Accesso Single Sign-On facile di Azure Active Directory: guida introduttivaAzure Active Directory Seamless Single Sign-On: Quick start

Distribuire l'accesso Single Sign-On facileDeploy Seamless Single Sign-On

L'accesso Single Sign-On facile di Azure Active Directory (Azure AD) consente l'accesso automatico degli utenti dai desktop collegati alla rete aziendale.Azure Active Directory (Azure AD) Seamless Single Sign-On (Seamless SSO) automatically signs in users when they are on their corporate desktops that are connected to your corporate network. Grazie a questa funzionalità, gli utenti possono accedere facilmente alle applicazioni basate sul cloud senza usare altri componenti a livello locale.Seamless SSO provides your users with easy access to your cloud-based applications without needing any additional on-premises components.

Per distribuire l'accesso SSO facile, seguire questa procedura.To deploy Seamless SSO, follow these steps.

Passaggio 1: Verificare i prerequisitiStep 1: Check the prerequisites

Accertarsi di aver soddisfatto i prerequisiti seguenti:Ensure that the following prerequisites are in place:

  • Configurare il server Azure AD Connect: se come metodo di accesso si usa l'autenticazione pass-through, non sono necessari altri controlli dei prerequisiti.Set up your Azure AD Connect server: If you use Pass-through Authentication as your sign-in method, no additional prerequisite check is required. Se si usa invece la sincronizzazione dell'hash delle password e se è presente un firewall tra Azure AD Connect e Azure AD:If you use password hash synchronization as your sign-in method, and if there is a firewall between Azure AD Connect and Azure AD, ensure that:

    • Usare Azure AD Connect 1.1.644.0 o versioni successive.You use version 1.1.644.0 or later of Azure AD Connect.
    • Se il firewall o il proxy consente l'inserimento di DNS nell'elenco elementi consentiti, aggiungere all'elenco le connessioni agli URL di *.msappproxy.net tramite la porta 443.If your firewall or proxy allows DNS whitelisting, whitelist the connections to the *.msappproxy.net URLs over port 443. In caso contrario, è necessario consentire l'accesso agli intervalli IP del data center di Azure, che vengono aggiornati ogni settimana.If not, allow access to the Azure datacenter IP ranges, which are updated weekly. Questo prerequisito è applicabile solo quando si abilita la funzionalità.This prerequisite is applicable only when you enable the feature. Non è necessario per gli accessi utente effettivi.It is not required for actual user sign-ins.

      Nota

      Le versioni 1.1.557.0, 1.1.558.0, 1.1.561.0 e 1.1.614.0 di Azure AD Connect presentano un problema correlato alla sincronizzazione dell'hash delle password.Azure AD Connect versions 1.1.557.0, 1.1.558.0, 1.1.561.0, and 1.1.614.0 have a problem related to password hash synchronization. Se non si prevede di usare la sincronizzazione dell'hash delle password insieme all'autenticazione pass-through, leggere le note sulla versione di Azure AD Connect per altre informazioni.If you don't intend to use password hash synchronization in conjunction with Pass-through Authentication, read the Azure AD Connect release notes to learn more.

  • Configurare le credenziali dell'amministratore di dominio: è necessario disporre di credenziali dell'amministratore di dominio per ogni foresta di Active Directory che:Set up domain administrator credentials: You need to have domain administrator credentials for each Active Directory forest that:

    • Si sincronizza con Azure AD tramite Azure AD Connect.You synchronize to Azure AD through Azure AD Connect.
    • Contiene gli utenti che si intende abilitare per l'accesso SSO facile.Contains users you want to enable for Seamless SSO.

Passaggio 2: Abilitare la funzionalitàStep 2: Enable the feature

Abilitare l'accesso SSO facile tramite Azure AD Connect.Enable Seamless SSO through Azure AD Connect.

Se si esegue una nuova installazione di Azure AD Connect, scegliere il percorso di installazione personalizzato.If you're doing a fresh installation of Azure AD Connect, choose the custom installation path. Nella pagina Accesso utente selezionare l'opzione Abilita Single Sign-On.At the User sign-in page, select the Enable single sign on option.

Azure AD Connect: Accesso utente

Se Azure AD Connect è già installato, scegliere la pagina Cambia l'accesso utente in Azure AD Connect e quindi fare clic su Avanti.If you already have an installation of Azure AD Connect, select the Change user sign-in page in Azure AD Connect, and then select Next.

