• Come configurare il Single Sign-On (SSO) con Microsoft Azure Active Directory?

Come configurare il Single Sign-On (SSO) con Microsoft Azure Active Directory?

Blog

Microsoft SSO è un processo di autenticazione degli utenti che consente di utilizzare più applicazioni con un unico account.

di YunesTarada

Tempo di lettura: 5 min
Come configurare il Single Sign-On (SSO) con Microsoft Azure Active Directory?
Indice dei contenuti-

Microsoft SSO è un processo di autenticazione degli utenti che consente di risparmiare molto tempo e fatica, permettendo di utilizzare più applicazioni con un unico account. È possibile uscire da tutti gli account con un solo clic. 

Questo blog illustra come configurare SSO Azure AD. Leggete fino alla fine per non perdere nulla.

I punti chiave da prendere in considerazione

  1. Microsoft SSO consente agli utenti di gestire più applicazioni attraverso un unico account, semplificando il processo di login.
  2. Assicuratevi di soddisfare i prerequisiti, come ad esempio l'utilizzo di una versione di Azure AD Connect supportata e le corrette impostazioni del firewall.
  3. L'autenticazione moderna dovrebbe essere attivata per impostazione predefinita per i servizi Microsoft 365 per consentire un'esperienza utente senza interruzioni.
  4. Le fasi di configurazione per il single sign-on possono variare a seconda dell'applicazione, pertanto per la configurazione fare riferimento alle guide specifiche.
  5. Il test della configurazione SSO è essenziale per confermare che gli utenti possano accedere con successo utilizzando le credenziali di Azure AD.

Prerequisiti

Prima di iniziare il processo di configurazione SSO Microsoft è necessario accertarsi di quanto segue:

  • Configurazione del server Azure AD Connect

Come utente di Autenticazione passante, non è necessario alcun controllo dei prerequisiti. Tuttavia, se si utilizza la sincronizzazione dell'hash della password come metodo di accesso, assicurarsi che:

  • Si sta utilizzando la versione 1.1.644.0 o successiva di Azure AD Connect.
  • Se il firewall o il proxy lo consentono, inserire le connessioni nell'elenco dei permessi per gli URL *.msappproxy.net sulla porta 443. Nel caso in cui sia necessario un URL specifico invece di un carattere jolly per la configurazione del proxy, è necessario reimpostare tenantid.registration.msappproxy.net, dove tenant ID è il GUID del tenant in cui si sta configurando la funzione. Tuttavia, se questo non è possibile, è necessario consentire l'accesso agli intervalli IP del centro dati Azure. Questi vengono aggiornati una volta alla settimana. È necessario garantire questo prerequisito solo se si è abilitata la funzione; gli utenti effettivi non sono obbligati a farlo per gli accessi.

  • Utilizzare una topologia Azure AD Connect supportata

Assicurarsi di utilizzare una delle topologie supportate da Azure AD Connect:

  • Foresta di Active Directory on-premises
  • Active Directory on-premise con importazione filtrata
  • Server di sincronizzazione Azure AD Connect
  • Server di sincronizzazione Azure AD Connect in "modalità staging".
  • GALSync con Forefront Identity Manager (FIM) 2010 o Microsoft Identity Manager (MIM) 2016
  • Server di sincronizzazione Azure AD Connect, dettagliato
  • Azure AD
  • Scenario non supportato

  • Impostare le credenziali dell'amministratore di dominio

Assicurare le seguenti credenziali di amministratore di dominio per ogni foresta di Active Directory che:

  • La sincronizzazione con Azure AD avviene tramite SSO Azure AD Connect.
  • Contiene gli utenti che si desidera abilitare per l'SSO continuo.

  • Attivare l'autenticazione moderna

Per i servizi Microsoft 365, lo stato predefinito dell'autenticazione moderna è:

  • Attivata per impostazione predefinita per Exchange Online. Per disattivarla o attivarla, vedere Attivazione o disattivazione dell'autenticazione moderna in Exchange Online.
  • Attivato per SharePoint Online per impostazione predefinita.
  • Attiva Skype for Business Online per impostazione predefinita. Vedere Abilita Skype for Business Online per l'autenticazione moderna per disattivarla o attivarla.

