Esporta (0) Stampa
Espandi tutto

Preparazione dell'accesso Single Sign-On

Pubblicato: giugno 2012

Aggiornamento: gennaio 2014

Si applica a: Azure, Office 365, Windows Intune

noteNota
In questo argomento vengono fornite informazioni relative ai servizi cloud, quali Windows Intune e Office 365, che sono basati su Microsoft Azure Active Directory per i servizi di identità e directory.

Per prepararsi all'accesso Single Sign-On, completare le seguenti operazioni:

Per implementare questa soluzione SSO, è necessario soddisfare i seguenti requisiti:

  • Distribuire ed eseguire Active Directory in Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 con un livello funzionale in modalità mista o nativa.

  • Se si pianifica di utilizzare ADFS come STS, è necessario eseguire una delle seguenti operazioni:

    • Scaricare, installare e distribuire ADFS 2.0 in un server Windows Server 2008 o Windows Server 2008 R2. Se inoltre gli utenti si connettono dall'esterno della rete aziendale, è necessario distribuire un proxy ADFS 2.0.

    • Installare il servizio ruolo ADFS in un server Windows Server 2012.

  • Se si prevede di utilizzare Shibboleth Identity Provider come STS, è necessario installarlo e prepararlo in modo che sia operativo.

    ImportantImportante
    Microsoft supporta l'accesso Single Sign-On come integrazione di un servizio cloud di Microsoft, ad esempio Windows Intune o Office 365, con Shibboleth Identity Provider già installato e operativo. Poiché Shibboleth Identity Provider è un prodotto di terze parti, Microsoft non fornisce alcun supporto per i problemi e le domande relativi a distribuzione, configurazione, risoluzione dei problemi, procedure consigliate, ecc. per questo provider. Per ulteriori informazioni su Shibboleth Identity Provider, vedere http://go.microsoft.com/fwlink/?LinkID=256497.

  • A seconda del tipo di STS configurato, utilizzare lo Modulo di Microsoft Azure Active Directory per Windows PowerShell per stabilire un trust federativo tra STS locale e Strumento di sincronizzazione.

  • Installare gli aggiornamenti necessari per le sottoscrizioni al servizio cloud di Microsoft per essere certi che gli utenti eseguano gli aggiornamenti più recenti di Windows 7, Windows Vista o Windows XP. Alcune funzionalità potrebbero non funzionare correttamente senza le versioni appropriate di sistemi operativi, browser e software. Per ulteriori informazioni, vedere Appendix A: Review software requirements.

Per il corretto funzionamento con Single Sign-On, è necessario che in Active Directory siano configurate determinate impostazioni. In particolare, è necessario che il nome dell'entità utente (UPN), noto anche come nome di accesso utente, sia configurato in modo specifico per ciascun utente.

noteNota
Per preparare l'ambiente Active Directory per l'accesso Single Sign-On, si consiglia di eseguire Microsoft Deployment Readiness Tool (Strumento Microsoft di preparazione alla distribuzione). Questo strumento analizza l'ambiente Active Directory e fornisce un report che include una valutazione della capacità di configurare l'accesso Single Sign-On. In caso di valutazione negativa, elenca le modifiche necessarie a preparare l'accesso Single Sign-On. Ad esempio, analizza la disponibilità di UPN degli utenti verificandone il formato.

In base al singolo dominio, potrebbe essere necessario effettuare le seguenti operazioni:

  • Impostare un UPN conosciuto dall'utente.

  • Verificare che il suffisso di dominio UPN appartenga al dominio che si è scelto di configurare per l'accesso Single Sign-On.

  • Registrare il dominio scelto per la federazione come dominio pubblico con un registrar o all'interno dei propri server DNS pubblici.

  • Per la creazione di UPN, seguire le istruzioni dell'argomento di Active DirectoryAggiungere suffissi di nome dell'entità utente. Tenere presente che gli UPN utilizzati per l'accesso Single Sign-On possono contenere solo lettere, numeri, punti, trattini e caratteri di sottolineatura.

  • Se il nome di dominio di Active Directory non è un dominio Internet pubblico (ad esempio termina con il suffisso ".local"), sarà necessario impostare un nome di dominio che possa essere registrato pubblicamente. È consigliabile utilizzare un nome familiare agli utenti, ad esempio il relativo dominio di posta elettronica.

  • Se la sincronizzazione di Active Directory è già stata impostata, l'UPN dell'utente potrebbe non corrispondere all'UPN locale dell'utente definito in Active Directory. Per risolvere questo problema, rinominare l'UPN utilizzando il cmdlet Set-MsolUserPrincipalName di Modulo di Microsoft Azure Active Directory per Windows PowerShell.

Vedere anche

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2014 Microsoft