Come configurare il Single Sign-On (SSO) con Microsoft Azure Active Directory?
Microsoft SSO è un processo di autenticazione degli utenti che consente di risparmiare molto tempo e fatica, permettendo di utilizzare più applicazioni con un unico account. È possibile uscire da tutti gli account con un solo clic.
Questo blog illustra come configurare SSO Azure AD. Leggete fino alla fine per non perdere nulla.
Prerequisiti
Prima di iniziare il processo di configurazione SSO Microsoft è necessario accertarsi di quanto segue:
-
Configurazione del server Azure AD Connect
Come utente di Autenticazione passante, non è necessario alcun controllo dei prerequisiti. Tuttavia, se si utilizza la sincronizzazione dell'hash della password come metodo di accesso, assicurarsi che:
- Si sta utilizzando la versione 1.1.644.0 o successiva di Azure AD Connect.
- Se il firewall o il proxy lo consentono, inserire le connessioni nell'elenco dei permessi per gli URL *.msappproxy.net sulla porta 443. Nel caso in cui sia necessario un URL specifico invece di un carattere jolly per la configurazione del proxy, è necessario reimpostare tenantid.registration.msappproxy.net, dove tenant ID è il GUID del tenant in cui si sta configurando la funzione. Tuttavia, se questo non è possibile, è necessario consentire l'accesso agli intervalli IP del centro dati Azure. Questi vengono aggiornati una volta alla settimana. È necessario garantire questo prerequisito solo se si è abilitata la funzione; gli utenti effettivi non sono obbligati a farlo per gli accessi.
-
Utilizzare una topologia Azure AD Connect supportata
Assicurarsi di utilizzare una delle topologie supportate da Azure AD Connect:
- Foresta di Active Directory on-premises
- Active Directory on-premise con importazione filtrata
- Server di sincronizzazione Azure AD Connect
- Server di sincronizzazione Azure AD Connect in "modalità staging".
- GALSync con Forefront Identity Manager (FIM) 2010 o Microsoft Identity Manager (MIM) 2016
- Server di sincronizzazione Azure AD Connect, dettagliato
- Azure AD
- Scenario non supportato
-
Impostare le credenziali dell'amministratore di dominio
Assicurare le seguenti credenziali di amministratore di dominio per ogni foresta di Active Directory che:
- La sincronizzazione con Azure AD avviene tramite SSO Azure AD Connect.
- Contiene gli utenti che si desidera abilitare per l'SSO continuo.
-
Attivare l'autenticazione moderna
Per i servizi Microsoft 365, lo stato predefinito dell'autenticazione moderna è:
- Attivata per impostazione predefinita per Exchange Online. Per disattivarla o attivarla, vedere Attivazione o disattivazione dell'autenticazione moderna in Exchange Online.
- Attivato per SharePoint Online per impostazione predefinita.
- Attiva Skype for Business Online per impostazione predefinita. Vedere Abilita Skype for Business Online per l'autenticazione moderna per disattivarla o attivarla.
-
Utilizzate le ultime versioni dei client Microsoft 365
Impostate l'aggiornamento automatico per ottenere un'esperienza di single sign-on senza problemi con i client Microsoft 365.
Come attivare il Single Sign-On o SSO?
Ecco cosa fare per abilitare Microsoft SSO.
- Visitate l'Azure Active Directory Admin Center e accedete con uno dei ruoli elencati nei prerequisiti.
- Scegliete Applicazione aziendale > Tutte le applicazioni. Verrà visualizzato un elenco di applicazioni nel tenant Azure AD. Selezionate quella che volete utilizzare.
- Andate alla sezione Gestione > Single sign-on.
- Aprire il pannello SSO per la modifica.
- Selezionare SAML per aprire la pagina di configurazione SSO. Una volta terminata la configurazione, è possibile accedere all'applicazione utilizzando un nome utente e una password del tenant Azure AD.
- I passaggi della configurazione di Microsoft SSO variano da applicazione ad applicazione. È possibile utilizzare la guida alla configurazione per configurare le applicazioni aziendali nella galleria.
- Nella sezione Impostazione di Azure AD SAML Toolkit 1, registrare i valori delle proprietà URL di accesso, Identificatore Azure AD e URL di disconnessione da utilizzare in seguito.
Come configurare il Single Sign-On nel tenant?
Per iniziare a configurare l'SSO con Azure AD, è necessario effettuare l'accesso e aggiungere i valori dell'URL di risposta, quindi scaricare un certificato. Ecco i passi successivi:
- Accedere al portale Azure e scegliere Modifica nella sezione Configurazione SAML di base nella sezione Imposta single sign-on nel pannello
- Per il URL di risposta (Assertion Consumer Service URL)inserire .
- Per l'URL di accesso, inserire https://samltoolkit.azurewebsites.net/.
- Selezionare Salva.
- Nella sezione Certificati SAML selezionare Scarica il certificato (grezzo) per scaricare il certificato di firma SAML e salvarlo per un uso futuro.
Come configurare il Single Sign-On nell'applicazione?
È necessario registrare il proprio account utente nell'applicazione e aggiungere i valori di configurazione SAML precedentemente registrati.
Ecco come registrare l'account utente.
- In una nuova finestra del browser, accedere all'URL di accesso dell'applicazione.
- Scegliere Registrazione nell'angolo superiore destro della pagina.
- Aggiungere l'indirizzo e-mail dell'utente che accede all'applicazione. L'utente deve essere già assegnato all'applicazione.
- Immettere la password per la conferma.
- Cliccare su Registro.
Come configurare le impostazioni SAML?
A tal fine, è necessario utilizzare i valori registrati in precedenza per l'URL di accesso avviato da SP e l'URL di Assertion Consumer Service (ACS).
Per aggiornare i valori SSO, procedere come segue.
- Accedere al portale Azure e selezionare Modifica nella sezione Configurazione SAML di base nel riquadro Imposta single sign-on.
- Per il URL di risposta (Assertion Consumer Service URL)inserire l'URL Assertion Consumer Service (ACS) URL registrato in precedenza.
- Per URL di accessoinserire l'URL URL di accesso avviato da SP registrato in precedenza.
- Cliccare su Salva.
Prova di Single Sign-On
Una volta terminata la configurazione di Microsoft SSO, testatela seguendo questi passaggi.
- Nella sezione Test single sign-on con Azure AD SAML Toolkit 1 selezionare Prova nella sezione Configurazione del single sign-on con SAML nel riquadro.
- Accedere all'applicazione utilizzando le credenziali Azure AD dell'account utente assegnato.
Articoli correlati
- Che cos'è DMARC SSO?
- Guida all'uso delle funzioni SAML / SSO
- Guida DMARC per Office 365
- L'FTC segnala che l'e-mail è un mezzo popolare per le truffe di impersonificazione - 16 aprile 2024
- SubdoMailing e l'ascesa del subdomain phishing - 18 marzo 2024
- Guida all'impostazione di Mailchimp DMARC, SPF e DKIM - 26 febbraio 2024