Configurare l'accesso Single Sign-on basato su SAML per le applicazioni non della raccoltaConfigure SAML-based single sign-on to non-gallery applications

Quando si aggiunge un'app della raccolta o un' app Web non della raccolta alle applicazioni aziendali Azure ad, una delle opzioni di accesso Single Sign-on disponibile per l'utente è Single Sign-on basato su SAML.When you add a gallery app or a non-gallery web app to your Azure AD Enterprise Applications, one of the single sign-on options available to you is SAML-based single sign-on. Scegliere SAML laddove possibile per le applicazioni che eseguono l'autenticazione usando uno dei protocolli SAML.Choose SAML whenever possible for applications that authenticate using one of the SAML protocols. Con l'accesso Single Sign-On SAML, Azure AD esegue l'autenticazione all'applicazione usando l'account Azure AD dell'utente.With SAML single sign-on, Azure AD authenticates to the application by using the user's Azure AD account. Azure AD comunica le informazioni di accesso all'applicazione tramite un protocollo di connessione.Azure AD communicates the sign-on information to the application through a connection protocol. È possibile eseguire il mapping degli utenti a ruoli specifici dell'applicazione in base alle regole definite nelle attestazioni SAML.You can map users to specific application roles based on rules you define in your SAML claims. Questo articolo descrive come configurare l'accesso Single Sign-on basato su SAML per un'app non della raccolta.This article describes how to configure SAML-based single sign-on for a non-gallery app.

Nota

Aggiunta di un'app della raccoltaAdding a gallery app? Per istruzioni dettagliate sull'installazione, vedere l' elenco delle esercitazioni sulle app SaasFind step-by-step setup instructions in the list of SaaS app tutorials

Per configurare l'accesso Single Sign-On SAML per un'applicazione non raccolta senza scrivere codice, è necessario disporre di una sottoscrizione o Azure AD Premium e l'applicazione deve supportare SAML 2,0.To configure SAML single sign-on for a non-gallery application without writing code, you need to have a subscription or Azure AD Premium and the application must support SAML 2.0. Per altre informazioni sulle versioni di Azure AD, vedere Prezzi di Azure Active Directory.For more information about Azure AD versions, visit Azure AD pricing.

Prima di iniziareBefore you begin

Se l'applicazione non è stata aggiunta al tenant di Azure AD, vedere aggiungere un'app non della raccolta.If the application hasn't been added to your Azure AD tenant, see Add a non-gallery app.

Passaggio 1.Step 1. Modificare la configurazione SAML di baseEdit the Basic SAML Configuration

  1. Accedere al portale di Azure come amministratore dell’applicazione cloud o amministratore dell’applicazione per il proprio tenant di Azure AD.Sign in to the Azure portal as a cloud application admin, or an application admin for your Azure AD tenant.

  2. Passare a Azure Active Directory > applicazioni aziendali e selezionare l'applicazione dall'elenco.Navigate to Azure Active Directory > Enterprise applications and select the application from the list.

    • Per cercare l'applicazione, scegliere tutte le applicazionidal menu tipo di applicazione e quindi selezionare applica.To search for the application, in the Application Type menu, select All applications, and then select Apply. Immettere il nome dell'applicazione nella casella di ricerca e quindi selezionare l'applicazione dai risultati.Enter the name of the application in the search box, and then select the application from the results.
  3. Nella sezione Gestisci selezionare Single Sign-On.Under the Manage section, select Single sign-on.

  4. Selezionare SAML.Select SAML. Viene visualizzata la pagina Configura l'accesso Single Sign-On con SAML - Anteprima.The Set up Single Sign-On with SAML - Preview page appears.

    Passaggio 1 modificare la configurazione SAML di base

  5. Per modificare le opzioni di configurazione SAML di base, selezionare l'icona Modifica (a forma di matita) nell'angolo in alto a destra della sezione Configurazione SAML di base.To edit the basic SAML configuration options, select the Edit icon (a pencil) in the upper-right corner of the Basic SAML Configuration section.

  6. Immettere le impostazioni seguenti.Enter the following settings. È necessario ottenere i valori dal fornitore dell'applicazione.You should get the values from the application vendor. È possibile immettere manualmente i valori o caricare un file di metadati per estrarre il valore dei campi.You can manually enter the values or upload a metadata file to extract the value of the fields.

