Scegliere il metodo di autenticazione appropriato per la soluzione ibrida di gestione delle identità di Azure ADChoose the right authentication method for your Azure Active Directory hybrid identity solution

Questo articolo è il primo di una serie di articoli finalizzati ad aiutare le organizzazioni a implementare una soluzione ibrida completa di gestione delle identità di Azure Active Directory (Azure AD).This article begins a series of articles that help organizations implement a complete Azure Active Directory (Azure AD) hybrid identity solution. Questa soluzione è stata presentata come Hybrid Identity Digital Transformation Framework.This solution was outlined as the Hybrid Identity Digital Transformation Framework. e include i risultati di business e gli obiettivi su cui le organizzazioni devono concentrarsi per implementare una soluzione ibrida di gestione delle identità affidabile e sicura.It covers the business outcomes and goals organizations can focus on to implement a robust and secure hybrid identity solution.

Il primo risultato aziendale del framework illustra in dettaglio i requisiti necessari alle organizzazioni per proteggere il processo di autenticazione quando gli utenti accedono alle applicazioni cloud.The first business outcome of the framework spells out the requirements for organizations to secure the authentication process when users access cloud apps. Il primo obiettivo aziendale del risultato di business protetto tramite autenticazione è la possibilità per gli utenti di accedere ad app cloud usando nomi utente e password locali.The first business goal in the authentication secured business outcome is users' ability to sign in to cloud apps by using their on-premises usernames and passwords. Questo processo di accesso e l'autenticazione consente tutto nel cloud.This sign-in and authentication process makes everything in the cloud possible.

La scelta del metodo di autenticazione corretto rappresenta la priorità assoluta per le organizzazioni che desiderano spostare le proprie applicazioni nel cloud.Choosing the correct authentication method is the first concern for organizations wanting to move their apps to the cloud. È bene non prendere questa decisione con leggerezza, per i motivi seguenti:Don't take this decision lightly, for the following reasons:

  1. È la priorità assoluta per un'organizzazione che desideri passare al cloud.It's the first decision for an organization that wants to move to the cloud.

  2. Il metodo di autenticazione è un componente fondamentale della presenza di un'organizzazione nel cloud,The authentication method is a critical component of an organization’s presence in the cloud. perché controlla l'accesso a tutti i dati e le risorse presenti nel cloud.It controls access to all cloud data and resources.

  3. È alla base di tutte le altre funzionalità avanzate di sicurezza e dell'esperienza utente in Azure AD.It's the foundation of all the other advanced security and user experience features in Azure AD.

  4. Una volta implementato, il metodo di autenticazione è difficile da cambiare.The authentication method is difficult to change after it's implemented.

L'identità è il nuovo piano di controllo della sicurezza IT.Identity is the new control plane of IT security. L'autenticazione protegge quindi l'accesso dell'organizzazione al nuovo ambiente cloud.So authentication is an organization’s access guard to the new cloud world. Le organizzazioni hanno bisogno di un piano di controllo delle identità che ne rafforzi la sicurezza e tenga le app cloud al riparo dalle intrusioni.Organizations need an identity control plane that strengthens their security and keeps their cloud apps safe from intruders.

Fuori ambitoOut of scope

Le organizzazioni che non dispongono di un footprint di directory in locale esistente non sono interessate dal presente articolo.Organizations that don't have an existing on-premises directory footprint aren't the focus of this article. In genere, tali aziende creano identità solo nel cloud e ciò non richiede una soluzione ibrida di gestione delle identità.Typically, those businesses create identities only in the cloud, which doesn’t require a hybrid identity solution. Queste identità esistono esclusivamente nel cloud e non sono associate a identità locali corrispondenti.Cloud-only identities exist solely in the cloud and aren't associated with corresponding on-premises identities.

Metodi di autenticazioneAuthentication methods

Con la soluzione ibrida di gestione delle identità di Azure AD come nuovo piano di controllo, l'autenticazione è alla base dell'accesso al cloud.When the Azure AD hybrid identity solution is your new control plane, authentication is the foundation of cloud access. La scelta del metodo di autenticazione appropriato è una prima decisione fondamentale nella configurazione di una soluzione ibrida di gestione delle identità di Azure AD.Choosing the correct authentication method is a crucial first decision in setting up an Azure AD hybrid identity solution. Implementare il metodo di autenticazione configurato mediante Azure AD Connect, che esegue anche il provisioning degli utenti nel cloud.Implement the authentication method that is configured by using Azure AD Connect, which also provisions users in the cloud.

Per scegliere un metodo di autenticazione è necessario prendere in considerazione il tempo, l'infrastruttura esistente, la complessità e i costi di implementazione della propria scelta.To choose an authentication method, you need to consider the time, existing infrastructure, complexity, and cost of implementing your choice. Questi fattori variano in base all'organizzazione e possono cambiare nel corso del tempo.These factors are different for every organization and might change over time.

Azure Active Directory supporta i metodi di autenticazione per le soluzioni ibride di gestione delle identità descritti di seguito.Azure AD supports the following authentication methods for hybrid identity solutions.