Azure AD Connect: Cambia l'accesso utente

Continuare la procedura guidata finché non si visualizza la pagina Abilita Single Sign-On.Continue through the wizard until you get to the Enable single sign on page. Specificare le credenziali dell'amministratore di dominio per ogni foresta di Active Directory che:Provide domain administrator credentials for each Active Directory forest that:

  • Si sincronizza con Azure AD tramite Azure AD Connect.You synchronize to Azure AD through Azure AD Connect.
  • Contiene gli utenti che si intende abilitare per l'accesso SSO facile.Contains users you want to enable for Seamless SSO.

Al termine della procedura guidata, l'accesso SSO facile è abilitato nel tenant.After completion of the wizard, Seamless SSO is enabled on your tenant.

Nota

Le credenziali dell'amministratore di dominio non vengono archiviate in Azure AD Connect o in Azure AD,The domain administrator credentials are not stored in Azure AD Connect or in Azure AD. ma vengono usate solo per abilitare la funzionalità.They're used only to enable the feature.

Seguire queste istruzioni per verificare di aver abilitato correttamente l'accesso Single Sign-On facile:Follow these instructions to verify that you have enabled Seamless SSO correctly:

  1. Accedere all'interfaccia di amministrazione di Azure Active Directory con le credenziali di amministratore globale del tenant.Sign in to the Azure Active Directory administrative center with the global administrator credentials for your tenant.
  2. Nel riquadro sinistro selezionare Azure Active Directory.Select Azure Active Directory in the left pane.
  3. Selezionare Azure AD Connect.Select Azure AD Connect.
  4. Verificare che la funzionalità Accesso Single Sign-On facile sia impostata su Abilitato.Verify that the Seamless single sign-on feature appears as Enabled.

Portale di Azure: riquadro Azure AD Connect

Passaggio 3: Distribuire la funzionalitàStep 3: Roll out the feature

Per distribuire la funzionalità agli utenti, è necessario aggiungere gli URL di Azure AD seguenti alle impostazioni dell'area Intranet degli utenti usando Criteri di gruppo in Active Directory:To roll out the feature to your users, you need to add the following Azure AD URLs to the users' Intranet zone settings by using Group Policy in Active Directory:

Inoltre, attraverso Criteri di gruppo è necessario abilitare l'impostazione Consenti aggiornamenti alla barra di stato tramite script relativa ai criteri dell'area Intranet.In addition, you need to enable an Intranet zone policy setting called Allow updates to status bar via script through Group Policy.

Nota

Le istruzioni seguenti sono valide solo per Internet Explorer e Google Chrome in Windows, se condivide l'insieme di URL di siti attendibili con Internet Explorer.The following instructions work only for Internet Explorer and Google Chrome on Windows (if it shares a set of trusted site URLs with Internet Explorer). Per istruzioni sulla configurazione di Mozilla Firefox e Google Chrome su Mac, leggere la sezione successiva.Read the next section for instructions on how to set up Mozilla Firefox and Google Chrome on Mac.

Motivo per cui è necessario modificare le impostazioni della zona Intranet degli utentiWhy do you need to modify users' Intranet zone settings?

Per impostazione predefinita, il browser calcola automaticamente l'area corretta, Internet o Intranet, in base a un URL specifico.By default, the browser automatically calculates the correct zone, either Internet or Intranet, from a specific URL. Ad esempio, "http://contoso/" esegue il mapping all'area Intranet, mentre "http://intranet.contoso.com/" esegue il mapping all'area Internet perché l'URL contiene un punto.For example, "http://contoso/" maps to the Intranet zone, whereas "http://intranet.contoso.com/" maps to the Internet zone (because the URL contains a period). I browser non inviano ticket Kerberos a un endpoint del cloud, come i due URL di Azure AD, a meno che l'URL in questione non venga esplicitamente aggiunto all'area Intranet del browser.Browsers don't send Kerberos tickets to a cloud endpoint, like the two Azure AD URLs, unless you explicitly add the URL the browser's Intranet zone.

Procedura dettagliataDetailed steps

  1. Aprire l'Editor Gestione Criteri di gruppo.Open the Group Policy Management Editor tool.
  2. Modificare i criteri di gruppo applicati a tutti gli utenti o solo ad alcuni.Edit the group policy that's applied to some or all your users. Questo esempio è basato su Criterio dominio predefinito.This example uses Default Domain Policy.
  3. Passare a Configurazione utente > Modelli amministrativi > Componenti di Windows > Internet Explorer > Pannello di controllo Internet > Scheda Sicurezza.Browse to User Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page. Selezionare quindi Elenco di assegnazione siti ad aree.Then select Site to Zone Assignment List. Single Sign-OnSingle sign-on
  4. Abilitare i criteri e quindi immettere i valori seguenti nella finestra di dialogo:Enable the policy, and then enter the following values in the dialog box:

    • Nome valore: sono gli URL di Azure AD a cui vengono inviati i ticket Kerberos.Value name: The Azure AD URLs where the Kerberos tickets are forwarded.
    • Valore (dati): 1 indica l'area Intranet.Value (Data): 1 indicates the Intranet zone.

