Integrazione dell'accesso Single Sign-On di Microsoft Entra con i Servizi di directory

In questo articolo si apprenderà come integrare Servizi directory con Microsoft Entra ID. Integrando Servizi directory con Microsoft Entra ID, è possibile:

• Controlla chi ha accesso ai Servizi di directory tramite Microsoft Entra ID.
• Consentire ai tuoi utenti di effettuare l'accesso automaticamente ai Servizi Directory con i loro account Microsoft Entra.
• Gestire gli account in un'unica posizione centrale.

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

• Un account utente di Microsoft Entra con una sottoscrizione attiva. Se non ne hai già uno, puoi creare un account gratuitamente.
• Uno dei ruoli seguenti:
  • Amministratore applicazioni
  • amministratore di applicazioni cloud
  • responsabile dell'applicazione.

• Sottoscrizione di Directory Services abilitata per l'accesso Single Sign-On (SSO).

Descrizione dello scenario

In questo articolo viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.

• Servizi directory supporta l'SSO avviato da SP e IDP.
• Servizi directory supporta provisioning utenti JIT.
• Servizi directory supporta provisioning utenti automatizzato.

Aggiungere Servizi Directory dalla raccolta

Per configurare l'integrazione di Directory Services in Microsoft Entra ID, è necessario aggiungere Directory Services dalla raccolta alla lista delle proprie app SaaS gestite.

1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministratore delle applicazioni cloud .
2. Passare a Identity>Applicazioni>Applicazioni aziendali>Nuova applicazione.
3. Nella sezione Aggiungi dalla raccolta, digitare Directory Services nella casella di ricerca.
4. Selezionare Servizi directory nel pannello dei risultati e quindi aggiungere l'app. Attendere qualche secondo mentre l'app viene aggiunta al tuo tenant.

In alternativa, è possibile utilizzare anche il Configurazione guidata dell'app aziendale . In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli e seguire anche la configurazione dell'accesso SSO. Scopri di più sulle procedure guidate di Microsoft 365.

Configurare e testare Microsoft Entra Single Sign-On per Servizi di Directory

Configurare e testare l'accesso SSO di Microsoft Entra con Directory Services usando un utente di test di nome B.Simon. Per consentire l'operatività dell'accesso Single Sign-On, è necessario stabilire un collegamento tra un utente di Microsoft Entra e l'utente correlato nei Servizi di directory.

Per configurare e testare l'accesso SSO di Microsoft Entra con Directory Services, seguire i passaggi seguenti:

1. Configurare Microsoft Entra SSO: per consentire agli utenti di usare questa funzionalità.
   1. Creare un utente di test di Microsoft Entra : per testare l'accesso Single Sign-On di Microsoft Entra con B.Simon.
   2. Assegnare l'utente di test di Microsoft Entra - per abilitare B.Simon all'uso del Single Sign-On di Microsoft Entra.
2. Configurare l'accesso Single Sign-On di Servizi directory: per configurare le impostazioni di Single Sign-On sul lato applicazione.
   1. Creare un utente di test per i Servizi di directory - per avere una controparte di B.Simon nei Servizi di directory che sia collegata alla rappresentazione dell'utente in Microsoft Entra.
3. Testare SSO: per verificare se la configurazione funziona.

Configurare il Single Sign-On (SSO) di Microsoft Entra

Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.

1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un Cloud Application Administrator .

2. Vai a Identity>Applications>Enterprise applications>Directory Services>autenticazione unica.

3. Nella pagina Seleziona un metodo di autenticazione Single Sign-On, seleziona SAML.

4. Nella pagina Configura accesso Single Sign-On con SAML, fare clic sull'icona a forma di matita per Configurazione SAML di base per modificare le impostazioni.

   

5. Nella sezione configurazione SAML di base seguire questa procedura:

   un. Nella casella di testo Identificatore digitare un URL usando uno dei modelli seguenti:

   Identificatore
   https://<HOSTNAME.DOMAIN.com>/otdsws/login
   https://<HOSTNAME.DOMAIN.com>/<OTDS_TENANT>/<TENANTID>/otdsws/login
   https://<HOSTNAME.DOMAIN.com>/otdsws/<OTDS_TENANT>/<TENANTID>/login
   https://<HOSTNAME.DOMAIN.com>/<OTDS_TENANT>/<TENANTID>/login

   b. Nella casella di testo URL di risposta digitare un URL usando uno dei modelli seguenti:

   URL di risposta
   https://<HOSTNAME.DOMAIN.com>/otdsws/login
   https://<HOSTNAME.DOMAIN.com>/<OTDS_TENANT>/<TENANTID>/otdsws/login
   https://<HOSTNAME.DOMAIN.com>/otdsws/<OTDS_TENANT>/<TENANTID>/login
   https://<HOSTNAME.DOMAIN.com>/<OTDS_TENANT>/<TENANTID>/login