Autenticazione cloudCloud authentication

Quando si sceglie questo metodo di autenticazione, è Azure AD a gestire la procedura di accesso degli utenti.When you choose this authentication method, Azure AD handles users' sign-in process. Affiancandolo a un accesso Single Sign-On trasparente, gli utenti possono accedere alle applicazioni cloud senza dover immettere nuovamente le proprie credenziali.Coupled with seamless single sign-on (SSO), users can sign in to cloud apps without having to reenter their credentials. Con l'autenticazione cloud è possibile scegliere tra due opzioni:With cloud authentication, you can choose from two options:

Sincronizzazione dell'hash delle password di Azure AD.Azure AD password hash synchronization. È il modo più semplice per abilitare l'autenticazione per gli oggetti directory locali in Azure AD.The simplest way to enable authentication for on-premises directory objects in Azure AD. Gli utenti possono usare gli stessi nome utente e password usati in locale senza la necessità di implementare infrastrutture aggiuntive.Users can use the same username and password that they use on-premises without having to deploy any additional infrastructure. Alcune funzionalità premium di Azure AD, ad esempio Identity Protection e Azure Active Directory Domain Services, richiedono la sincronizzazione dell'hash password, indipendentemente dal metodo di autenticazione scelto.Some premium features of Azure AD, like Identity Protection and Azure AD Domain Services, require password hash synchronization, no matter which authentication method you choose.

Nota

Le password non vengono mai archiviate in testo non crittografato o crittografate con un algoritmo reversibile in Azure AD.Passwords are never stored in clear text or encrypted with a reversible algorithm in Azure AD. Per altre informazioni sul processo di sincronizzazione dell'hash delle password, vedere Implementare la sincronizzazione dell'hash delle password con il servizio di sincronizzazione Azure AD Connect.For more information on the actual process of password hash synchronization, see Implement password hash synchronization with Azure AD Connect sync.

Autenticazione pass-through di Azure AD.Azure AD Pass-through Authentication. Fornisce un semplice processo di convalida delle password per i servizi di autenticazione di Azure AD mediante un agente software eseguito in uno o più server locali.Provides a simple password validation for Azure AD authentication services by using a software agent that runs on one or more on-premises servers. I server convalidano gli utenti direttamente con l'istanza locale di Active Directory, che assicura che la convalida delle password non venga eseguita nel cloud.The servers validate the users directly with your on-premises Active Directory, which ensures that the password validation doesn't happen in the cloud.

Le società che per questioni di sicurezza devono applicare immediatamente gli stati degli account utente locali, i criteri di gestione delle password e gli orari di accesso potrebbero usare questo metodo di autenticazione.Companies with a security requirement to immediately enforce on-premises user account states, password policies, and sign-in hours might use this authentication method. Per altre informazioni sul processo effettivo di autenticazione pass-through, vedere Accesso utente con l'autenticazione pass-through di Azure AD.For more information on the actual pass-through authentication process, see User sign-in with Azure AD pass-through authentication.

Autenticazione federataFederated authentication

Se si sceglie questo metodo di autenticazione, Azure AD trasferisce il processo di autenticazione a un sistema di autenticazione attendibile separato, ad esempio un sistema Active Directory Federation Services (AD FS) locale, per convalidare la password dell'utente.When you choose this authentication method, Azure AD hands off the authentication process to a separate trusted authentication system, such as on-premises Active Directory Federation Services (AD FS), to validate the user’s password.

Il sistema di autenticazione può fornire ulteriori requisiti di autenticazione avanzati.The authentication system can provide additional advanced authentication requirements. Ne sono esempi l'autenticazione basata su smart card e l'autenticazione a più fattori di terze parti.Examples are smartcard-based authentication or third-party multifactor authentication. Per altre informazioni, vedere Implementazione di Active Directory Federation Services.For more information, see Deploying Active Directory Federation Services.

La sezione seguente aiuta a decidere quale metodo di autenticazione sia più adatto alle proprie esigenze mediante un albero delle decisioni.The following section helps you decide which authentication method is right for you by using a decision tree. Questo risulta utile per scegliere se implementare l'autenticazione federata o cloud per la propria soluzione ibrida di gestione delle identità di Azure AD.It helps you determine whether to deploy cloud or federated authentication for your Azure AD hybrid identity solution.

Albero delle decisioniDecision tree

Albero delle decisioni per l'autenticazione di Azure Active Directory

Dettagli relativi alle domande nell'albero delle decisioni:Details on decision questions:

  1. Azure AD può gestire l'accesso per gli utenti senza basarsi sui componenti di un'istanza locale per la verifica delle password.Azure AD can handle sign-in for users without relying on on-premises components to verify passwords.
  2. Azure AD può trasferire l'accesso dell'utente a un provider di autenticazione attendibile, ad esempio AD FS di Microsoft.Azure AD can hand off user sign-in to a trusted authentication provider such as Microsoft’s AD FS.
  3. Se è necessario applicare criteri di sicurezza di Active Directory a livello di utente, ad esempio account scaduto, account disabilitato, password scaduta, account bloccato e ore di accesso per ogni accesso dell'utente, Azure AD richiede che in locale siano presenti alcuni componenti.If you need to apply user-level Active Directory security policies such as account expired, disabled account, password expired, account locked out, and sign-in hours on each user sign-in, Azure AD requires some on-premises components.
  4. Funzionalità di accesso non supportate da Azure AD in modo nativo:Sign-in features not natively supported by Azure AD:
    • Accesso tramite smart card o certificati.Sign-in using smartcards or certificates.
    • Accesso tramite server MFA locale.Sign-in using on-premises MFA Server.
    • Accesso tramite una soluzione di autenticazione di terze parti.Sign-in using 3rd party authentication solution.
    • Soluzione di autenticazione locale multisito.Multi-site on-premises authentication solution.
  5. Azure AD Identity Protection richiede la sincronizzazione dell'hash delle password indipendentemente dal metodo di accesso scelto, per fornire il report Utenti con credenziali perse.Azure AD Identity Protection requires Password Hash Sync regardless of which sign-in method you choose, to provide the Users with leaked credentials report. Le organizzazioni possono eseguire il failover alla sincronizzazione dell'hash delle password, se il metodo primario di accesso ha esito negativo ed è stato configurato prima dell'evento di errore.Organizations can failover to Password Hash Sync if their primary sign-in method fails and it was configured before the failure event.