  • Utilizzate le ultime versioni dei client Microsoft 365

Impostate l'aggiornamento automatico per ottenere un'esperienza di single sign-on senza problemi con i client Microsoft 365.

Semplificate il Single Sign-On con PowerDMARC!

Prova di 15 giorniPrenota una demo

Come attivare il Single Sign-On o SSO?

Ecco cosa fare per abilitare Microsoft SSO.

  1. Visitate l'Azure Active Directory Admin Center e accedete con uno dei ruoli elencati nei prerequisiti.
  2. Scegliete Applicazione aziendale > Tutte le applicazioni. Verrà visualizzato un elenco di applicazioni nel tenant Azure AD. Selezionate quella che volete utilizzare.
  3. Andate alla sezione Gestione > Single sign-on. 
  4. Aprire il pannello SSO per la modifica.
  5. Selezionare SAML per aprire la pagina di configurazione SSO. Una volta terminata la configurazione, è possibile accedere all'applicazione utilizzando un nome utente e una password del tenant Azure AD. 
  6. I passaggi della configurazione di Microsoft SSO variano da applicazione ad applicazione. È possibile utilizzare la guida alla configurazione per configurare le applicazioni aziendali nella galleria.
  7. Nella sezione Impostazione di Azure AD SAML Toolkit 1, registrare i valori delle proprietà URL di accesso, Identificatore Azure AD e URL di disconnessione da utilizzare in seguito.

Come configurare il Single Sign-On nel tenant?

Per iniziare a configurare l'SSO con Azure AD, è necessario effettuare l'accesso e aggiungere i valori dell'URL di risposta, quindi scaricare un certificato. Ecco i passi successivi:

  1. Accedere al portale Azure e scegliere Modifica nella sezione Configurazione SAML di base nella sezione Imposta single sign-on nel pannello
  2. Per il URL di risposta (Assertion Consumer Service URL)inserire .
  3. Per l'URL di accesso, inserire https://samltoolkit.azurewebsites.net/.
  4. Selezionare Salva.
  5. Nella sezione Certificati SAML selezionare Scarica il certificato (grezzo) per scaricare il certificato di firma SAML e salvarlo per un uso futuro.

Come configurare il Single Sign-On nell'applicazione?

È necessario registrare il proprio account utente nell'applicazione e aggiungere i valori di configurazione SAML precedentemente registrati.

Ecco come registrare l'account utente.

  1. In una nuova finestra del browser, accedere all'URL di accesso dell'applicazione.
  2. Scegliere Registrazione nell'angolo superiore destro della pagina.
  3. Aggiungere l'indirizzo e-mail dell'utente che accede all'applicazione. L'utente deve essere già assegnato all'applicazione.
  4. Immettere la password per la conferma.
  5. Cliccare su Registro.

Come configurare le impostazioni SAML?

A tal fine, è necessario utilizzare i valori registrati in precedenza per l'URL di accesso avviato da SP e l'URL di Assertion Consumer Service (ACS).

Per aggiornare i valori SSO, procedere come segue.

  1. Accedere al portale Azure e selezionare Modifica nella sezione Configurazione SAML di base nel riquadro Imposta single sign-on.
  2. Per il URL di risposta (Assertion Consumer Service URL)inserire l'URL Assertion Consumer Service (ACS) URL registrato in precedenza.
  3. Per URL di accessoinserire l'URL URL di accesso avviato da SP registrato in precedenza.
  4. Cliccare su Salva.

Prova di Single Sign-On

Una volta terminata la configurazione di Microsoft SSO, testatela seguendo questi passaggi.

  1. Nella sezione Test single sign-on con Azure AD SAML Toolkit 1 selezionare Prova nella sezione Configurazione del single sign-on con SAML nel riquadro.
  2. Accedere all'applicazione utilizzando le credenziali Azure AD dell'account utente assegnato.
  1. Che cos'è DMARC SSO?
  2. Guida all'uso delle funzioni SAML / SSO
  3. Guida DMARC per Office 365

Ultimi messaggi di Yunes Tarada (vedi tutti)
Quali sono i parametri da associare al DMARC?Quali parametri devono essere associati al DMARC 1Comprendere le analisi DMARC per migliorare la sicurezza delle e-mail 1Comprendere le analisi DMARC per migliorare la sicurezza delle e-mail