Esporta (0) Stampa
Espandi tutto

Verifica e gestione dell'accesso Single Sign-On con ADFS

Pubblicato: giugno 2012

Aggiornamento: giugno 2014

Si applica a: Azure, Office 365, Windows Intune

noteNota
In questo argomento vengono fornite informazioni relative ai servizi cloud, quali Windows Intune e Office 365, che sono basati su Microsoft Azure Active Directory per i servizi di identità e directory.

Come amministratore, prima di verificare e gestire l'accesso Single Sign-On (chiamato anche federazione delle identità), rivedere le informazioni ed eseguire la procedura in Elenco di controllo: Utilizzo di ADFS per implementare e gestire l'accesso Single Sign-On.

Dopo aver impostato Single Sign-On, è necessario verificarne il corretto funzionamento. Per ottimizzarlo, è inoltre possibile eseguire occasionalmente diverse attività di gestione.

Per verificare che Single Sign-On sia stato impostato correttamente e per essere certi di poter accedere a servizio cloud con le proprie credenziali, è possibile eseguire la seguente operazione: Verifica di Single Sign-On per diversi scenari di utilizzo e Utilizzo dell'analizzatore connettività remota di Microsoft.

noteNota
  • Se è stata eseguita la conversione di un dominio anziché l'aggiunta di un altro dominio, l'impostazione di Single Sign-On potrebbe richiedere fino a 24 ore.

  • Per poter verificare Single Sign-On, è necessario terminare la configurazione della sincronizzazione di Active Directory, sincronizzare le directory e attivare gli utenti sincronizzati. Per ulteriori informazioni, vedere Roadmap sulla sincronizzazione della directory.

Per verificare se la configurazione di Single Sign-On ha avuto esito positivo, completare i seguenti passaggi.

  1. In un computer appartenente a un dominio, accedere al servizio cloud di Microsoft utilizzando lo stesso nome di accesso utilizzato nelle credenziali aziendali.

  2. Fare clic all'interno della casella relativa alla password. Se è stato impostato l'accesso Single Sign-On, tale casella sarà ombreggiata e verrà visualizzato il seguente messaggio: “È necessario effettuare l'accesso a <nome società>.”

  3. Fare clic sul collegamento Accedi a <nome società>.

    Se si riesce a effettuare l'accesso, è stato impostato l'accesso Single Sign-On.

Dopo aver verificato che Single Sign-On sia stato impostato, verificare i seguenti scenari per accertarsi che Single Sign-On e la distribuzione di ADFS 2.0 siano configurati correttamente. Chiedere a un gruppo di utenti di verificare il relativo accesso ai servizi di servizio cloud sia dai browser che da applicazioni con funzionalità rich client, ad esempio Microsoft Office 2010, nei seguenti ambienti:

  • Da un computer appartenente a un dominio

  • Da un computer non appartenente a un dominio all'interno della rete aziendale

  • Da un computer di roaming appartenente a un dominio all'esterno della rete aziendale

  • Dai diversi sistemi operativi in uso nella società

  • Dal computer di casa

  • Da un chiosco multimediale (verificare l'accesso a servizio cloud tramite un solo browser)

  • Da uno smartphone (ad esempio, uno smartphone che utilizza Microsoft Exchange ActiveSync)

Per verificare la connettività di Single Sign-On, è possibile utilizzare l'analizzatore connettività remota di Microsoft. Fare clic sulla scheda Office 365, quindi su Microsoft Single Sign-On e infine su Avanti. Eseguire le operazioni indicate per effettuare la verifica. L'analizzatore verifica la possibilità dell'utente di effettuare l'accesso a servizio cloud con le credenziali aziendali e inoltre esegue una convalida della configurazione di base di ADFS 2.0.

Operazioni correlate

Per impostazione predefinita, ADFS genera ogni anno un nuovo certificato autofirmato 20 giorni prima della scadenza del certificato. Il rollover del certificato o la generazione di un nuovo certificato all'avvicinarsi della scadenza di quello esistente e la successiva promozione a certificato primario vale esclusivamente per i certificati autofirmati generati da ADFS.

Il certificato per la firma di token è essenziale per la stabilità del servizio federativo. Qualora venga modificato, sarà necessario notificare Azure AD di tale cambiamento. Altrimenti, le richieste ai servizi cloud non verranno eseguite. È necessario scaricare e configurare lo strumento Microsoft Federation Metadata Update Automation Installation Tool nel server federativo primario o qualsiasi server federativo scrivibile, che effettuerà automaticamente il monitoraggio e l'aggiornamento dei metadati di federazione di Azure AD a intervalli regolari, in modo che le modifiche apportate al certificato di firma dei token nel servizio federativo di ADFS vengano replicate automaticamente in Azure AD.