    Il risultato sarà analogo a questo:The result looks like this:

    Valore: https://autologon.microsoftazuread-sso.comValue: https://autologon.microsoftazuread-sso.com

    Data 1Data: 1

    Valore: https://aadg.windows.net.nsatc.netValue: https://aadg.windows.net.nsatc.net

    Data 1Data: 1

    Nota

    Se si vuole impedire ad alcuni utenti di usare l'accesso SSO facile, ad esempio se questi utenti accedono da chioschi multimediali condivisi, impostare i valori precedenti su 4.If you want to disallow some users from using Seamless SSO (for instance, if these users sign in on shared kiosks), set the preceding values to 4. Aggiungendo gli URL di Azure AD all'area con restrizioni, questa operazione fa sì che l'accesso SSO facile abbia sempre esito negativo.This action adds the Azure AD URLs to the Restricted zone, and fails Seamless SSO all the time.

  5. Fare clic su OK e quindi nuovamente su OK.Select OK, and then select OK again.

    Single sign-on

  6. Passare a Configurazione utente > Modelli amministrativi > Componenti di Windows > Internet Explorer > Pannello di controllo Internet > Scheda Sicurezza > Area Intranet.Browse to User Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone. Selezionare quindi Consenti aggiornamenti alla barra di stato tramite script.Then select Allow updates to status bar via script.

    Single sign-on

  7. Abilitare l'impostazione del criterio e quindi fare clic su OK.Enable the policy setting, and then select OK.

    Single sign-on

Considerazioni sui browserBrowser considerations

Mozilla Firefox (tutte le piattaforme)Mozilla Firefox (all platforms)

Mozilla Firefox non usa automaticamente l'autenticazione Kerberos.Mozilla Firefox doesn't automatically use Kerberos authentication. Ogni utente deve aggiungere manualmente gli URL di Azure AD alle impostazioni di Firefox usando la procedura seguente:Each user must manually add the Azure AD URLs to their Firefox settings by using the following steps:

  1. Eseguire Firefox e immettere about:config nella barra degli indirizzi.Run Firefox and enter about:config in the address bar. Eliminare tutte le notifiche visualizzate.Dismiss any notifications that you see.
  2. Cercare la preferenza network.negotiate-auth.trusted-uris.Search for the network.negotiate-auth.trusted-uris preference. Questa preferenza elenca i siti attendibili di Firefox per l'autenticazione Kerberos.This preference lists Firefox's trusted sites for Kerberos authentication.
  3. Fare clic con il pulsante destro del mouse e scegliere Modify.Right-click and select Modify.
  4. Nel campo immettere https://autologon.microsoftazuread-sso.com, https://aadg.windows.net.nsatc.net.Enter https://autologon.microsoftazuread-sso.com, https://aadg.windows.net.nsatc.net in the field.
  5. Fare clic su OK e quindi riaprire il browser.Select OK and then reopen the browser.

Safari (Mac OS)Safari (Mac OS)

Verificare che il computer che esegue Mac OS sia stato aggiunto a Azure AD.Ensure that the machine running the Mac OS is joined to Azure AD. Per istruzioni sull'aggiunta a Azure AD, vedere Best Practices for Integrating OS X with Active Directory (Procedure consigliate per l'integrazione di OS X con Active Directory).For instructions on joining Azure AD, see Best Practices for Integrating OS X with Active Directory.

Google Chrome (tutte le piattaforme)Google Chrome (all platforms)

Nel caso siano state ignorate le impostazioni dei criteri AuthNegotiateDelegateWhitelist o AuthServerWhitelist nell'ambiente in uso, assicurarsi di aggiungere anche gli URL di Azure AD (https://autologon.microsoftazuread-sso.com e https://aadg.windows.net.nsatc.net).If you have overriden the AuthNegotiateDelegateWhitelist or the AuthServerWhitelist policy settings in your environment, ensure that you add Azure AD's URLs (https://autologon.microsoftazuread-sso.com and https://aadg.windows.net.nsatc.net) to them as well.

