Impostazioni per l'accesso Single Sign-On di AD FS
Single Sign-On (SSO) consente agli utenti di eseguire l'autenticazione una sola volta e di accedere a più risorse senza che vengano richieste altre credenziali. Questo articolo descrive il comportamento predefinito di AD FS per l'accesso SSO e le impostazioni di configurazione che consentono di personalizzare questo comportamento.
Tipi supportati di Single Sign-On
AD FS supporta diversi tipi di esperienze Single Sign-On:
SSO di sessione
L'accesso Single Sign-On di sessione elimina le richieste aggiuntive quando l'utente passa alle applicazioni durante una determinata sessione. Se una sessione specifica termina, all'utente verranno richieste di nuovo le credenziali. I cookie di sessione SSO vengono scritti per l'utente autenticato.
AD FS imposta i cookie di sessione SSO per impostazione predefinita se i dispositivi degli utenti non sono registrati. Se la sessione del browser è terminata e viene riavviata, questo cookie di sessione viene eliminato e non è più valido.
SSO persistente
L'accesso Single Sign-On permanente elimina le richieste aggiuntive quando l'utente passa alle applicazioni purché il cookie SSO permanente sia valido. I cookie SSO permanenti vengono scritti per l'utente autenticato. La differenza tra l'accesso Single Sign-On permanente e l'accesso SSO di sessione consiste nel fatto che l'accesso Single Sign-On permanente può essere gestito tra sessioni diverse.
AD FS imposta i cookie SSO permanenti se il dispositivo è registrato. AD FS imposta anche un cookie SSO permanente se un utente seleziona l'opzione "Mantieni l'accesso". Se il cookie SSO persistente non è più valido, viene rifiutato ed eliminato.
SSO specifico per l'applicazione
Nello scenario OAuth viene usato un token di aggiornamento per mantenere lo stato SSO dell'utente nell'ambito di una determinata applicazione.
AD FS imposta l'ora di scadenza di un token di aggiornamento in base alla durata del cookie SSO permanente per un dispositivo registrato. Per impostazione predefinita, la durata dei cookie è sette giorni per AD FS in Windows Server 2012 R2. La durata predefinita dei cookie per AD FS in Windows Server 2016 è fino a un massimo di 90 giorni se il dispositivo viene usato per accedere alle risorse di AD FS all'interno di una finestra di 14 giorni.
Se il dispositivo non è registrato ma un utente seleziona l'opzione "Mantieni l'accesso" , l'ora di scadenza del token di aggiornamento sarà uguale alla durata del cookie SSO permanente per "Mantieni l'accesso". La durata del cookie SSO persistente è un giorno per impostazione predefinita con un massimo di sette giorni. In caso contrario, la durata del token di aggiornamento è uguale alla durata del cookie SSO della sessione (8 ore per impostazione predefinita).
Gli utenti nei dispositivi registrati otterranno sempre un accesso SSO permanente, a meno che l'accesso Single Sign-On permanente non sia disabilitato. Per i dispositivi non registrati, è possibile ottenere l'accesso Single Sign-On permanente abilitando la funzionalità "Mantieni l'accesso" (KMSI).
Per Windows Server 2012 R2, per abilitare PSSO per lo scenario "Mantieni l'accesso" è necessario installare questo hotfix, che fa anche parte dell'aggiornamento cumulativo di agosto 2014 per Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2.