Nota

Azure AD Identity Protection richiede licenze di Azure AD Premium P2.Azure AD Identity Protection require Azure AD Premium P2 licenses.

Considerazioni dettagliateDetailed considerations

Autenticazione cloud: Sincronizzazione dell'hash delle passwordCloud authentication: Password hash synchronization

  • Lavoro richiesto.Effort. La sincronizzazione dell'hash delle password richiede il minimo sforzo a livello di distribuzione, manutenzione e infrastruttura.Password hash synchronization requires the least effort regarding deployment, maintenance, and infrastructure. Questo livello di sforzo è valido per le organizzazioni che hanno bisogno solo di consentire ai propri utenti di accedere a Office 365, alle app SaaS e ad altre risorse basate su Azure AD.This level of effort typically applies to organizations that only need their users to sign in to Office 365, SaaS apps, and other Azure AD-based resources. Quando abilitata, la sincronizzazione dell'hash delle password rientra nel processo del servizio di sincronizzazione di Azure AD Connect e viene eseguita ogni due minuti.When turned on, password hash synchronization is part of the Azure AD Connect sync process and runs every two minutes.

  • Esperienza utente.User experience. Per migliorare l'esperienza di accesso degli utenti, distribuire Seamless SSO con la sincronizzazione dell'hash delle password.To improve users' sign-in experience, deploy seamless SSO with password hash synchronization. Seamless SSO elimina i prompt non necessari dopo che gli utenti hanno eseguito l'accesso.Seamless SSO eliminates unnecessary prompts when users are signed in.

  • Scenari avanzati.Advanced scenarios. Le organizzazioni possono scegliere di usare informazioni tratte dalle identità con i report di Azure AD Identity Protection con Azure AD Premium P2,If organizations choose to, it's possible to use insights from identities with Azure AD Identity Protection reports with Azure AD Premium P2. ad esempio i report sulle credenziali perse.An example is the leaked credentials report. Con Windows Hello for Business requisiti specifici quando si usa la sincronizzazione dell'hash password.Windows Hello for Business has specific requirements when you use password hash synchronization. Azure Active Directory Domain Services richiedono sincronizzazione dell'hash delle password per il provisioning degli utenti con le proprie credenziali aziendali nel dominio gestito.Azure AD Domain Services require password hash synchronization to provision users with their corporate credentials in the managed domain.

    Le organizzazioni che necessitano dell'autenticazione a più fattori con la sincronizzazione dell'hash delle password devono usare l'autenticazione a più fattori di Azure AD.Organizations that require multifactor authentication with password hash synchronization must use Azure AD multifactor authentication. Queste organizzazioni non possono usare metodi di autenticazione a più fattori di terze parti o locali.Those organizations can't use third-party or on-premises multifactor authentication methods.

  • Continuità aziendale.Business continuity. La sincronizzazione dell'hash delle password con l'autenticazione cloud è altamente disponibile come servizio cloud in grado di consentire la scalabilità a tutti i data center Microsoft.Using password hash synchronization with cloud authentication is highly available as a cloud service that scales to all Microsoft datacenters. Per avere la certezza che la sincronizzazione dell'hash delle password non resti inattiva per lunghi periodi di tempo, distribuire un secondo server Azure AD Connect in modalità di staging in una configurazione standby.To make sure password hash synchronization does not go down for extended periods, deploy a second Azure AD Connect server in staging mode in a standby configuration.

  • Considerazioni.Considerations. Attualmente, la sincronizzazione dell'hash delle password non applica immediatamente le modifiche apportate allo stato degli account locali.Currently, password hash synchronization doesn't immediately enforce changes in on-premises account states. In questo caso, l'utente ha accesso alle applicazioni cloud fino a quando lo stato dell'account utente è sincronizzato con Azure AD.In this situation, a user has access to cloud apps until the user account state is synchronized to Azure AD. Per superare questa limitazione, le organizzazioni possono eseguire un nuovo ciclo di sincronizzazione dopo gli aggiornamenti in blocco agli stati degli account utente locali effettuati dagli amministratori,Organizations might want to overcome this limitation by running a new synchronization cycle after administrators do bulk updates to on-premises user account states. come ad esempio la disabilitazione di account.An example is disabling accounts.

Nota

Gli stati Password scaduta e Account bloccato non sono attualmente sincronizzati in Azure AD con Azure AD Connect.The password expired and account locked-out states aren't currently synced to Azure AD with Azure AD Connect.

Per la procedura di implementazione, vedere Implementare la sincronizzazione dell'hash delle password con il servizio di sincronizzazione Azure AD Connect.Refer to implementing password hash synchronization for deployment steps.

