Verificare e gestire l'accesso Single Sign-On con ADFS

Aggiornamento: 25 giugno 2015

Si applica a: Azure, Office 365, Power BI, Windows Intune

Come amministratore, prima di verificare e gestire l'accesso Single Sign-On (chiamato anche federazione delle identità), esaminare le informazioni ed eseguire i passaggi descritti nell'elenco di controllo: Usare AD FS per implementare e gestire l'accesso Single Sign-On.

Dopo aver impostato Single Sign-On, è necessario verificarne il corretto funzionamento. Per ottimizzarlo, è inoltre possibile eseguire occasionalmente diverse attività di gestione.

Per saperne di più

• Verifica della corretta impostazione dell'accesso Single Sign-On

• Gestire l'accesso Single Sign-On

Verifica della corretta impostazione dell'accesso Single Sign-On

Per verificare che l'accesso Single Sign-On sia stato configurato correttamente, è possibile eseguire la procedura seguente per verificare che sia possibile accedere al servizio cloud con le credenziali aziendali, Testare l'accesso Single Sign-On per scenari di utilizzo diversi e Usare Microsoft Remote Connectivity Analyzer.

Per verificare se la configurazione di Single Sign-On ha avuto esito positivo, completare i seguenti passaggi.

1. In un computer aggiunto al dominio accedere al servizio cloud Microsoft specificando lo stesso nome di accesso usato per le credenziali aziendali.

2. Fare clic all'interno della casella della password. Se l'accesso Single Sign-On è configurato, la casella password verrà ombreggiata e verrà visualizzato il messaggio seguente: "È ora necessario accedere all'azienda<>".

3. Fare clic sul collegamento Accedi all'azienda<>.

   Se è possibile eseguire l'accesso, la configurazione di Single Sign-On è corretta.

Verifica di Single Sign-On per diversi scenari di utilizzo

Dopo aver verificato che l'accesso Single Sign-On è stato completato, testare gli scenari di accesso seguenti per assicurarsi che l'accesso Single Sign-On e la distribuzione di AD FS 2.0 siano configurati correttamente. Chiedere a un gruppo di utenti di testare l'accesso ai servizi cloud dai browser e alle applicazioni client avanzate, ad esempio Microsoft Office 2010, negli ambienti seguenti:

• Da un computer appartenente a un dominio

• Da un computer non appartenente a un dominio all'interno della rete aziendale

• Da un computer di roaming appartenente a un dominio all'esterno della rete aziendale

• Dai diversi sistemi operativi in uso nella società

• Dal computer di casa

• Da un chiosco Internet (testare l'accesso al servizio cloud solo tramite un browser)

• Da uno smart phone (ad esempio, uno smart phone che usa Microsoft Exchange ActiveSync)

Utilizzo dell'analizzatore connettività remota di Microsoft

Per verificare la connettività di Single Sign-On, è possibile utilizzare l'analizzatore connettività remota di Microsoft. Fare clic sulla scheda Office 365, su Microsoft Single Sign-On, quindi su Avanti. Eseguire le operazioni indicate per effettuare la verifica. L'analizzatore convalida la possibilità di accedere al servizio cloud con le credenziali aziendali. Convalida anche una configurazione di base di AD FS 2.0.

Per saperne di più

Pianificare l'attività per aggiornare Azure AD quando viene apportata una modifica al certificato di firma del token non più la raccomandazione

Se si usa AD FS 2.0 o versione successiva, Office 365 e Azure AD aggiornerà automaticamente il certificato prima della scadenza.  Non è necessario eseguire passaggi manuali o eseguire uno script come attività pianificata.  Per il funzionamento, entrambe le impostazioni di configurazione predefinite di AD FS seguenti devono essere effettive:

1. La proprietà AD FS AutoCertificateRollover deve essere impostata su True, che indica che AD FS genererà automaticamente nuovi certificati di firma del token e decrittografia del token prima della scadenza dei vecchi. Se il valore è False, si usano impostazioni di certificato personalizzate.  Vai qui per indicazioni complete.