Google Chrome (solo Mac OS)Google Chrome (Mac OS only)

Per Google Chrome su Mac OS e altre piattaforme non Windows, fare riferimento a The Chromium Project Policy List (Elenco criteri dei progetti Chromium) per informazioni su come aggiungere gli URL di Azure AD all'elenco elementi consentiti per l'autenticazione integrata.For Google Chrome on Mac OS and other non-Windows platforms, refer to The Chromium Project Policy List for information on how to whitelist the Azure AD URLs for integrated authentication.

L'uso di estensioni di terze parti di Criteri di gruppo di Active Directory per distribuire gli URL di Azure AD in Firefox e Google Chrome su Mac esula dall'ambito di questo articolo.The use of third-party Active Directory Group Policy extensions to roll out the Azure AD URLs to Firefox and Google Chrome on Mac users is outside the scope of this article.

Limitazioni note dei browserKnown browser limitations

L'accesso SSO facile non funziona in modalità di esplorazione privata in Firefox e nel browser Edge.Seamless SSO doesn't work in private browsing mode on Firefox and Edge browsers. Non funziona nemmeno in Internet Explorer se il browser è in esecuzione in modalità protetta avanzata.It also doesn't work on Internet Explorer if the browser is running in Enhanced Protected mode.

Passaggio 4: Testare la funzionalitàStep 4: Test the feature

Per testare la funzionalità per un utente specifico, verificare che siano soddisfatte tutte le condizioni seguenti:To test the feature for a specific user, ensure that all the following conditions are in place:

  • L'utente esegue l'accesso da un dispositivo aziendale.The user signs in on a corporate device.
  • Il dispositivo è aggiunto al dominio di Active Directory.The device is joined to your Active Directory domain.
  • Il dispositivo ha una connessione diretta al controller di dominio, nella rete aziendale cablata o wireless oppure tramite una connessione di accesso remoto, ad esempio di tipo VPN.The device has a direct connection to your domain controller (DC), either on the corporate wired or wireless network or via a remote access connection, such as a VPN connection.
  • La funzionalità è stata distribuita all'utente tramite Criteri di gruppo.You have rolled out the feature to this user through Group Policy.

Per testare lo scenario in cui l'utente immette solo il nome utente ma non la password:To test the scenario where the user enters only the username, but not the password:

Per testare lo scenario in cui l'utente non è obbligato a immettere il nome utente o la password, seguire una di queste procedure:To test the scenario where the user doesn't have to enter the username or the password, use one of these steps:

Passaggio 5: Rinnovare le chiaviStep 5: Roll over keys

Nel passaggio 2 Azure AD Connect crea account computer, che rappresentano Azure AD, in tutte le foreste di Active Directory in cui è stato abilitato l'accesso SSO facile.In Step 2, Azure AD Connect creates computer accounts (representing Azure AD) in all the Active Directory forests on which you have enabled Seamless SSO. Per altre informazioni, vedere Accesso Single Sign-On facile di Azure Active Directory: approfondimento tecnico.To learn more, see Azure Active Directory Seamless Single Sign-On: Technical deep dive. Per una maggiore sicurezza, è consigliabile rinnovare periodicamente le chiavi di decrittografia Kerberos di questi account.For improved security, we recommend that you periodically roll over the Kerberos decryption keys of these computer accounts. Per istruzioni su come rinnovare le chiavi, vedere Accesso Single Sign-On facile di Azure Active Directory: domande frequenti.For instructions on how to roll over keys, see Azure Active Directory Seamless Single Sign-On: Frequently asked questions.

Importante

Non è necessario farlo subito dopo aver abilitato la funzionalità.You don't need to do this step immediately after you have enabled the feature. Rinnovare le chiavi di decrittografia Kerberos almeno una volta ogni 30 giorni.Roll over the Kerberos decryption keys at least once every 30 days.

Passaggi successiviNext steps

  • Approfondimento tecnico: comprendere come funziona l'accesso Single Sign-On facile.Technical deep dive: Understand how the Seamless Single Sign-On feature works.
  • Domande frequenti: ottenere risposte alle domande frequenti sull'accesso Single Sign-On facile.Frequently asked questions: Get answers to frequently asked questions about Seamless Single Sign-On.
  • Risoluzione dei problemi: apprendere come risolvere i problemi comuni relativi alla funzionalità di accesso Single Sign-On facile.Troubleshoot: Learn how to resolve common problems with the Seamless Single Sign-On feature.
  • UserVoice: usare il forum di Azure Active Directory per inviare richieste di nuove funzionalità.UserVoice: Use the Azure Active Directory Forum to file new feature requests.