Autenticazione cloud: Autenticazione pass-throughCloud authentication: Pass-through Authentication

  • Lavoro richiesto.Effort. Per l'autenticazione pass-through sono necessari uno o più agenti leggeri (se ne consigliano tre) installati sui server esistenti.For pass-through authentication, you need one or more (we recommend three) lightweight agents installed on existing servers. Questi agenti devono avere accesso ad Active Directory Domain Services locale, inclusi i controller di dominio AD locali.These agents must have access to your on-premises Active Directory Domain Services, including your on-premises AD domain controllers. Richiedono inoltre l'accesso in uscita a Internet e l'accesso ai controller di dominio.They need outbound access to the Internet and access to your domain controllers. Per questo motivo la distribuzione degli agenti in una rete perimetrale non è supportata.For this reason, it's not supported to deploy the agents in a perimeter network.

    L'autenticazione pass-through richiede infatti un accesso di rete senza limitazioni ai controller di dominio.Pass-through Authentication requires unconstrained network access to domain controllers. Tutto il traffico di rete è crittografato e limitato alle richieste di autenticazione.All network traffic is encrypted and limited to authentication requests. Per altre informazioni su questo processo, vedere l'approfondimento sulla sicurezza per l'autenticazione pass-through.For more information on this process, see the security deep dive on pass-through authentication.

  • Esperienza utente.User experience. Per migliorare l'esperienza di accesso degli utenti, distribuire Seamless SSO con l'autenticazione pass-through.To improve users' sign-in experience, deploy seamless SSO with Pass-through Authentication. Seamless SSO elimina i prompt non necessari s dopo che gli utenti hanno effettuato l'accesso.Seamless SSO eliminates unnecessary prompts after users sign in.

  • Scenari avanzati.Advanced scenarios. L'autenticazione pass-through applica i criteri di account locali al momento dell'accesso.Pass-through Authentication enforces the on-premises account policy at the time of sign in. Ad esempio, l'accesso viene negato quando lo stato dell'account di un utente locale è disabilitato o bloccato oppure quando la password è scaduta o non rientra negli orari di accesso consentiti per l'utente.For example, access is denied when an on-premises user’s account state is disabled, locked out, or password expired or falls outside the hours when the user is allowed to sign in.

    Le organizzazioni che necessitano dell'autenticazione a più fattori con l'autenticazione pass-through devono usare Microsoft Azure Multi-Factor Authentication (MFA).Organizations that require multifactor authentication with pass-through authentication must use Azure Multi-Factor Authentication (MFA). Queste organizzazioni non possono usare un metodo di autenticazione a più fattori di terze parti o locale.Those organizations can't use a third-party or on-premises multifactor authentication method. Le funzionalità avanzate richiedono che la sincronizzazione dell'hash delle password venga implementata indipendentemente dalla scelta dell'autenticazione pass-through.Advanced features require that password hash synchronization is deployed whether or not you choose pass-through authentication. Un esempio è il report Credenziali perse di Identity Protection.An example is the leaked credentials report of Identity Protection.

  • Continuità aziendale.Business continuity. È consigliabile distribuire due agenti di autenticazione pass-through aggiuntivi,We recommend that you deploy two extra pass-through authentication agents. oltre al primo agente sul server Azure AD Connect.These extras are in addition to the first agent on the Azure AD Connect server. Questa distribuzione aggiuntiva assicura una disponibilità elevata delle richieste di autenticazione.This additional deployment ensures high availability of authentication requests. Quando si dispone di tre agenti di distribuzione, un agente può avere comunque esito negativo quando un altro agente è inattivo per manutenzione.When you have three agents deployed, one agent can still fail when another agent is down for maintenance.

    L'implementazione della sincronizzazione dell'hash delle password in aggiunta all'autenticazione pass-through offre anche un altro vantaggio.There's another benefit to deploying password hash synchronization in addition to pass-through authentication. Funge infatti da metodo di autenticazione di backup quando il metodo principale non è più disponibile.It acts as a backup authentication method when the primary authentication method is no longer available.

  • Considerazioni.Considerations. È possibile usare la sincronizzazione dell'hash delle password come metodo di autenticazione di backup per l'autenticazione pass-through, quando gli agenti non possono convalidare le credenziali di un utente per un errore significativo locale.You can use password hash synchronization as a backup authentication method for pass-through authentication, when the agents can't validate a user's credentials due to a significant on-premises failure. Il failover alla sincronizzazione dell'hash delle password non avviene automaticamente ed è necessario usare Azure AD Connect per passare al metodo di registrazione manualmente.Failover to password hash synchronization doesn't happen automatically and you must use Azure AD Connect to switch the sign-on method manually.

    Per altre considerazioni sull'autenticazione pass-through, incluso il supporto ID alternativo, vedere le domande frequenti.For other considerations on Pass-through Authentication, including Alternate ID support, see frequently asked questions.

Per la procedura di distribuzione, fare riferimento all'implementazione dell'autenticazione pass-through.Refer to implementing pass-through authentication for deployment steps.

Autenticazione federataFederated authentication

  • Lavoro richiesto.Effort. Un sistema di autenticazione federata si affida a un sistema esterno attendibile per autenticare gli utenti.A federated authentication system relies on an external trusted system to authenticate users. Alcune aziende scelgono di riutilizzare i propri investimenti in sistemi federati esistenti con la soluzione ibrida di gestione delle identità di Azure AD.Some companies want to reuse their existing federated system investment with their Azure AD hybrid identity solution. La manutenzione e la gestione del sistema federato non rientra nella sfera di controllo di Azure Active Directory.The maintenance and management of the federated system falls outside the control of Azure AD. È compito dell'organizzazione assicurarsi che il sistema federato usato venga implementato in modo sicuro e sia in grado di gestire il carico di autenticazione.It's up to the organization by using the federated system to make sure it's deployed securely and can handle the authentication load.

