Cos'è il Single Sign-On in Microsoft Entra ID?
Questo articolo fornisce informazioni sulle opzioni di Single Sign-On (SSO) disponibili. Descrive anche un'introduzione alla pianificazione di una distribuzione di Single Sign-On quando si usa Microsoft Entra ID. Single Sign-On è un metodo di autenticazione che consente agli utenti di accedere usando un set di credenziali per più sistemi software indipendenti. L'uso di SSO consente a un utente di non dover eseguire l'accesso a ogni applicazione usata. Con l'accesso Single Sign-On, gli utenti possono accedere a tutte le applicazioni necessarie senza dover eseguire l'autenticazione usando credenziali diverse. Per una breve introduzione, vedere Single Sign-On di Microsoft Entra.
Molte applicazioni che è possibile usare con SSO esistono già in Microsoft Entra ID. Sono disponibili diverse opzioni per l'accesso SSO in base alle esigenze dell'applicazione e alla modalità di implementazione. Pianificare la distribuzione dell'accesso SSO prima di creare applicazioni in Microsoft Entra ID. La gestione delle applicazioni può essere semplificata tramite il portale App personali.
Opzioni Single Sign-On
La scelta di un metodo di accesso Single Sign-On dipende dal modo in cui l'applicazione è configurata per l'autenticazione. Le applicazioni cloud possono usare opzioni basate sulla federazione, ad esempio OpenID Connect, OAuth e SAML. L'applicazione può anche usare l'accesso SSO basato su password, l'accesso SSO collegato o l'accesso SSO può essere disabilitato.
Federazione - quando si configura l'accesso SSO per lavorare tra più provider di identità, questo uso è definito federazione. Un'implementazione SSO basata su protocolli di federazione migliora la sicurezza, l'affidabilità, le esperienze degli utenti finali e l'implementazione.
Con l'accesso Single Sign-On federato, Microsoft Entra autentica l'utente nell'applicazione usando il suo account Microsoft Entra. Questo metodo è supportato per le applicazioni SAML 2.0, WS-Federation, oppure OpenID Connect. L'accesso SSSO federato è la modalità più ricca di SSO. Usare l'accesso SSO federato con Microsoft Entra ID quando un'applicazione la supporta, anziché l'accesso SSO basato su password e Active Directory Federation Services (AD FS).
Esistono alcuni scenari in cui l'opzione SSO non è presente per un'applicazione aziendale. Se l'applicazione è stata registrata usando Registrazioni app nel portale, la funzionalità Single Sign-On è configurata per l'uso di OpenID Connect e OAuth per impostazione predefinita. In questo caso, l'opzione Single Sign-On non viene visualizzata nel riquadro di spostamento nelle applicazioni aziendali. OpenID Connect è un protocollo di autenticazione costruito sulla base di OAuth 2.0, che è un protocollo di autorizzazione. OpenID Connect usa OAuth 2.0 per gestire la parte di autorizzazione del processo. Quando un utente tenta di accedere, OpenID Connect verifica la propria identità in base all'autenticazione eseguita da un server di autorizzazione. Dopo l'autenticazione dell'utente, OAuth 2.0 viene usato per concedere all'applicazione l'accesso alle risorse dell'utente senza esporre le proprie credenziali.
L'accesso Single Sign-On non è disponibile, quando un'applicazione è ospitata in un altro tenant. L'accesso Single Sign-On non è disponibile se l'account non dispone delle autorizzazioni richieste (amministratore dell'applicazione cloud, amministratore dell'applicazione o proprietario del servizio principale). Le autorizzazioni possono anche generare uno scenario in cui è possibile aprire l'accesso Single Sign-On, ma potrebbe non essere possibile salvare.
Password - le applicazioni locali possono usare un metodo basato su password per l'accesso SSO. Questa scelta funziona quando le applicazioni sono configurate per Application Proxy.
Con l'accesso SSO basato su password, gli utenti eseguono la procedura di accesso all'applicazione con nome utente e password solo al primo accesso. Agli accessi successivi, Microsoft Entra ID fornisce il nome utente e la password all'applicazione. L'accesso SSO basato su password consente l'archiviazione e la riproduzione delle password delle applicazioni protette usando un'estensione del Web browser o un'app per dispositivi mobili. Questa opzione usa il processo di accesso esistente fornito dall'applicazione, ma consente all'amministratore di gestire le password e non richiede all'utente di conoscerle. Per altre informazioni, vedere: Aggiungere un Single Sign-On basato su password a un'applicazione.