Per eseguire questo strumento correttamente:

  • È necessario aver distribuito almeno un servizio federativo di ADFS.

  • È necessario aver completato i passaggi in Configurazione di un trust tra ADFS e Windows Azure AD.

  • È necessario eseguire questo strumento nel server federativo primario o in un server federativo scrivibile.

  • È necessario disporre dell'accesso alle credenziali di Amministratore globale per il tenant di Azure AD.

    noteNota
    Se le credenziali di Amministratore globale non sono state impostate con "Nessuna scadenza password", assicurarsi di eseguire nuovamente lo strumento con la nuova password una volta scaduta la password per l'Amministratore globale. Altrimenti, l'attività pianificata non verrà eseguita.

Di seguito sono descritti i passaggi per eseguire questo strumento:

  1. Scaricare e salvare lo strumento Microsoft Federation Metadata Update Automation Installation Tool sul computer.

  2. Avviare il modulo Administrator Windows PowerShell, quindi modificare la directory dove è stato copiato lo strumento.

  3. Quando richiesto, digitare .\O365-Fed-MetaData-Update-Task-Installation.ps1, quindi premere INVIO.

  4. Quando richiesto, digitare il nome di dominio federato, quindi premere INVIO.

  5. Quando richiesto, digitare le credenziali ID utente, quindi premere INVIO.

  6. Quando richiesto, digitare le credenziali di amministratore locale, quindi premere INVIO.

Al termine dei seguenti passaggi, lo script consentirà di creare un'attività pianificata da eseguire con le credenziali di amministratore locale fornite nel passaggio 6. L'attività pianificata verrà eseguita una volta al giorno.

noteNota
Sarà necessario eseguire lo strumento per ciascun dominio federato dell'account. Inoltre, questo strumento non fornisce al momento supporto per domini di primo livello. Per ulteriori informazioni, vedere Support for Multiple Top Level Domains (Supporto per domini di primo livello). Si consiglia di verificare periodicamente la corretta esecuzione dell'attività pianificata, assicurandosi che il file di registro sia stato generato correttamente.

noteNota
Quando ADFS genera il nuovo certificato per la firma di token, è possibile eseguire la configurazione. Al momento del rollover del certificato, ADFS ne genera uno nuovo con lo stesso nome di quello che sta per scadere ma con chiave privata e identificazione personale diversi. Dopo la generazione del nuovo certificato, questo continuerà a essere il certificato secondario per cinque giorni, poi passerà a certificato primario. Cinque giorni costituiscono il periodo predefinito, tuttavia è possibile stabilire un periodo di tempo diverso.

È possibile eseguire altre attività occasionali o facoltative per garantire il corretto funzionamento dell'accesso Single Sign-On.

Dopo l'aggiunta o la conversione di domini durante l'impostazione di Single Sign-On, potrebbe essere necessario aggiungere il nome di dominio completo del server ADFS all'elenco Siti attendibili di Internet Explorer. Questo eviterà che agli utenti venga richiesta la password per il server ADFS. Tale modifica deve essere apportata nel client. È possibile eseguirla anche per gli utenti specificando un'impostazione dei Criteri di gruppo che aggiungerà automaticamente l'URL all'elenco Siti attendibili per i computer appartenenti a un dominio. Per ulteriori informazioni, vedere Internet Explorer Policy Settings (Impostazione di criteri di Internet Explorer).

ADFS offre agli amministratori l'opzione per definire regole personalizzate che consentiranno o negheranno l'accesso agli utenti. Per Single Sign-On è necessario applicare le regole personalizzate alla relazione di trust del relying party associata a servizio cloud. Tale relazione di trust è stata creata durante l'esecuzione dei cmdlet in Windows PowerShell per impostare il servizio Single Sign-On.

Per ulteriori informazioni su come definire le restrizioni per l'accesso degli utenti ai servizi, vedere Create a Rule to Permit or Deny Users Based on an Incoming Claim (Creare una regola per consentire o impedire l'accesso degli utenti in base a un'attestazione in arrivo). Per ulteriori informazioni sull'esecuzione del cmdlet per impostare il servizio Single Sign-On, vedere Installazione di Windows PowerShell per l'acceso Single Sign-On con ADFS.