  • Esperienza utente.User experience. L'esperienza utente di autenticazione federata dipende dall'implementazione delle funzionalità, dalla topologia e dalla configurazione della farm federativa.The user experience of federated authentication depends on the implementation of the features, topology, and configuration of the federation farm. Alcune organizzazioni hanno bisogno di questa flessibilità per adattare e configurare l'accesso alla farm federativa in base alle proprie esigenze di sicurezza.Some organizations need this flexibility to adapt and configure the access to the federation farm to suit their security requirements. Ad esempio, è possibile configurare gli utenti e i dispositivi connessi internamente perché effettuino l'accesso automaticamente, senza richiedere l'immissione di credenziali.For example, it's possible to configure internally connected users and devices to sign in users automatically, without prompting them for credentials. Questa configurazione funziona in quanto gli utenti hanno già effettuato l'accesso dai propri dispositivi.This configuration works because they already signed in to their devices. Se necessario, alcune funzionalità di sicurezza avanzate possono complicare la procedura di accesso degli utenti.If necessary, some advanced security features make users' sign-in process more difficult.

  • Scenari avanzati.Advanced scenarios. Una soluzione di autenticazione federata è in genere necessaria per le aziende con requisiti di autenticazione non supportati nativamente da Azure AD.A federated authentication solution is usually required when customers have an authentication requirement that Azure AD doesn't support natively. Vedere le Informazioni dettagliate utili per la scelta dell'opzione di accesso più adatta.See detailed information to help you choose the right sign-in option. Considerare i requisiti comuni seguenti:Consider the following common requirements:

    • Autenticazione che richiede smart card o certificati.Authentication that requires smartcards or certificates.
    • Server MFA locali o provider di procedure di autenticazione a più fattori di terze parti.On-premises MFA servers or third-party multifactor providers.
    • Autenticazione tramite soluzioni di autenticazione di terze parti.Authentication by using third-party authentication solutions. Vedere l'Elenco di compatibilità di federazione di Azure AD.See the Azure AD federation compatibility list.
    • Accesso che richiede un sAMAccountName, ad esempio DOMINIO\nome utente, anziché un nome dell'entità utente (UPN), ad esempio user@domain.com.Sign in that requires an sAMAccountName, for example, DOMAIN\username, instead of a User Principal Name (UPN), for example, user@domain.com.
  • Continuità aziendale.Business continuity. I sistemi federati richiedono in genere un array di server con bilanciamento del carico, noto come farm.Federated systems typically require a load-balanced array of servers, known as a farm. Questa farm è configurata in una topologia di rete interna e perimetrale per garantire la disponibilità elevata per le richieste di autenticazione.This farm is configured in an internal network and perimeter network topology to ensure high availability for authentication requests.

    Implementare la sincronizzazione dell'hash delle password insieme all'autenticazione federata come metodo di autenticazione di backup quando il metodo di autenticazione principale non è più disponibile,Deploy password hash synchronization along with federated authentication as a backup authentication method when the primary authentication method is no longer available. ad esempio quando i server locali non sono disponibili.An example is when the on-premises servers aren't available. Alcune organizzazioni di grandi dimensioni richiedono una soluzione di federazione per supportare più punti di ingresso Internet configurati con geo-DNS per richieste di autenticazione a bassa latenza.Some large enterprise organizations require a federation solution to support multiple Internet ingress points configured with geo-DNS for low-latency authentication requests.

  • Considerazioni.Considerations. I sistemi federati richiedono in genere un investimento più significativo in infrastruttura locale.Federated systems typically require a more significant investment in on-premises infrastructure. La maggior parte delle organizzazioni sceglie questa opzione se ha già investito in un sistema di federazione localeMost organizations choose this option if they already have an on-premises federation investment. e se l'uso di un singolo provider di identità è un requisito aziendale imprescindibile.And if it's a strong business requirement to use a single-identity provider. La federazione prevede modalità d'uso e risoluzione dei problemi più complesse rispetto alle soluzioni di autenticazione cloud.Federation is more complex to operate and troubleshoot compared to cloud authentication solutions.

Per un dominio non instradabile che non può essere verificato in Azure AD, è necessaria una configurazione aggiuntiva per implementare l'accesso tramite ID utente.For a nonroutable domain that can't be verified in Azure AD, you need extra configuration to implement user ID sign in. Questo requisito è noto come supporto per l'ID di accesso alternativo.This requirement is known as Alternate login ID support. Per requisiti e limitazioni, vedere Configurazione dell'ID di accesso alternativo.See Configuring Alternate Login ID for limitations and requirements. Se si sceglie di usare un provider di autenticazione a più fattori di terze parti con la federazione, verificare che il provider supporti WS-Trust per consentire l'aggiunta dei dispositivi ad Azure AD.If you choose to use a third-party multi-factor authentication provider with federation, ensure the provider supports WS-Trust to allow devices to join Azure AD.

Per la procedura di distribuzione, vedere Distribuzione di server federativi.Refer to Deploying Federation Servers for deployment steps.

Nota

Quando si implementa la soluzione ibrida di gestione delle identità di Azure AD, è necessario implementare una delle topologie supportate di Azure AD Connect.When you deploy your Azure AD hybrid identity solution, you must implement one of the supported topologies of Azure AD Connect. Altre informazioni sulle configurazioni supportate o meno sono disponibili in Topologie per Azure AD Connect.Learn more about supported and unsupported configurations at Topologies for Azure AD Connect.

