se tali utenti accedono da chioschi multimediali condivisi, impostare i valori precedenti su 4. Questa azione aggiunge gli URL di Azure AD all'Area con restrizioni e fa sì che l'accesso SSO facile abbia sempre esito negativo.

  5. Fare clic su OK, quindi nuovamente su OK.

Single sign-on

Considerazioni sui browser

Mozilla Firefox

Mozilla Firefox non esegue automaticamente l'autenticazione Kerberos. Ogni utente deve aggiungere manualmente gli URL di Azure AD alle impostazioni di Firefox usando la procedura seguente:

  1. Eseguire Firefox e immettere about:config nella barra degli indirizzi. Eliminare tutte le notifiche visualizzate.
  2. Cercare la preferenza network.negotiate-auth.trusted-uris. Questa preferenza elenca i siti attendibili di Firefox per l'autenticazione Kerberos.
  3. Fare clic con il pulsante destro del mouse e selezionare "Modifica".
  4. Immettere "https://autologon.microsoftazuread-sso.com, https://aadg.windows.net.nsatc.net" nel campo.
  5. Fare clic su "OK" e riaprire il browser.

Safari su Mac OS

Verificare che il computer che esegue Mac OS sia stato aggiunto a un dominio di AD. Qui sono disponibili istruzioni su come eseguire l'operazione.

Google Chrome su Mac OS

Per Google Chrome su Mac OS e altre piattaforme non Windows, fare riferimento a questo articolo per informazioni su come aggiungere gli URL di Azure AD all'elenco degli elementi consentiti per l'autenticazione integrata.

L'uso delle estensioni dei Criteri di gruppo di Active Directory di terze parti per distribuire gli URL di Azure AD in Firefox e Google Chrome su Mac esula dall'ambito di questo articolo.

Limitazioni note dei browser

L'accesso SSO facile non funziona in modalità di esplorazione privata in Firefox e nel browser Edge. Non funziona inoltre in Internet Explorer se il browser è in esecuzione in modalità di protezione avanzata.

Importante

Di recente è stato eseguito il rollback del supporto per Microsoft Edge per analizzare i problemi segnalati dai clienti.

Passaggio 4: Testare la funzionalità

Per testare la funzionalità per un utente specifico, assicurarsi che tutte le condizioni seguenti siano soddisfatte:

  • L'utente esegue l'accesso da un dispositivo aziendale.
  • Il dispositivo è stato aggiunto in precedenza al dominio di Active Directory (AD).
  • Il dispositivo ha una connessione diretta al controller di dominio (DC, Domain Controller), nella rete aziendale cablata o wireless o tramite una connessione di accesso remoto, ad esempio una connessione VPN.
  • La funzionalità è stata distribuita all'utente tramite Criteri di gruppo.

Per testare lo scenario in cui l'utente immette solo il nome utente ma non la password:

Per testare lo scenario in cui l'utente non è obbligato a immettere nome utente o password:

Passaggio 5: Rinnovare le chiavi

Nel passaggio 2, Azure AD Connect crea gli account computer, che rappresentano Azure AD, in tutte le foreste di AD in cui è stato abilitato l'accesso SSO facile. Qui sono disponibili informazioni dettagliate a riguardo. Per una maggiore sicurezza, è consigliabile rinnovare periodicamente le chiavi di decrittografia Kerberos di questi account computer. Le istruzioni per eseguire il rinnovo sono disponibili qui.

Importante

Non è necessario farlo subito dopo aver abilitato la funzionalità. Rinnovare le chiave di decrittografia di Kerberos almeno ogni 30 giorni.

Passaggi successivi