Se in qualsiasi momento si desidera visualizzare il server ADFS corrente e le impostazioni di servizio cloud, è possibile aprire lo Modulo di Microsoft Azure Active Directory per Windows PowerShell ed eseguire prima Connect-MSOLService e quindi Get-MSOLFederationProperty –DomainName <domain>. Ciò consente di controllare che le impostazioni del server ADFS siano coerenti con quelle di servizio cloud. Se le impostazioni non corrispondono, è possibile eseguire Update-MsolFederatedDomain –DomainName <domain>. Per ulteriori informazioni, vedere la sezione successiva, “Aggiornamento delle proprietà di attendibilità”.

noteNota
Per supportare diversi domini di primo livello, ad esempio contoso.com e fabrikam.com, è necessario utilizzare l'opzione SupportMultipleDomain con qualsiasi cmdlet. Per ulteriori informazioni, vedere Support for Multiple Top Level Domains (Supporto per domini di primo livello).

Operazioni correlate

L'aggiornamento delle proprietà del trust di Single Sign-On in servizio cloud deve essere effettuato quando:

  • L'URL cambia: se si apportano modifiche all'URL del server ADFS, è necessario modificare le proprietà di attendibilità.

  • Il certificato primario per la firma di token è stato modificato: la modifica del certificato primario per la firma di token determina un evento ID 334 o ID 335 in Visualizzatore eventi del server ADFS. Si consiglia di controllare Visualizzatore eventi regolarmente, con cadenza almeno settimanale.

    Per visualizzare gli eventi del server ADFS, eseguire le seguenti operazioni:

    1. Fare clic su Start, quindi scegliere Pannello di controllo. Nella visualizzazione Categoria fare clic su Sistema e protezione, quindi su Strumenti di amministrazione e Visualizzatore eventi.

    2. Per visualizzare gli eventi di ADFS, nel riquadro sinistro di Visualizzatore eventi fare clic su Registri applicazioni e servizi, quindi su ADFS 2.0 e infine su Amministratore.

  • Il certificato per la firma di token ha scadenza annuale: Il certificato per la firma di token è essenziale per la stabilità del servizio federativo. Qualora venga modificato, sarà necessario notificare Azure AD di tale cambiamento. Altrimenti, le richieste ai servizi cloud non verranno eseguite.

    Attenersi alla procedura fornita precedentemente nella sezione Impostazione di un'attività pianificata di questo argomento nella quale verrà illustrato come scaricare e configurare lo strumento Microsoft Federation Metadata Update Automation Installation Tool. Questo strumento effettuerà automaticamente il monitoraggio e l'aggiornamento dei metadati di federazione di Azure AD a intervalli regolari, in modo che le modifiche apportate al certificato di firma dei token nel servizio federativo di ADFS vengano replicate automaticamente in Azure AD.

Per aggiornare manualmente le proprietà del trust, eseguire le seguenti operazioni.

noteNota
Per supportare diversi domini di primo livello, ad esempio contoso.com e fabrikam.com, è necessario utilizzare l'opzione SupportMultipleDomain con qualsiasi cmdlet. Per ulteriori informazioni, vedere Support for Multiple Top Level Domains (Supporto per domini di primo livello).

  1. Aprire lo Modulo di Microsoft Azure Active Directory per Windows PowerShell.

  2. Eseguire $cred=Get-Credential. Alla richiesta delle credenziali, digitare quelle dell'account amministratore di servizi cloud.

  3. Eseguire Connect-MsolService –Credential $cred. Questo cmdlet consente di connettersi a servizio cloud. Prima di eseguire qualsiasi cmdlet aggiuntivo installato dallo strumento, è necessario creare un contesto che consenta di connettersi a servizio cloud.

  4. Eseguire Set-MSOLAdfscontext -Computer <AD FS primary server>, dove <AD FS primary server> è il nome di dominio completo (FQDN) interno del server ADFS primario. Questo cmdlet crea un contesto che consente la connessione a ADFS.

    noteNota
    Se lo Modulo di Microsoft Azure Active Directory è stato installato nel server primario , non è necessario eseguire il cmdlet.

  5. Eseguire Update-MSOLFederatedDomain –DomainName <domain>. Questo cmdlet aggiorna le impostazioni di ADFS in servizio cloud e configura la relazione di trust fra i due server.