Diagrammi di architetturaArchitecture diagrams

I diagrammi seguenti definiscono i componenti dell'architettura generale necessari per ogni metodo di autenticazione che è possibile usare con la soluzione ibrida di gestione delle identità di Azure AD.The following diagrams outline the high-level architecture components required for each authentication method you can use with your Azure AD hybrid identity solution. Questi diagrammi forniscono una panoramica utile per confrontare le differenze tra le soluzioni.They provide an overview to help you compare the differences between the solutions.

  • Semplicità della soluzione di sincronizzazione dell'hash delle password:Simplicity of a password hash synchronization solution:

    Soluzione ibrida di gestione delle identità di Azure AD con sincronizzazione dell'hash delle password

  • Requisiti dell'agente di autenticazione pass-through, usando due agenti per la ridondanza:Agent requirements of pass-through authentication, using two agents for redundancy:

    Soluzione ibrida di gestione delle identità di Azure AD con autenticazione pass-through

  • Componenti necessari per la federazione nella rete interna e perimetrale dell'organizzazione:Components required for federation in your perimeter and internal network of your organization:

    Soluzione ibrida di gestione delle identità di Azure AD con autenticazione federata

Confronto dei metodiComparing methods

ConsiderazioniConsideration Sincronizzazione dell'hash delle password + Seamless SSOPassword hash synchronization + Seamless SSO Autenticazione pass-through + Seamless SSOPass-through Authentication + Seamless SSO Federazione con ADFSFederation with AD FS
Dove si verifica l'autenticazione?Where does authentication happen? Nel cloudIn the cloud Nel cloud dopo la verifica della password di protezione con l'agente di autenticazione localeIn the cloud after a secure password verification exchange with the on-premises authentication agent LocaleOn-premises
Quali sono i requisiti del server locale oltre il sistema di provisioning Azure AD Connect?What are the on-premises server requirements beyond the provisioning system: Azure AD Connect? NessunaNone Un server per ogni agente di autenticazione aggiuntivoOne server for each additional authentication agent Due o più server AD FSTwo or more AD FS servers

Due o più server WAP nella rete perimetraleTwo or more WAP servers in the perimeter/DMZ network
Quali sono i requisiti di rete e Internet locali oltre al sistema di provisioning?What are the requirements for on-premises Internet and networking beyond the provisioning system? NessunaNone Accesso a Internet in uscita dai server in cui sono in esecuzione gli agenti di autenticazioneOutbound Internet access from the servers running authentication agents Accesso Internet in ingresso ai server WAP nelle reti perimetraliInbound Internet access to WAP servers in the perimeter

Accesso di rete in ingresso ai server AD FS dai server WAP nelle reti perimetraliInbound network access to AD FS servers from WAP servers in the perimeter

Bilanciamento del carico di reteNetwork load balancing
Esiste un requisito per il certificato SSL?Is there an SSL certificate requirement? No No No No Yes
Esiste una soluzione di monitoraggio dello stato?Is there a health monitoring solution? FacoltativoNot required Stato agente fornito dall'interfaccia di amministrazione di Azure Active DirectoryAgent status provided by Azure Active Directory admin center Azure AD Connect HealthAzure AD Connect Health
Gli utenti ottengono l'accesso Single Sign-On alle risorse cloud dai dispositivi aggiunti al dominio all'interno della rete aziendale?Do users get single sign-on to cloud resources from domain-joined devices within the company network? Sì, con l'accesso Single Sign-On facileYes with Seamless SSO Sì, con l'accesso Single Sign-On facileYes with Seamless SSO Yes
Quali tipi di accesso sono supportati?What sign-in types are supported? UserPrincipalName + PasswordUserPrincipalName + password

Autenticazione integrata di Windows con Seamless SSOWindows Integrated Authentication by using Seamless SSO

ID di accesso alternativoAlternate login ID
UserPrincipalName + PasswordUserPrincipalName + password

Autenticazione integrata di Windows con Seamless SSOWindows Integrated Authentication by using Seamless SSO

ID di accesso alternativoAlternate login ID
UserPrincipalName + PasswordUserPrincipalName + password

sAMAccountName + PasswordsAMAccountName + password

Autenticazione integrata di WindowsWindows Integrated Authentication

Autenticazione con certificato e smart cardCertificate and smart card authentication

ID di accesso alternativoAlternate login ID
Windows Hello for Business è supportato?Is Windows Hello for Business supported? Modello di attendibilità chiaviKey trust model Modello di attendibilità chiaviKey trust model
Richiede il livello di funzionalità del dominio di Windows Server 2016Requires Windows Server 2016 Domain functional level
Modello di attendibilità chiaviKey trust model

Modello di attendibilità certificatiCertificate trust model
Quali sono le opzioni di autenticazione a più fattori?What are the multifactor authentication options? Azure MFAAzure MFA

Controlli personalizzati con accesso condizionale*Custom Controls with conditional access*
Azure MFAAzure MFA

Controlli personalizzati con accesso condizionale*Custom Controls with conditional access*
Azure MFAAzure MFA

Server di Azure MFAAzure MFA server

MFA di terze partiThird-party MFA

Controlli personalizzati con accesso condizionale*Custom Controls with conditional access*
Quali stati dell'account utente sono supportati?What user account states are supported? Account disabilitatiDisabled accounts
(fino a 30 minuti di ritardo)(up to 30-minute delay)
Account disabilitatiDisabled accounts