    Impostazione di configurazione SAML di baseBasic SAML Configuration setting SSO avviato da provider di serviziSP-Initiated SSO avviato da IdPidP-Initiated DescrizioneDescription
    Identificatore (ID entità)Identifier (Entity ID) Obbligatoria per alcune appRequired for some apps Obbligatoria per alcune appRequired for some apps Identifica in modo univoco l'applicazione.Uniquely identifies the application. Azure AD restituisce l'identificatore all'applicazione come parametro Audience del token SAML.Azure AD sends the identifier to the application as the Audience parameter of the SAML token. L'applicazione dovrebbe convalidarlo.The application is expected to validate it. Questo valore viene inoltre visualizzato come ID entità in tutti i metadati SAML forniti dall'applicazione.This value also appears as the Entity ID in any SAML metadata provided by the application. È possibile trovare questo valore come elemento Issuer in AuthnRequest (richiesta SAML) inviato dall'applicazione.You can find this value as the Issuer element in the AuthnRequest (SAML request) sent by the application.
    URL di rispostaReply URL FacoltativoOptional ObbligatoriaRequired Specifica dove l'applicazione prevede di ricevere il token SAML.Specifies where the application expects to receive the SAML token. L'URL di risposta è denominato anche URL del servizio consumer di asserzione.The reply URL is also referred to as the Assertion Consumer Service (ACS) URL. È possibile usare i campi aggiuntivi URL di risposta per specificare più URL di risposta.You can use the additional reply URL fields to specify multiple reply URLs. Ad esempio, potrebbero essere necessari URL di risposta aggiuntivi per più sottodomini.For example, you might need additional reply URLs for multiple subdomains. In alternativa, a scopo di test è possibile specificare contemporaneamente più URL di risposta (host locale e URL pubblici).Or, for testing purposes you can specify multiple reply URLs (local host and public URLs) at one time.
    URL di accessoSign-on URL ObbligatoriaRequired Non specificareDon't specify Quando un utente apre questo URL, il provider di servizi esegue il reindirizzamento ad Azure AD per l'autenticazione e l'accesso dell'utente.When a user opens this URL, the service provider redirects to Azure AD to authenticate and sign on the user. Azure AD usa l'URL per avviare l'applicazione da Office 365 o dal pannello di accesso di Azure AD.Azure AD uses the URL to start the application from Office 365 or the Azure AD Access Panel. Se è vuoto, Azure AD esegue l'accesso avviato da IdP quando un utente avvia l'applicazione da Office 365, dal pannello di accesso Azure AD o dall'URL Azure AD SSO.When blank, Azure AD performs IdP-initiated sign-on when a user launches the application from Office 365, the Azure AD Access Panel, or the Azure AD SSO URL.
    Stato inoltroRelay State FacoltativoOptional FacoltativoOptional Comunica all'applicazione dove reindirizzare l'utente al termine dell'autenticazione.Specifies to the application where to redirect the user after authentication is completed. In genere il valore è un URL valido per l'applicazione.Typically the value is a valid URL for the application. Tuttavia, alcune applicazioni usano questo campo in modo diverso.However, some applications use this field differently. Per altre informazioni, rivolgersi al fornitore dell'applicazione.For more information, ask the application vendor.
    URL di disconnessioneLogout URL FacoltativoOptional FacoltativoOptional Usato per restituire una risposta di disconnessione SAML all'applicazione.Used to send the SAML Logout responses back to the application.

Per ulteriori informazioni, vedere protocollo SAML per Single Sign-on.For more information, see Single sign-on SAML protocol.

Passaggio 2.Step 2. Configurare attributi utente e attestazioniConfigure User attributes and claims

Quando un utente esegue l'autenticazione all'applicazione, Azure AD rilascia all'applicazione un token SAML con informazioni (o attestazioni) sull'utente che li identificano in modo univoco.When a user authenticates to the application, Azure AD issues the application a SAML token with information (or claims) about the user that uniquely identifies them. Per impostazione predefinita, queste informazioni includono il nome utente, l'indirizzo di posta elettronica, il nome e il cognome dell'utente.By default, this information includes the user's username, email address, first name, and last name. Potrebbe essere necessario personalizzare queste attestazioni se, ad esempio, l'applicazione richiede valori di attestazione specifici o un formato di nome diverso da username.You might need to customize these claims if, for example, the application requires specific claim values or a Name format other than username. I requisiti per le app della raccolta sono descritti nelle esercitazioni specifiche dell'applicazioneoppure è possibile rivolgersi al fornitore dell'applicazione.Requirements for gallery apps are described in the application-specific tutorials, or you can ask the application vendor. I passaggi generali per la configurazione degli attributi utente e delle attestazioni sono descritti di seguito.The general steps for configuring user attributes and claims are described below.