Collegato: l'accesso collegato può offrire un'esperienza utente coerente nel lungo periodo durante la migrazione delle applicazioni. Se si esegue la migrazione di applicazioni a Microsoft Entra ID, è possibile usare l'accesso SSO collegato per pubblicare rapidamente i collegamenti a tutte le applicazioni di cui si intende eseguire la migrazione. Gli utenti possono trovare tutti i collegamenti nei portali App personali o Microsoft 365.
Dopo l'autenticazione di un utente con un'applicazione collegata, è necessario creare un account prima che all'utente venga fornito l'accesso Single Sign-On. Il provisioning di questo account può verificarsi automaticamente oppure può verificarsi manualmente da un amministratore. Non è possibile applicare criteri di accesso condizionale o autenticazione a più fattori a un'applicazione collegata perché non fornisce funzionalità di accesso Single Sign-On tramite Microsoft Entra ID. Quando si configura un'applicazione collegata, si aggiunge semplicemente un collegamento che si visualizza all'avvio. Per altre informazioni, vedere: Aggiungere un Single Sign-On a un'applicazione.
Disabilitato: quando l'accesso SSO è disabilitato, non è disponibile per l'applicazione. Quando l'accesso Single Sign-On è disabilitato, gli utenti potrebbero doversi autenticare due volte. Prima di tutto, gli utenti eseguono l'autenticazione con Microsoft Entra ID e poi accedono all'applicazione.
Disabilitare l'accesso SSO quando:
Non si è pronti per integrare questa applicazione con l'accesso Single Sign-On di Microsoft Entra
Si stanno testando altri aspetti dell'applicazione
Un'applicazione locale non richiede che gli utenti eseguano l'autenticazione, ma si vuole che vengano autenticati. Con SSO disabilitato, l'utente deve eseguire l'autenticazione.
Se l'applicazione è stata configurata per l'accesso SSO avviato dal provider dei servizi e basato su SAML e si disabilita la modalità SSO, questo non impedisce agli utenti di accedere all'applicazione all'esterno del portale App personali. Per impedire agli utenti di accedere dall'esterno del portale App personali, è necessario disabilitare la possibilità per gli utenti di accedere.
Pianificare la distribuzione dell'accesso SSO
Le applicazioni Web sono ospitate da varie aziende e rese disponibili come servizio. Alcuni esempi comuni di applicazioni Web includono Microsoft 365, GitHub e Salesforce. Ce ne sono altre migliaia. Gli utenti accedono alle applicazioni Web usando un Web browser sul computer. L'accesso Single Sign-On consente agli utenti di spostarsi tra le varie applicazioni Web senza dover accedere più volte. Per altre informazioni, vedere Pianificare una distribuzione dell'accesso Single Sign-On.
La modalità di implementazione dell'accesso SSO dipende dalla posizione in cui è ospitata l'applicazione. L'hosting è importante per il modo in cui il traffico di rete viene instradato per accedere all'applicazione. Gli utenti non devono usare Internet per accedere alle applicazioni locali (ospitate in una rete locale). Se l'applicazione è ospitata nel cloud, gli utenti devono usare Internet. Le applicazioni ospitate nel cloud sono dette anche applicazioni Software as a Service (SaaS).
Per le applicazioni cloud, vengono usati i protocolli di federazione. È anche possibile usare l'accesso Single Sign-On per le applicazioni locali. È possibile usare Application Proxy per configurare l'accesso per l'applicazione locale. Per altre informazioni, consultare Accesso remoto alle applicazioni locali tramite Microsoft Entra Application Proxy.
App personali
Un utente di un'applicazione, è probabile che non sia molto interessato ai dettagli dell'accesso SSO. Vuole solo usare le applicazioni che lo rendono produttivo, senza dover digitare così spesso la password. Si possono trovare e gestire le applicazioni nel portale App personali. Per altre informazioni, vedere Accedere e avviare app dal portale App personali.