Account bloccatoAccount locked out

Account scadutoAccount expired

Password scadutaPassword expired

Orari di accessoSign-in hours
Account disabilitatiDisabled accounts

Account bloccatoAccount locked out

Account scadutoAccount expired

Password scadutaPassword expired

Orari di accessoSign-in hours
Quali sono le opzioni di accesso condizionale?What are the conditional access options? Accesso condizionale di Azure AD con Azure AD PremiumAzure AD conditional access, with Azure AD Premium Accesso condizionale di Azure AD con Azure AD PremiumAzure AD conditional access, with Azure AD Premium Accesso condizionale di Azure AD con Azure AD PremiumAzure AD conditional access, with Azure AD Premium

Regole di attestazione per AD FSAD FS claim rules
Il blocco dei protocolli legacy è supportato?Is blocking legacy protocols supported? Yes Yes Yes
È possibile personalizzare il logo, l'immagine e la descrizione nelle pagine di accesso?Can you customize the logo, image, and description on the sign-in pages? Sì, con Azure AD PremiumYes, with Azure AD Premium Sì, con Azure AD PremiumYes, with Azure AD Premium Yes
Quali scenari avanzati sono supportati?What advanced scenarios are supported? Smart Password LockoutSmart password lockout

Report Credenziali perse con Azure AD Premium P2Leaked credentials reports, with Azure AD Premium P2
Smart Password LockoutSmart password lockout Sistema di autenticazione multisito a bassa latenzaMultisite low-latency authentication system

Blocco della Extranet di AD FSAD FS extranet lockout

Integrazione con i sistemi di gestione delle identità di terze partiIntegration with third-party identity systems

Nota

I controlli personalizzati nell'accesso condizionale di Azure AD non supportano attualmente la registrazione dispositivo.Custom controls in Azure AD conditional access does not currently support device registration.

ConsigliRecommendations

Il sistema di gestione delle identità garantisce che gli utenti abbiano accesso alle app cloud e line-of-business trasferite e rese disponibili nel cloud.Your identity system ensures your users' access to cloud apps and the line-of-business apps that you migrate and make available in the cloud. Per mantenere produttivi gli utenti autorizzati e tenere i malintenzionati alla larga dai dati sensibili dell'organizzazione, l'autenticazione controlla l'accesso alle app.To keep authorized users productive and bad actors out of your organization’s sensitive data, authentication controls access to apps.

Usare o abilitare la sincronizzazione dell'hash delle password indipendentemente dal metodo di autenticazione scelto, per i motivi seguenti:Use or enable password hash synchronization for whichever authentication method you choose, for the following reasons:

  1. Disponibilità elevata e ripristino di emergenza.High availability and disaster recovery. L'autenticazione pass-through e federata si basano sull'infrastruttura locale.Pass-through Authentication and federation rely on on-premises infrastructure. Per l'autenticazione pass-through, il footprint locale include l'hardware del server e le funzionalità di rete richiesti dagli agenti di autenticazione pass-through.For pass-through authentication, the on-premises footprint includes the server hardware and networking the Pass-through Authentication agents require. Per la federazione, il footprint locale è ancora maggiore.For federation, the on-premises footprint is even larger. Richiede infatti che i server nella rete perimetrale inoltrino tramite proxy le richieste di autenticazione ai server federativi interni.It requires servers in your perimeter network to proxy authentication requests and the internal federation servers.

    Per evitare singoli punti di guasto, distribuire server ridondanti.To avoid single points of failures, deploy redundant servers. Le richieste di autenticazione verranno sempre soddisfatte anche in caso di guasto di un componente.Then authentication requests will always be serviced if any component fails. Sia l'autenticazione pass-through che la federazione fanno anche affidamento sui controller di dominio, anch'essi soggetti a guasti, per rispondere alle richieste di autenticazione.Both pass-through authentication and federation also rely on domain controllers to respond to authentication requests, which can also fail. Molti di questi componenti hanno bisogno di manutenzione per conservare uno stato di integrità.Many of these components need maintenance to stay healthy. Le interruzioni si verificano con maggiore probabilità quando la manutenzione non viene pianificata e implementata correttamente.Outages are more likely when maintenance isn't planned and implemented correctly. Eventuali interruzioni possono essere evitate usando la sincronizzazione dell'hash delle password, perché il servizio di autenticazione cloud di Microsoft Azure Active Directory è scalabile a livello globale ed è sempre disponibile.Avoid outages by using password hash synchronization because the Microsoft Azure AD cloud authentication service scales globally and is always available.

  2. Sopravvivenza alle interruzioni locali.On-premises outage survival. Le conseguenze di un'interruzione locale causata da attacchi informatici o emergenze possono essere significative e spaziano da un danno alla reputazione del marchio alla paralisi delle organizzazioni che non sono in grado di gestire l'attacco.The consequences of an on-premises outage due to a cyber-attack or disaster can be substantial, ranging from reputational brand damage to a paralyzed organization unable to deal with the attack. Recentemente, molte organizzazioni sono state vittime di attacchi di malware, inclusi ransomware mirati, che hanno reso inaccessibili i server locali.Recently, many organizations were victims of malware attacks, including targeted ransomware, that caused their on-premises servers to go down. Nel fornire il proprio supporto ai clienti che devono affrontare questi tipi di attacchi, Microsoft ha notato due categorie di organizzazioni:When Microsoft helps customers deal with these kinds of attacks, it sees two categories of organizations:

    • Le organizzazioni che in precedenza avevano attivato la sincronizzazione dell'hash delle password hanno cambiato metodo di autenticazione per usare tale sincronizzazione.Organizations that previously turned on password hash synchronization changed their authentication method to use password hash synchronization. Sono tornati online in poche ore.They were back online in a matter of hours. Usando l'accesso alla posta elettronica tramite Office 365, hanno lavorato per risolvere i problemi e accedere ad altri carichi di lavoro basati sul cloud.By using access to email via Office 365, they worked to resolve issues and access other cloud-based workloads.