  1. Nella sezione attributi utente e attestazioni selezionare l'icona di modifica (matita) nell'angolo superiore destro.In the User Attributes and Claims section, select the Edit icon (a pencil) in the upper-right corner.

    Passaggio 2 configurare gli attributi utente e le attestazioni

  2. Verificare il valore dell'identificatore del nome.Verify the Name Identifier Value. Il valore predefinito è User. PrincipalName.The default value is user.principalname. L'ID utente identifica in modo univoco ogni utente all'interno dell'applicazione.The user identifier uniquely identifies each user within the application. Se l'indirizzo di posta elettronica è sia il nome utente che l'identificatore univoco, ad esempio, impostare il valore su user.mail.For example, if the email address is both the username and the unique identifier, set the value to user.mail.

  3. Per modificare il Valore identificatore nome, selezionare l'icona Modifica (a forma di matita) per il campo Valore identificatore nome campo.To modify the Name Identifier Value, select the Edit icon (a pencil) for the Name Identifier Value field. Apportare le modifiche appropriate al formato e all'origine dell'identificatore in base alle esigenze.Make the appropriate changes to the identifier format and source, as needed. Per informazioni dettagliate, vedere modifica di NameID.For details, see Editing NameId. Al termine, salvare le modifiche.Save the changes when you're done.

  4. Per configurare le attestazioni di gruppo, selezionare l'icona di modifica per i gruppi restituiti nel campo attestazione.To configure group claims, select the Edit icon for the Groups returned in claim field. Per informazioni dettagliate, vedere Configure Group Claims.For details, see Configure group claims.

  5. Per aggiungere un'attestazione, selezionare Aggiungi nuova attestazione nella parte superiore della pagina.To add a claim, select Add new claim at the top of the page. Immettere il Nome e selezionare l'origine appropriata.Enter the Name and select the appropriate source. Se si seleziona l'origine Attributo, è necessario scegliere l'Attributo di origine da usare.If you select the Attribute source, you'll need to choose the Source attribute you want to use. Se si seleziona l'origine Traduzione, è necessario scegliere la Trasformazione e il Parametro 1 da usare.If you select the Translation source, you'll need to choose the Transformation and Parameter 1 you want to use. Per informazioni dettagliate, vedere aggiunta di attestazioni specifiche dell'applicazione.For details, see Adding application-specific claims. Al termine, salvare le modifiche.Save the changes when you're done.

  6. Selezionare Salva.Select Save. Nella tabella viene visualizzata la nuova attestazione.The new claim appears in the table.

    Nota

    Per altri modi per personalizzare il token SAML da Azure AD all'applicazione, vedere le risorse seguenti.For additional ways to customize the SAML token from Azure AD to your application, see the following resources.

Passaggio 3.Step 3. Gestire il certificato di firma SAMLManage the SAML signing certificate

Azure AD usa un certificato per firmare i token SAML inviati all'applicazione.Azure AD uses a certificate to sign the SAML tokens it sends to the application. Per configurare il trust tra Azure AD e l'applicazione, è necessario questo certificato.You need this certificate to set up the trust between Azure AD and the application. Per informazioni dettagliate sul formato del certificato, vedere la documentazione sul protocollo SAML dell'applicazione.For details on the certificate format, see the application’s SAML documentation. Per altre informazioni, vedere gestire i certificati per l'accesso Single Sign-on federato e le opzioni avanzate di firma del certificato nel token SAML.For more information, see Manage certificates for federated single sign-on and Advanced certificate signing options in the SAML token.

Da Azure AD è possibile scaricare il certificato attivo in formato Base64 o RAW direttamente dalla pagina principale configurare l'accesso Single Sign-on con SAML .From Azure AD, you can download the active certificate in Base64 or Raw format directly from the main Set up Single Sign-On with SAML page. In alternativa, è possibile ottenere il certificato attivo scaricando il file XML dei metadati dell'applicazione o usando l'URL dei metadati di Federazione dell'app.Alternatively, you can get the active certificate by downloading the application metadata XML file or by using the App federation metadata URL. Per visualizzare, creare o scaricare i certificati (attivi o inattivi), seguire questa procedura.To view, create, or download your certificates (active or inactive), follow these steps.

