Cos'è il Single Sign-On in Microsoft Entra ID?

Questo articolo fornisce informazioni sulle opzioni di Single Sign-On (SSO) disponibili. Descrive anche un'introduzione alla pianificazione di una distribuzione di Single Sign-On quando si usa Microsoft Entra ID. Single Sign-On è un metodo di autenticazione che consente agli utenti di accedere usando un set di credenziali per più sistemi software indipendenti. L'uso di SSO consente a un utente di non dover eseguire l'accesso a ogni applicazione usata. Con l'accesso Single Sign-On, gli utenti possono accedere a tutte le applicazioni necessarie senza dover eseguire l'autenticazione usando credenziali diverse. Per una breve introduzione, vedere Single Sign-On di Microsoft Entra.

Molte applicazioni esistono già in Microsoft Entra ID che è possibile usare con SSO. Sono disponibili diverse opzioni per l'accesso SSO in base alle esigenze dell'applicazione e alla modalità di implementazione. Pianificare la distribuzione dell'accesso SSO prima di creare applicazioni in Microsoft Entra ID. La gestione delle applicazioni può essere semplificata tramite il portale di App personali.

Opzioni di accesso Single Sign-On

La scelta di un metodo di accesso Single Sign-On dipende dal modo in cui l'applicazione è configurata per l'autenticazione. Le applicazioni cloud possono usare opzioni basate su federazione, ad esempio OpenID Connessione, OAuth e SAML. L'applicazione può anche usare l'accesso SSO basato su password, l'accesso SSO collegato o l'accesso SSO può essere disabilitato.

  • Federazione : quando si configura l'accesso Single Sign-On per lavorare tra più provider di identità, viene chiamata federazione. Un'implementazione SSO basata su protocolli di federazione migliora la sicurezza, l'affidabilità, le esperienze degli utenti finali e l'implementazione.

    Con l'accesso Single Sign-On federato, Microsoft Entra autentica l'utente all'applicazione usando il proprio account Microsoft Entra. Questo metodo è supportato per le applicazioni SAML 2.0, WS-Federation o OpenID Connessione. L'accesso Single Sign-On federato è la modalità più ricca di SSO. Usare l'accesso Single Sign-On federato con Microsoft Entra ID quando un'applicazione la supporta, anziché l'accesso SSO basato su password e Active Directory Federation Services (AD FS).

    Esistono alcuni scenari in cui l'opzione SSO non è presente per un'applicazione aziendale. Se l'applicazione è stata registrata usando Registrazioni app nel portale, la funzionalità Single Sign-On è configurata per l'uso di OpenID Connessione e OAuth per impostazione predefinita. In questo caso, l'opzione Single Sign-On non viene visualizzata nel riquadro di spostamento nelle applicazioni aziendali.

    L'accesso Single Sign-On non è disponibile quando un'applicazione è ospitata in un altro tenant. Single Sign-On non è disponibile anche se l'account non dispone delle autorizzazioni necessarie (Global Amministrazione istrator, Cloud Application Amministrazione istrator, Application Amministrazione istrator o proprietario dell'entità servizio). Le autorizzazioni possono anche causare uno scenario in cui è possibile aprire l'accesso Single Sign-On, ma potrebbe non essere in grado di salvare.

  • Password: le applicazioni locali possono usare un metodo basato su password per l'accesso SSO. Questa scelta funziona quando le applicazioni sono configurate per il proxy di applicazione.

    Con l'accesso SSO basato su password, gli utenti eseguono la procedura di accesso all'applicazione con nome utente e password solo al primo accesso. Agli accessi successivi, Microsoft Entra ID fornisce il nome utente e la password all'applicazione. L'accesso SSO basato su password consente l'archiviazione e la riproduzione delle password delle applicazioni protette usando un'estensione del Web browser o un'app per dispositivi mobili. Questa opzione usa il processo di accesso esistente fornito dall'applicazione, ma consente all'amministratore di gestire le password e non richiede all'utente di conoscerle. Per altre informazioni, vedere Aggiungere l'accesso Single Sign-On basato su password a un'applicazione.