    • Le organizzazioni che non è stata precedentemente abilitare la sincronizzazione dell'hash delle password hanno dovuto ricorrere a sistemi di posta elettronica consumer esterni non attendibili per le comunicazioni risolvere i problemi.Organizations that didn’t previously enable password hash synchronization had to resort to untrusted external consumer email systems for communications to resolve issues. In questi casi, ha richiesto loro settimane alla propria infrastruttura di identità in locale, di ripristino prima che gli utenti erano in grado di effettuare l'accesso alle App basate su cloud anche in questo caso.In those cases, it took them weeks to restore their on-premises identity infrastructure, before users were able to sign-in to cloud-based apps again.

  3. Identity ProtectionIdentity protection. uno dei modi migliori per proteggere gli utenti nel cloud è Azure AD Identity Protection con Azure AD Premium P2.One of the best ways to protect users in the cloud is Azure AD Identity Protection with Azure AD Premium P2. Microsoft esegue continuamente l'analisi di Internet alla ricerca degli elenchi di nomi utente e password venduti e resi disponibili sul dark web dai malintenzionati.Microsoft continually scans the Internet for user and password lists that bad actors sell and make available on the dark web. Azure AD è in grado di usare queste informazioni per verificare se uno qualsiasi dei nomi utente e delle password dell'organizzazione sono compromessi.Azure AD can use this information to verify if any of the usernames and passwords in your organization are compromised. È pertanto essenziale abilitare la sincronizzazione dell'hash delle password indipendentemente dal metodo di autenticazione usato, sia che si tratti di autenticazione federata o pass-through.So it's critical to enable password hash synchronization no matter what authentication method you use, whether that's federated or pass-through authentication. Le credenziali perse vengono presentate in forma di report.Leaked credentials are presented as a report. Usare queste informazioni per impedire o imporre agli utenti di cambiare la password quando cercano di accedere con una password persa.Use this information to block or force users to change their passwords when they try to sign in with leaked passwords.

Infine, secondo Gartner Microsoft offre il set di funzioni di gestione delle identità e degli accessi più completo.Lastly, according to Gartner, Microsoft has the most full-featured set of identity and access management functions. Microsoft gestisce ogni mese 450 miliardi di richieste di autenticazione per fornire l'accesso a migliaia di applicazioni SaaS come Office 365 praticamente da qualsiasi dispositivo.Microsoft handles 450 billion authentication requests every month to provide access to thousands of SaaS applications like Office 365 from virtually any device.

ConclusioniConclusion

Questo articolo descrive diverse opzioni di autenticazione che le organizzazioni possono configurare e implementare per supportare l'accesso alle app cloud.This article outlines various authentication options that organizations can configure and deploy to support access to cloud apps. Per soddisfare esigenze aziendali, tecniche e di sicurezza diverse, le organizzazioni possono scegliere tra sincronizzazione dell'hash delle password, autenticazione pass-through e federazione.To meet various business, security, and technical requirements, organizations can choose between password hash synchronization, Pass-through Authentication, and federation.

Prendere in considerazione ogni metodo di autenticazione.Consider each authentication method. Il lavoro richiesto per distribuire la soluzione e l'esperienza utente della procedura di accesso soddisfano i requisiti aziendali?Does the effort to deploy the solution, and the user's experience of the sign-in process, address your business requirements? Valutare se l'organizzazione necessita degli scenari avanzati e delle funzionalità di continuità aziendale disponibili con ogni metodo di autenticazione.Evaluate whether your organization needs the advanced scenarios and business continuity features of each authentication method. Infine, valutare le considerazioni relative a ogni metodo di autenticazione.Finally, evaluate the considerations of each authentication method. Ne esiste almeno uno che impedisce di implementare la soluzione scelta?Do any of them prevent you from implementing your choice?

Passaggi successiviNext steps

Oggigiorno, le minacce sono presenti 24 ore al giorno e provengono da ovunque.In today’s world, threats are present 24 hours a day and come from everywhere. L'implementazione del metodo di autenticazione corretto consente di attenuare i rischi di sicurezza e proteggere le identità.Implement the correct authentication method, and it will mitigate your security risks and protect your identities.

Ciò è possibile tramite l'Introduzione ad Azure Active Directory e la distribuzione di una soluzione di autenticazione appropriata per l'organizzazione.Get started with Azure AD and deploy the right authentication solution for your organization.

Se si intende eseguire la migrazione dall'autenticazione federata all'autenticazione cloud, sono disponibili altre informazioni sulla modifica del metodo di accesso.If you're thinking about migrating from federated to cloud authentication, learn more about changing the sign-in method. Per pianificare e implementare la migrazione, usare questi piani di distribuzione del progetto.To help you plan and implement the migration, use these project deployment plans.