Condividi tramite

Come configurare il Single Sign-On per un'applicazione proxy

  • Articolo

L'accesso Single sign-on (SSO) consente agli utenti di accedere a un'applicazione senza effettuare l'autenticazione più volte. Consente di eseguire una singola autenticazione nel cloud, in Microsoft Entra ID, e consente al servizio o al connettore di assumere l'identità dell'utente per completare eventuali sfide di autenticazione aggiuntive dall'applicazione.

Come configurare l'accesso unico (Single Sign-On)

Per configurare SSO, verificare innanzitutto che l'applicazione sia configurata per la preautenticazione tramite Microsoft Entra ID.

  1. Accedi all'interfaccia di amministrazione di Microsoft Entra come minimo come Amministratore dell'applicazione.
  2. Selezionare il nome utente nell'angolo superiore destro. Verificare di aver effettuato l'accesso a una directory che usa l'application proxy. Se è necessario cambiare directory, selezionare Cambia directory e scegliere una directory che usa il proxy di applicazione.
  3. Passare a Identità>Applicazioni>Applicazioni aziendali>Application Proxy.

Cercare il campo "Pre Autenticazione" e assicurarsi che sia impostato.

Per altre informazioni sui metodi di pre-autenticazione, vedere il passaggio 4 del documento sulla pubblicazione dell'app.

Metodo di pre-autenticazione nell'Interfaccia di amministrazione di Microsoft Entra

Configurazione delle modalità Single Sign-On per le applicazioni con application proxy

Configurare il tipo specifico di Single Sign-On. I metodi di accesso sono classificati in base al tipo di autenticazione usato dall'applicazione back-end. Le applicazioni con application proxy supportano tre tipi di accesso:

  • Accesso basato su password: l'accesso basato su password può essere usato per qualsiasi applicazione che usa i campi nome utente e password per l'accesso. I passaggi di configurazione si trovano in Configurare l'accesso con password Single Sign-On per un'applicazione della raccolta Microsoft Entra.

  • Autenticazione integrata di Windows: per le applicazioni che usano l'autenticazione integrata di Windows (IWA), l'accesso Single Sign-On è abilitato tramite delega vincolata Kerberos (KCD). Questo metodo consente di connettori di rete privata in Active Directory di rappresentare gli utenti e inviare e ricevere i token per loro conto. I dettagli sulla configurazione di KCD sono reperibili nella documentazione sull'accesso Single Sign-On con KCD.

  • Accesso basato su intestazione: l'accesso basato su intestazione viene usato per fornire funzionalità di Single Sign-On tramite intestazioni HTTP. Per altre informazioni, vedere Single Sign-On basato su intestazione.

  • Single Sign-On SAML: con l'accesso Single Sign-On SAML, Microsoft Entra esegue l'autenticazione all'applicazione usando l'account Microsoft Entra dell'utente. Microsoft Entra ID comunica le informazioni di accesso all'applicazione tramite un protocollo di connessione. Con l'accesso Single Sign-On basato su SAML è possibile eseguire il mapping degli utenti a ruoli specifici dell'applicazione in base alle regole definite nelle attestazioni SAML. Per informazioni sulla configurazione dell'accesso SSO SAML, vedere SAML per l'accesso SSO con proxy dell'applicazione.

Ognuna di queste opzioni è reperibile da Applicazioni aziendali nella propria applicazione e aprendo la pagina Single Sign-On nel menu a sinistra. Se l'applicazione è stata creata nel portale precedente, potrebbero non essere visibili tutte queste opzioni.

In questa pagina viene visualizzata inoltre un'altra opzione di accesso: Linked Sign-on (Accesso collegato). Application proxy supporta questa opzione. Tuttavia, questa opzione non aggiunge l'accesso Single Sign-On all'applicazione. L'applicazione potrebbe comunque avere già implementato l'accesso Single Sign-On usando un altro servizio, ad esempio Active Directory Federation Services.

Questa opzione consente a un amministratore di creare un collegamento a una prima applicazione a cui accedono gli utenti quando accedono all'applicazione. Ad esempio un'applicazione configurata per autenticare gli utenti con Active Directory Federation Services 2.0 può usare l'opzione "Linked Sign-On" per creare un collegamento nella pagina di App personali.

Passaggi successivi