2. I metadati della federazione devono essere disponibili per Internet pubblico.

Gestire l'accesso Single Sign-On

È possibile eseguire altre attività occasionali o facoltative per garantire il corretto funzionamento dell'accesso Single Sign-On.

Contenuto della sezione

• Aggiunta di URL a siti attendibili di Internet Explorer

• Definizione delle restrizioni di accesso al servizio cloud per gli utenti

• Visualizzare le impostazioni correnti

• Aggiornamento delle proprietà di attendibilità

• Ripristinare un server ADFS

• Personalizzare il tipo di autenticazione locale

Aggiunta di URL a siti attendibili di Internet Explorer

Dopo l'aggiunta o la conversione di domini durante la configurazione di Single Sign-On, potrebbe essere necessario aggiungere il nome di dominio completo del server ADFS all'elenco Siti attendibili di Internet Explorer. Questo eviterà che agli utenti venga richiesta la password per il server ADFS. Tale modifica deve essere apportata nel client. È possibile eseguirla anche per gli utenti specificando un'impostazione dei Criteri di gruppo che aggiungerà automaticamente l'URL all'elenco Siti attendibili per i computer appartenenti a un dominio. Per ulteriori informazioni, vedere Internet Explorer Policy Settings (Impostazione di criteri di Internet Explorer).

Definizione delle restrizioni di accesso al servizio cloud per gli utenti

ADFS offre agli amministratori l'opzione per definire regole personalizzate che consentiranno o negheranno l'accesso agli utenti. Per l'accesso Single Sign-On, le regole personalizzate devono essere applicate al trust di relying party associato al servizio cloud. Questo trust è stato creato quando sono stati eseguiti i cmdlet in Windows PowerShell per configurare l'accesso Single Sign-On.

Per ulteriori informazioni su come definire le restrizioni per l'accesso degli utenti ai servizi, vedere Create a Rule to Permit or Deny Users Based on an Incoming Claim (Creare una regola per consentire o impedire l'accesso degli utenti in base a un'attestazione in arrivo). Per altre informazioni sull'esecuzione di cmdlet per configurare l'accesso Single Sign-On, vedere Installare Windows PowerShell per l'accesso Single Sign-On con AD FS.

Visualizzare le impostazioni correnti

Se in qualsiasi momento si vuole visualizzare il server AD FS corrente e le impostazioni del servizio cloud, è possibile aprire il modulo Microsoft Azure Active Directory per Windows PowerShell ed eseguire , quindi eseguire Connect-MSOLServiceGet-MSOLFederationProperty –DomainName <domain>. In questo modo è possibile verificare che le impostazioni nel server AD FS siano coerenti con quelle nel servizio cloud. Se le impostazioni non corrispondono, è possibile eseguire Update-MsolFederatedDomain –DomainName <domain>. Per ulteriori informazioni, vedere la sezione successiva, “Aggiornamento delle proprietà di attendibilità”.

Per saperne di più

Aggiornamento delle proprietà di attendibilità

È necessario aggiornare le proprietà di attendibilità dell'accesso Single Sign-On nel servizio cloud quando:

• L'URL cambia: Se si apportano modifiche all'URL per il server AD FS, è necessario aggiornare le proprietà di attendibilità.

• Il certificato di firma del token primario è stato modificato: La modifica del certificato di firma del token primario attiva l'ID evento 334 o l'ID evento 335 in Visualizzatore eventi per il server AD FS. Si consiglia di controllare Visualizzatore eventi regolarmente, con cadenza almeno settimanale.

  Per visualizzare gli eventi del server ADFS, effettuare le seguenti operazioni.

  1. Fare clic sul pulsante Start e quindi scegliere Pannello di controllo. Nella visualizzazione Categoria fare clic su Sistema e sicurezza, Strumenti di amministrazione, quindi Visualizzatore eventi.