Operazioni correlate

Nel caso in cui si verifichi la perdita del server primario e non sia possibile ripristinarlo, sarà necessario alzare di livello un altro server affinché diventi il server primario. Per ulteriori informazioni, vedere AD FS 2.0 - How to Set the Primary Federation Server in a WID Farm (Come impostare il server federativo primario in una farm WID).

noteNota
Se si verifica un errore in uno dei server ADFS ed è stata eseguita una configurazione della farm a disponibilità elevata, gli utenti potranno comunque accedere a servizio cloud. Se il server in cui si è verificato l'errore è il server primario, non sarà possibile eseguire aggiornamenti alla configurazione della farm fino a quando non viene alzato il livello di un altro server affinché diventi il server primario.

In caso di perdita di tutti i server della farm, è necessario ricreare il trust tramite la seguente procedura.

noteNota
Per supportare diversi domini di primo livello, ad esempio contoso.com e fabrikam.com, è necessario utilizzare l'opzione SupportMultipleDomain con qualsiasi cmdlet. Generalmente, quando si utilizza l'opzione SupportMultipleDomain, è necessario eseguire la procedura su ciascun dominio. Tuttavia, per ripristinare il server ADFS, è necessario seguire la procedura una sola volta per uno dei domini. Dopo il ripristino del server, tutti gli altri domini con Single Sign-On si connetteranno a servizio cloud. Per ulteriori informazioni, vedere Support for Multiple Top Level Domains (Supporto per domini di primo livello).

  1. Aprire lo Modulo di Microsoft Azure Active Directory.

  2. Eseguire $cred=Get-Credential. Alla richiesta delle credenziali, digitare quelle dell'account amministratore di servizi cloud.

  3. Eseguire Connect-MsolService –Credential $cred. Questo cmdlet consente di connettersi a servizio cloud. Prima di eseguire qualsiasi cmdlet aggiuntivo installato dallo strumento, è necessario creare un contesto che consenta di connettersi a servizio cloud.

  4. Eseguire Set-MSOLAdfscontext -Computer <AD FS primary server>, dove <AD FS primary server> è il nome di dominio completo (FQDN) interno del server ADFS primario. Questo cmdlet crea un contesto che consente la connessione a ADFS.

    noteNota
    Se il Modulo di Microsoft Azure Active Directory è stato installato nel server ADFS primario, non è necessario eseguire questo cmdlet.

  5. Eseguire Update-MsolFederatedDomain –DomainName <domain>, dove <domain> rappresenta il dominio per cui si desidera aggiornare le proprietà. Questo cmdlet aggiorna le proprietà e stabilisce la relazione di trust.

  6. Eseguire Get-MsolFederationProperty –DomainName <domain>, dove <domain> rappresenta il dominio per cui si desidera visualizzare le proprietà. A questo punto, sarà possibile confrontare le proprietà del server ADFS primario con quelle di servizio cloud per verificare che corrispondano. In caso negativo, eseguire di nuovo Update-MsolFederatedDomain –DomainName <domain> per sincronizzare le proprietà.

AD FS supporta i seguenti quattro tipi di autenticazione locale:

  • Autenticazione integrata di Windows (IWA) (opzione predefinita)

  • Autenticazione basata su moduli (FBA)

  • Autenticazione client di Transport Layer Security

  • Autenticazione di base

Se viene utilizzato IWA, si verifica un problema noto con l'istanza di Internet Explorer (IE) che presenta la stessa serie di credenziali a ogni tentativo dell'utente di visitare nuovamente un sito per il quale erano state inizialmente inserite tali credenziali. Ad esempio, se user1@contoso.com  si disconnette da Office 365 e NON chiude l'istanza di IE, quando tenta di accedere nuovamente a Office 365 come user2@contoso.com con la stessa istanza di IE viene eseguito automaticamente l'accesso come user1@contoso.com. Questo problema è molto frequente quando SSO per Office 365 con AD FS viene implementato in computer condivisi (o chioschi) in cui gli utenti possono accedere e disconnettersi da Office 365 senza che venga richiesta la chiusura delle istanze di IE utilizzate.

Se si implementa SSO in computer condivisi, si consiglia di non utilizzare l'opzione predefinita (autenticazione IWA), bensì l'autenticazione basata su moduli, nei server AD FS. Per istruzioni dettagliate su come personalizzare il tipo di autenticazione locale, vedere AD FS 2.0: Come modificare il tipo di autenticazione locale.

Vedere anche

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2014 Microsoft