  1. Passare alla sezione certificato di firma SAML .Go to the SAML Signing Certificate section.

    Passaggio 3 gestione del certificato di firma SAML

  2. Verificare che il certificato abbia:Verify the certificate has:

    • Data di scadenza desiderata.The desired expiration date. È possibile configurare la data di scadenza per un massimo di tre anni nel futuro.You can configure the expiration date for up to three years into the future.
    • Stato attivo per il certificato desiderato.A status of active for the desired certificate. Se lo stato è inattivo, impostare lo stato su attivo.If the status is Inactive, change the status to Active. Per modificare lo stato, fare clic con il pulsante destro del mouse sulla riga del certificato desiderato e selezionare Rendi attivo il certificato.To change the status, right-click the desired certificate's row and select Make certificate active.
    • Opzione e algoritmo di firma corretti.The correct signing option and algorithm.
    • Indirizzi di posta elettronica di notifica corretti.The correct notification email address(es). Quando il certificato attivo si avvicina alla data di scadenza, Azure AD invia una notifica all'indirizzo di posta elettronica configurato in questo campo.When the active certificate is near the expiration date, Azure AD sends a notification to the email address configured in this field.
  3. Per scaricare il certificato, selezionare una delle opzioni per formato Base64, formato non elaborato o XML metadati federazione.To download the certificate, select one of the options for Base64 format, Raw format, or Federation Metadata XML. Azure AD fornisce anche l' URL dei metadati di Federazione dell'app in cui è possibile accedere ai metadati specifici dell'applicazione https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID>nel formato.Azure AD also provides the App Federation Metadata Url where you can access the metadata specific to the application in the format https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID>.

  4. Per gestire, creare o importare un certificato, selezionare l'icona di modifica (una matita) nell'angolo superiore destro della sezione certificato di firma SAML .To manage, create, or import a certificate, select the Edit icon (a pencil) in the upper-right corner of the SAML Signing Certificate section.

    Certificato di firma SAML

    Eseguire una delle azioni seguenti:Take any of the following actions:

    • Per creare un nuovo certificato, selezionare nuovo certificato, selezionare la Data di scadenzae quindi fare clic su Salva.To create a new certificate, select New Certificate, select the Expiration Date, and then select Save. Per attivare il certificato, selezionare il menu di scelta rapida ( ... ) e selezionare Rendi attivo il certificato.To activate the certificate, select the context menu (...) and select Make certificate active.
    • Per caricare un certificato con la chiave privata e le credenziali PFX, selezionare Importa certificato e selezionare il certificato.To upload a certificate with private key and pfx credentials, select Import Certificate and browse to the certificate. Immettere la password PFX, quindi selezionare Aggiungi.Enter the PFX Password, and then select Add.
    • Per configurare le opzioni avanzate di firma del certificato, usare le opzioni seguenti.To configure advanced certificate signing options, use the following options. Per le descrizioni di queste opzioni, vedere l'articolo Advanced Certificate Signing Options .For descriptions of these options, see the Advanced certificate signing options article.
      • Nell'elenco a discesa opzione di firma scegliere firma risposta SAML, firma asserzione SAMLo firma risposta e asserzione SAML.In the Signing Option drop-down list, choose Sign SAML response, Sign SAML assertion, or Sign SAML response and assertion.
      • Nell'elenco a discesa algoritmo di firma scegliere SHA-1 o SHA-256.In the Signing Algorithm drop-down list, choose SHA-1 or SHA-256.
    • Per notificare ad altri utenti quando il certificato attivo è prossimo alla data di scadenza, immettere gli indirizzi di posta elettronica nei campi degli indirizzi di posta elettronica di notifica .To notify additional people when the active certificate is near its expiration date, enter the email addresses in the Notification email addresses fields.
  5. Se sono state apportate modifiche, selezionare Salva nella parte superiore della sezione certificato di firma SAML .If you made changes, select Save at the top of the SAML Signing Certificate section.