6. Eseguire il passaggio seguente se si vuole configurare l'applicazione in SP modalità avviata:

   Nella casella di testo URL di accesso digitare un URL usando uno dei modelli seguenti:

   URL di accesso
   https://<HOSTNAME.DOMAIN.com>/otdsws/login
   https://<HOSTNAME.DOMAIN.com>/<OTDS_TENANT>/<TENANTID>/otdsws/login
   https://<HOSTNAME.DOMAIN.com>/otdsws/<OTDS_TENANT>/<TENANTID>/login
   https://<HOSTNAME.DOMAIN.com>/<OTDS_TENANT>/<TENANTID>/login

   Nota

   Questi valori non sono reali. Aggiornare questi valori con l'identificatore effettivo, l'URL di risposta e l'URL di accesso. Contattare il team di supporto dei Servizi directory per ottenere questi valori. È anche possibile fare riferimento ai modelli illustrati nella sezione configurazione SAML di base.

7. Nella pagina Configura accesso Single Sign-On con SAML pagina, nella sezione certificato di firma SAML fare clic sul pulsante Copia per copiare 'URL dei metadati di federazione dell'app e salvarlo nel computer.

   

Creare un utente di test di Microsoft Entra

In questa sezione verrà creato un utente di test di nome B.Simon.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno un amministratore utente .
2. Passare a Identità>Utenti>Tutti gli utenti.
3. Selezionare Nuovo utente>Crea nuovo utente, nella parte superiore della schermata.
4. Nelle proprietà User seguire questa procedura:
   1. Nel campo Nome visualizzato inserire B.Simon.
   2. Nel campo Nome principale utente immettere il username@companydomain.extension. Ad esempio, B.Simon@contoso.com.
   3. Selezionare la casella di controllo Mostra password e quindi annotare il valore visualizzato nella casella Password.
   4. Seleziona Rivedi e crea.
5. Selezionare Crea.

Assegnare l'utente di test di Microsoft Entra

In questa sezione si abiliterà B.Simon all'uso dell'accesso single sign-on concedendo l'accesso a Directory Services.

1. Accedi al centro di amministrazione di Microsoft Entra come almeno un Amministratore di Applicazioni Cloud .
2. Passare a Identity>Applications>Enterprise applications>Directory Services.
3. Nella pagina di panoramica dell'app selezionare Utenti e gruppi.
4. Selezionare Aggiungi utente/gruppo, quindi selezionare Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.
   1. Nella finestra di dialogo utenti e gruppi selezionare B.Simon dall'elenco Utenti, quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
   2. Se si prevede che un ruolo venga assegnato agli utenti, è possibile selezionarlo dall'elenco a discesa Selezionare un ruolo. Se non è stato configurato alcun ruolo per questa app, viene visualizzato il ruolo "Accesso predefinito" selezionato.
   3. Nella finestra di dialogo Aggiungi assegnazione, fare clic sul pulsante Assegna.

Configurare Servizi di Directory Single Sign-On

Per configurare l'accesso Single Sign-On sul lato Servizi Directory, è necessario inviare l'URL dei metadati di federazione dell'app al team di supporto di Servizi Directory . Questa impostazione viene impostata in modo che la connessione SSO SAML sia impostata correttamente su entrambi i lati.

Creare l'utente di test di Directory Services

In questa sezione viene creato un utente chiamato B.Simon in Servizi Directory. I servizi di Directory Services supportano il provisioning degli utenti just-in-time, che è abilitato per impostazione predefinita. In questa sezione non è presente alcun elemento di azione. Se non esiste già un utente in Servizi directory, ne viene creato uno nuovo dopo l'autenticazione.

Nota

Servizi di Directory supporta anche il provisioning utente automatico, puoi trovare altri dettagli qui su come configurare il provisioning utente automatico.

Test SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra con le opzioni seguenti.

Avviato da SP:

• Fare clic su Testa questa applicazione, verrà eseguito il reindirizzamento all'URL di accesso di Servizi Directory dove è possibile iniziare il processo di accesso.

• Accedere direttamente all'URL di accesso dei servizi di directory e avviare il flusso di accesso da lì.

IDP avviato:

• Fai clic su Testa questa applicazionee dovresti essere automaticamente collegato ai Servizi di directory per cui hai configurato l'SSO.

È anche possibile usare Microsoft My Apps per testare l'applicazione in qualsiasi modalità. Quando si fa clic sul riquadro Directory Services in My Apps, se configurato in modalità SP, si viene reindirizzati alla pagina di accesso dell'applicazione per avviare il flusso di accesso, e se configurato in modalità IDP, si accede automaticamente all'istanza di Directory Services per cui si è configurato l'SSO. Per altre informazioni sulle app personali, vedere Introduzione alle app personali.

Contenuto correlato

Dopo aver configurato Servizi directory, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione si estende dall'accesso condizionale. Informazioni su come applicare il controllo sessione con Microsoft Defender for Cloud Apps.