Attività | PowerShell | Descrizione |
---|---|---|
Abilitare/disabilitare l'accesso Single Sign-On permanente | Set-AdfsProperties –EnablePersistentSso <Boolean> |
L'accesso Single Sign-On permanente è abilitato per impostazione predefinita. Se è disabilitato, non viene creato alcun cookie PSSO. |
Abilitare/disabilitare "Mantieni l'accesso" | Set-AdfsProperties –EnableKmsi <Boolean> |
La funzionalità "Mantieni l'accesso" è disabilitata per impostazione predefinita. Se è abilitata, l'utente visualizzerà una scelta "Mantieni l'accesso" nella pagina di accesso di AD FS |
AD FS 2016 - Dispositivi single sign-on e autenticati
AD FS 2016 modifica l'accesso PSSO quando il richiedente esegue l'autenticazione da un dispositivo registrato aumentando al massimo a 90 giorni, ma richiedendo un'autenticazione entro un periodo di 14 giorni (finestra di utilizzo del dispositivo). Dopo aver specificato le credenziali per la prima volta, per impostazione predefinita gli utenti con dispositivi registrati ottengono l'accesso Single Sign-On per un periodo massimo di 90 giorni, purché usino il dispositivo per accedere alle risorse di AD FS almeno una volta ogni 14 giorni. Dopo 15 giorni, agli utenti verranno richieste di nuovo le credenziali.
L'accesso Single Sign-On permanente è abilitato per impostazione predefinita. Se è disabilitato, non viene creato alcun cookie PSSO.|
Set-AdfsProperties –EnablePersistentSso <Boolean\>
La finestra di utilizzo del dispositivo (14 giorni per impostazione predefinita) è regolata dalla proprietà AD FS DeviceUsageWindowInDays.
Set-AdfsProperties -DeviceUsageWindowInDays
Il periodo massimo di Single Sign-On (90 giorni per impostazione predefinita) è regolato dalla proprietà AD FS PersistentSsoLifetimeMins.
Set-AdfsProperties -PersistentSsoLifetimeMins
Mantenere l'accesso ai dispositivi non autenticati
Per i dispositivi non registrati, il periodo di accesso Single Sign-On è determinato dalle impostazioni della funzionalità Mantieni l'accesso (KMSI). L'opzione KMSI è disabilitata per impostazione predefinita e può essere abilitata impostando la proprietà AD FS KmsiEnabled su True.
Set-AdfsProperties -EnableKmsi $true
Con KMSI disabilitato, il periodo predefinito per l'accesso Single Sign-On è di 8 ore. Il periodo di accesso Single Sign-On può essere configurato usando la proprietà SsoLifetime. La proprietà viene misurata in minuti, quindi il valore predefinito è 480.
Set-AdfsProperties –SsoLifetime <Int32\>
Con KMSI abilitato, il periodo predefinito per l'accesso Single Sign-On è di 24 ore. Il periodo di accesso Single Sign-On con KMSI abilitato può essere configurato usando la proprietà KmsiLifetimeMins. La proprietà viene misurata in minuti, quindi il valore predefinito è 1440.
Set-AdfsProperties –KmsiLifetimeMins <Int32\>
Comportamento di Multi-Factor Authentication (MFA)
AD FS offre periodi relativamente lunghi di Single Sign-On. È importante notare che AD FS richiederà più autenticazione (autenticazione a più fattori) quando un accesso precedente è basato su credenziali primarie (non MFA), ma l'accesso corrente richiede l'autenticazione a più fattori. Questo comportamento è indipendentemente dalla configurazione SSO. Quando AD FS riceve una richiesta di autenticazione, determina innanzitutto se è presente o meno un contesto SSO (ad esempio un cookie) e quindi se è necessaria l'autenticazione a più fattori. Ad esempio, l'autenticazione a più fattori è necessaria quando la richiesta di autenticazione proviene dall'esterno. In questo caso, AD FS valuta se il contesto SSO contiene o meno l'autenticazione a più fattori. In caso contrario, viene richiesta l'autenticazione a più fattori.
Revoca PSSO
Per proteggere la sicurezza, AD FS rifiuta qualsiasi cookie SSO persistente rilasciato in precedenza quando vengono soddisfatte le condizioni seguenti:
L'utente cambia la password
L'impostazione SSO persistente è disabilitata in AD FS
Il dispositivo è disabilitato dall'amministratore in caso di perdita o furto
AD FS riceve un cookie SSO permanente, che viene emesso per un utente registrato, ma l'utente o il dispositivo non è più registrato
AD FS riceve un cookie SSO permanente per un utente registrato, ma l'utente ha nuovamente eseguito la registrazione
AD FS riceve un cookie SSO persistente, che viene emesso in seguito a "Mantieni l'accesso, ma l'impostazione "Mantieni l'accesso" è disabilitata in AD FS
AD FS riceve un cookie SSO persistente, rilasciato per un utente registrato, ma il certificato del dispositivo è mancante o modificato durante l'autenticazione
L'amministratore di AD FS ha impostato un tempo di cutoff per l'accesso SSO permanente. Con un tempo di cutoff configurato, AD FS rifiuterà qualsiasi cookie SSO persistente emesso prima di questa volta
Il rifiuto di un cookie SSO persistente richiede all'utente di fornire le proprie credenziali per eseguire nuovamente l'autenticazione con AD FS.