Passaggio 4.Step 4. Configurare l'applicazione per l'uso di Azure ADSet up the application to use Azure AD

La sezione set <up ApplicationName > elenca i valori che devono essere configurati nell'applicazione in modo da usare Azure ad come provider di identità SAML.The Set up <applicationName> section lists the values that need to be configured in the application so it will use Azure AD as a SAML identity provider. I valori richiesti variano in base all'applicazione.The required values vary according to the application. Per informazioni dettagliate, vedere la documentazione sul protocollo SAML dell'applicazione.For details, see the application's SAML documentation. Per trovare la documentazione, passare all'intestazione impostare <il nome dell'applicazione > e selezionare Visualizza istruzioni dettagliate.To find the documentation, go to the Set up <application name> heading and select View step-by-step instructions. La documentazione viene visualizzata nella pagina Configura accesso .The documentation appears in the Configure sign-on page. Questa pagina consente di compilare i < valori URL di accesso, identificatore Azure ad e URL di disconnessione nell'intestazione Configura nome applicazione >.That page guides you in filling out the Login URL, Azure AD Identifier, and Logout URL values in the Set up <application name> heading.

  1. Scorrere verso il basso fino alla sezione Configurare <applicationName> .Scroll down to the Set up <applicationName> section.

    Passaggio 4 configurare l'applicazione

  2. Copiare il valore di ogni riga in questa sezione, se necessario, e seguire le istruzioni specifiche dell'applicazione per aggiungere il valore all'applicazione.Copy the value from each row in this section as needed and follow the application-specific instructions for adding the value to the application. Per le app della raccolta, è possibile visualizzare la documentazione selezionando Visualizza istruzioni dettagliate.For gallery apps, you can view the documentation by selecting View step-by-step instructions.

    • I valori URL di accesso e URL di disconnessione si risolvono entrambi nello stesso endpoint, ovvero l'endpoint di gestione delle richieste SAML per l'istanza di Azure ad.The Login URL and Logout URL values both resolve to the same endpoint, which is the SAML request-handling endpoint for your instance of Azure AD.
    • L' identificatore del Azure ad è il valore dell' emittente nel token SAML emesso per l'applicazione.The Azure AD Identifier is the value of the Issuer in the SAML token issued to the application.
  3. Dopo avere incollato tutti i valori nei campi appropriati, selezionare Salva.When you've pasted all the values into the appropriate fields, select Save.

Passaggio 5.Step 5. Convalida Single Sign-onValidate single sign-on

Dopo aver configurato l'applicazione per l'uso di Azure AD come provider di identità basato su SAML, è possibile testare le impostazioni per verificare se l'accesso Single Sign-on funziona per l'account.Once you've configured your application to use Azure AD as a SAML-based identity provider, you can test the settings to see if single sign-on works for your account.

  1. Scorrere fino alla sezione Verificare l'accesso Single Sign-On con .Scroll to the Validate single sign-on with section.

    Passaggio 5: convalida dell'accesso Single Sign-on

  2. Selezionare Convalida.Select Validate. Verranno visualizzate le opzioni di test.The testing options appear.

  3. Selezionare Accedi con l'account utente corrente.Select Sign in as current user.

Se l'accesso ha esito positivo, è possibile assegnare utenti e gruppi all'applicazione SAML.If sign-on is successful, you're ready to assign users and groups to your SAML application. Se viene visualizzato un messaggio di errore, attenersi alla procedura seguente:If an error message appears, complete the following steps:

  1. Copiare e incollare le specifiche nella casella Qual è l'errore riscontrato? .Copy and paste the specifics into the What does the error look like? box.

    Ottieni procedure per la risoluzione

  2. Selezionare Ottieni procedure per la risoluzione.Select Get resolution guidance. Verranno visualizzate indicazioni relative alla causa radice e alla risoluzione.The root cause and resolution guidance appear. In questo esempio, l'utente non è stato assegnato all'applicazione.In this example, the user wasn't assigned to the application.

  3. Leggere le procedure per la risoluzione e quindi, se possibile, risolvere il problema.Read the resolution guidance and then, if possible, fix the issue.

  4. Eseguire di nuovo il test finché non viene completato correttamente.Run the test again until it completes successfully.

Per ulteriori informazioni, vedere debug di Single Sign-on basato su SAML per applicazioni in Azure Active Directory.For more information, see Debug SAML-based single sign-on to applications in Azure Active Directory.

Passaggi successiviNext steps