Condividi tramite

Procedura: Configurazione dell'accesso Single Sign-On all'applicazione Application Proxy

  • Articolo

L'accesso Single sign-on (SSO) consente agli utenti di accedere a un'applicazione senza effettuare l'autenticazione più volte. Consente di eseguire l'autenticazione solo nel cloud, in Microsoft Entra ID e consente al servizio o al connettore di rappresentare l'utente per completare eventuali richieste di autenticazione aggiuntive dall'applicazione.

Come configurare l'accesso Single Sign-On

Per configurare SSO, verificare innanzitutto che l'applicazione sia configurata per la preautenticazione tramite Microsoft Entra ID.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore applicazione.
  2. Selezionare il nome utente nell'angolo superiore destro. Verificare di aver effettuato l'accesso a una directory che usa l'application proxy. Se è necessario cambiare directory, selezionare Cambia directory e scegliere una directory che usa il proxy di applicazione.
  3. Passare a Identità>Applicazioni>Applicazioni aziendali>Application Proxy.

Cercare il campo "Pre Autenticazione" e assicurarsi che sia impostato.

Per altre informazioni sui metodi di pre-autenticazione, vedere il passaggio 4 del documento sulla pubblicazione dell'app.

Metodo di pre-autenticazione nell'Interfaccia di amministrazione di Microsoft Entra

Configurazione delle modalità Single Sign-On per le applicazioni con application proxy

Configurare il tipo specifico di Single Sign-On. I metodi di accesso sono classificati in base al tipo di autenticazione usato dall'applicazione back-end. Le applicazioni con application proxy supportano tre tipi di accesso:

  • Accesso basato su password: l'accesso basato su password può essere usato per qualsiasi applicazione che usa i campi nome utente e password per l'accesso. I passaggi di configurazione si trovano in Configurare l'accesso Single Sign-On password per un'applicazione della raccolta di Microsoft Entra.

  • Autenticazione integrata di Windows: per le applicazioni che usano l'autenticazione integrata di Windows (IWA), l'accesso Single Sign-On è abilitato tramite delega vincolata Kerberos (KCD). Questo metodo consente di connettori di rete privata in Active Directory di rappresentare gli utenti e inviare e ricevere i token per loro conto. I dettagli relativi alla configurazione della delega vincolata Kerberos sono reperibili nella documentazione relativa all'accesso Single Sign-On con delega vincolata Kerberos.

  • Accesso basato su intestazione: l'accesso basato su intestazione viene usato per fornire funzionalità di Single Sign-On tramite intestazioni HTTP. Per altre informazioni, vedere Single Sign-On basato su intestazione.

  • Single Sign-On SAML: con l'accesso Single Sign-On SAML, Microsoft Entra esegue l'autenticazione all'applicazione usando l'account Microsoft Entra dell'utente. Microsoft Entra ID comunica le informazioni di accesso all'applicazione tramite un protocollo di connessione. Con l'accesso Single Sign-On basato su SAML è possibile eseguire il mapping degli utenti a ruoli specifici dell'applicazione in base alle regole definite nelle attestazioni SAML. Per informazioni sulla configurazione dell'accesso Single Sign-On SAML, vedere SAML per l'accesso Single Sign-On con application proxy.

Ognuna di queste opzioni è reperibile da Applicazioni aziendali nella propria applicazione e aprendo la pagina Single Sign-On nel menu a sinistra. Se l'applicazione è stata creata nel portale precedente, potrebbero non essere visibili tutte queste opzioni.

In questa pagina viene visualizzata inoltre un'altra opzione di accesso: Linked Sign-on (Accesso collegato). Application proxy supporta questa opzione. Tuttavia, questa opzione non aggiunge l'accesso Single Sign-On all'applicazione. L'applicazione potrebbe comunque avere già implementato l'accesso Single Sign-On usando un altro servizio, ad esempio Active Directory Federation Services.

Questa opzione consente a un amministratore di creare un collegamento a una prima applicazione a cui accedono gli utenti quando accedono all'applicazione. Ad esempio un'applicazione configurata per autenticare gli utenti con Active Directory Federation Services 2.0 può usare l'opzione "Linked Sign-On" per creare un collegamento nella pagina di App personali.

Passaggi successivi