  • Collegato: l'accesso collegato può offrire un'esperienza utente coerente durante la migrazione delle applicazioni in un periodo di tempo. Se si esegue la migrazione di applicazioni a Microsoft Entra ID, è possibile usare l'accesso Single Sign-On basato su collegato per pubblicare rapidamente i collegamenti a tutte le applicazioni di cui si intende eseguire la migrazione. Gli utenti possono trovare tutti i collegamenti nei portali di App personali o Microsoft 365.

    Dopo l'autenticazione di un utente con un'applicazione collegata, è necessario creare un account prima che l'utente venga fornito l'accesso Single Sign-On. Il provisioning di questo account può verificarsi automaticamente oppure può verificarsi manualmente da un amministratore. Non è possibile applicare criteri di accesso condizionale o autenticazione a più fattori a un'applicazione collegata perché un'applicazione collegata non fornisce funzionalità di Single Sign-On tramite Microsoft Entra ID. Quando si configura un'applicazione collegata, si aggiunge semplicemente un collegamento visualizzato per l'avvio dell'applicazione. Per altre informazioni, vedere Aggiungere l'accesso Single Sign-On collegato a un'applicazione.

  • Disabilitato: quando l'accesso Single Sign-On è disabilitato, non è disponibile per l'applicazione. Quando l'accesso Single Sign-On è disabilitato, gli utenti potrebbero doversi autenticare due volte. Prima di tutto, gli utenti eseguono l'autenticazione con Microsoft Entra ID e quindi accedono all'applicazione.

    Disabilitare l'accesso Single Sign-On quando:

    • Non si è pronti per integrare questa applicazione con l'accesso Single Sign-On di Microsoft Entra

    • Si stanno testando altri aspetti dell'applicazione

    • Un'applicazione locale non richiede che gli utenti eseguano l'autenticazione, ma si vuole che vengano autenticati. Con SSO disabilitato, l'utente deve eseguire l'autenticazione.

      Se l'applicazione è stata configurata per l'accesso SSO basato su SPl e si modifica la modalità SSO su disabilitata, non impedisce agli utenti di accedere all'applicazione all'esterno del portale MyApps. Per impedire agli utenti di accedere dall'esterno del portale App personali, è necessario disabilitare la possibilità per gli utenti di accedere.

Pianificare la distribuzione dell'accesso Single Sign-On

Le applicazioni Web sono ospitate da varie aziende e rese disponibili come servizio. Alcuni esempi comuni di applicazioni Web includono Microsoft 365, GitHub e Salesforce. Ci sono migliaia di altri. Persone accedere alle applicazioni Web usando un Web browser nel computer. Single Sign-On consente agli utenti di spostarsi tra le varie applicazioni Web senza dover accedere più volte. Per altre informazioni, vedere Pianificare una distribuzione dell'accesso Single Sign-On.

La modalità di implementazione dell'accesso SSO dipende dalla posizione in cui è ospitata l'applicazione. L'hosting è importante a causa del modo in cui il traffico di rete viene instradato per accedere all'applicazione. Gli utenti non devono usare Internet per accedere alle applicazioni locali (ospitate in una rete locale). Se l'applicazione è ospitata nel cloud, gli utenti devono usare Internet. Le applicazioni ospitate nel cloud sono dette anche applicazioni SaaS (Software as a Service).

Per le applicazioni cloud, vengono usati i protocolli di federazione. È anche possibile usare l'accesso Single Sign-On per le applicazioni locali. È possibile usare application proxy per configurare l'accesso per l'applicazione locale. Per altre informazioni, vedere Accesso remoto alle applicazioni locali tramite il proxy dell'applicazione Microsoft Entra.

App personali

Se si è un utente di un'applicazione, è probabile che non si abbia molta attenzione sui dettagli dell'accesso Single Sign-On. È sufficiente usare le applicazioni che ti rendono produttivi senza dover digitare così tanto la password. È possibile trovare e gestire le applicazioni nel portale di App personali. Per altre informazioni, vedere Accedere e avviare app dal portale App personali.

Passaggi successivi