Per impostare il tempo di cutoff, eseguire il cmdlet di PowerShell seguente:
Set-AdfsProperties -PersistentSsoCutoffTime <DateTime>
Abilitare PSSO per gli utenti di Office 365 per accedere a SharePoint Online
Dopo l'abilitazione e la configurazione di PSSO, AD FS crea un cookie permanente immediatamente dopo l'autenticazione utente. PSSO evita la necessità di ripetere l'autenticazione nelle sessioni successive, purché il cookie sia ancora valido.
Gli utenti possono anche evitare richieste di autenticazione aggiuntive per Office 365 e SharePoint Online. Configurare le due regole di attestazione seguenti in AD FS per attivare la persistenza in Microsoft Entra ID e SharePoint Online. Per consentire agli utenti di PSSO per Office 365 di accedere a SharePoint Online, installare questo hotfix. Fa parte dell'aggiornamento cumulativo di agosto 2014 per Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2.
Regola di trasformazione rilascio per passare l'attestazione InsideCorporateNetwork
@RuleTemplate = "PassThroughClaims"
@RuleName = "Pass through claim - InsideCorporateNetwork"
c:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"]
=> issue(claim = c);
A custom Issuance Transform rule to pass through the persistent SSO claim
@RuleName = "Pass Through Claim - Psso"
c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
=> issue(claim = c);
Per riepilogare:
Esperienza Single Sign-On | ADFS 2012 R2 Il dispositivo è registrato? |
ADFS 2016 Il dispositivo è registrato? |
---|---|---|
No no, ma KMSI sì | No no, ma KMSI sì | |
SSO=>impostare il token di aggiornamento=> | 8 ore n/a n/a | 8 ore n/a n/a |
PSSO=>set Refresh Token=> | n/a 24 ore 7 giorni | n/a 24 ore max 90 giorni con finestra di 14 giorni |
Durata dei token | 1 h 1 h 1 h | 1 h 1 h 1 h |
Dispositivo registrato? Si ottiene l'accesso PSSO/SSO persistente.
Dispositivo non registrato? Si ottiene l'accesso SSO.
Dispositivo non registrato ma KMSI? Si ottiene l'accesso PSSO/SSO persistente.
SE:
- [x] L'amministratore ha abilitato la funzionalità KMSI [E]
- [x] L'utente seleziona la casella di controllo KMSI nella pagina di accesso ai moduli
AD FS rilascia un nuovo token di aggiornamento solo se la validità del token di aggiornamento più recente è più lunga del token precedente. La durata massima di un token è di 84 giorni, ma AD FS mantiene il token valido in una finestra temporale scorrevole di 14 giorni. Se il token di aggiornamento è valido per 8 ore, ovvero l'ora SSO regolare, non viene rilasciato un nuovo token di aggiornamento.
Informazioni preliminari:
Gli utenti federati che non dispongono dell'attributo LastPasswordChangeTimestamp sincronizzati vengono rilasciati cookie di sessione e token di aggiornamento con un valore di validità massima di 12 ore.
I cookie di sessione e i token di aggiornamento con valore Max Age vengono emessi perché l'ID Microsoft Entra non è in grado di determinare quando revocare i token correlati a una credenziale precedente. Questo comportamento può essere causato da una password modificata, ad esempio. L'ID Microsoft Entra deve essere controllato più frequentemente per assicurarsi che l'utente e i token associati siano ancora validi.