  2. Per visualizzare gli eventi di ADFS, nel riquadro sinistro del Visualizzatore eventi fare clic su Registri applicazioni e servizi, quindi su ADFS 2.0 e infine su Amministratore.

• Il certificato di firma del token scade ogni anno: Il certificato di firma del token è fondamentale per la stabilità del servizio federativo. Nel caso in cui venga modificata, Azure AD deve ricevere una notifica su questa modifica. altrimenti le richieste ai servizi cloud non verranno eseguite.

Per aggiornare manualmente le proprietà di attendibilità, effettuare le seguenti operazioni.

1. Aprire il modulo di Microsoft Azure Active Directory per Windows PowerShell.

2. Eseguire $cred=Get-Credential. Quando questo cmdlet richiede le credenziali, digitare le credenziali dell'account amministratore servizio cloud.

3. Eseguire Connect-MsolService –Credential $cred. Questo cmdlet consente di connettersi al servizio cloud. La creazione di un contesto che consente di connettersi al servizio cloud è necessaria prima di eseguire i cmdlet aggiuntivi installati dallo strumento.

4. Eseguire Set-MSOLAdfscontext -Computer <AD FS primary server>, dove <il server> primario AD FS è il nome FQDN interno del server AD FS primario. Questo cmdlet crea un contesto che consente la connessione ad AD FS.

   Nota

   Se è stato installato il modulo Microsoft Azure Active Directory nel server primario, non è necessario eseguire questo cmdlet.

5. Eseguire Update-MSOLFederatedDomain –DomainName <domain>. Questo cmdlet aggiorna le impostazioni di AD FS nel servizio cloud e configura la relazione di trust tra i due.

Per saperne di più

Ripristinare un server ADFS

Nel caso in cui si verifichi la perdita del server primario e non sia possibile ripristinarlo, sarà necessario alzare di livello un altro server affinché diventi il server primario. Per ulteriori informazioni, vedere AD FS 2.0 - How to Set the Primary Federation Server in a WID Farm (Come impostare il server federativo primario in una farm WID).

In caso di perdita di tutti i server della farm, è necessario ricreare il trust tramite la seguente procedura.

1. Aprire il modulo Microsoft Azure Active Directory.

2. Eseguire $cred=Get-Credential. Alla richiesta delle credenziali, digitare quelle dell'account amministratore di servizi cloud.

3. Eseguire Connect-MsolService –Credential $cred. Questo cmdlet consente di connettersi al servizio cloud. La creazione di un contesto che consente di connettersi al servizio cloud è necessaria prima di eseguire i cmdlet aggiuntivi installati dallo strumento.

4. Eseguire Set-MSOLAdfscontext -Computer <AD FS primary server>, dove <il server> primario AD FS è il nome FQDN interno del server AD FS primario. Questo cmdlet crea un contesto che consente la connessione ad AD FS.

   Nota

   Se è stato installato il modulo Microsoft Azure Active Directory nel server AD FS primario, non è necessario eseguire questo cmdlet.

5. Eseguire Update-MsolFederatedDomain –DomainName <domain>, dove <dominio è il dominio> per cui si desidera aggiornare le proprietà. Questo cmdlet aggiorna le proprietà e stabilisce la relazione di trust.

6. Eseguire Get-MsolFederationProperty –DomainName <domain>, dove <dominio è il dominio> per cui si desidera visualizzare le proprietà. È quindi possibile confrontare le proprietà dal server AD FS primario e le proprietà nel servizio cloud per assicurarsi che corrispondano. In caso negativo, eseguire di nuovo Update-MsolFederatedDomain –DomainName <domain> per sincronizzare le proprietà.

Vedere anche

Concetti

Elenco di controllo: Uso di ADFS per implementare e gestire Single Sign-On
Single Sign-On: roadmap