Esporta (0) Stampa
Espandi tutto

Verificare e gestire l'accesso Single Sign-On con ADFS

Pubblicato: giugno 2012

Aggiornamento: giugno 2014

Si applica a: Azure, Office 365, Windows Intune

noteNota
Questo argomento potrebbe non essere completamente applicabile agli utenti di Microsoft Azure in Cina. Per altre informazioni sul servizio Azure in Cina, visitare il sito Web windowsazure.cn.

In qualità di amministratore, prima di verificare e gestire Single Sign-On (noto anche come federazione delle identità), leggere le informazioni ed eseguire i passaggi contenuti in Elenco di controllo: utilizzo di ADFS per implementare e gestire Single Sign-On.

Dopo avere configurato Single Sign-On, è necessario verificare che funzioni correttamente. Per ottimizzarlo, è inoltre possibile eseguire occasionalmente diverse attività di gestione.

Per verificare che Single Sign-On sia stato configurato correttamente, è possibile eseguire la procedura seguente per accertarsi di poter accedere al servizio cloud con le credenziali aziendali. Testare Single Sign-On per diversi scenari di uso e Usare Analizzatore connettività remota di Microsoft.

noteNota
  • Se un dominio è stato convertito e non aggiunto, possono essere necessarie fino a 24 ore per configurare l'accesso Single Sign-On.

  • Prima di verificare Single Sign-On, è opportuno completare la configurazione della sincronizzazione di Active Directory, sincronizzare le proprie directory e attivare gli utenti sincronizzati. Per altre informazioni, vedere Guida di orientamento per la sincronizzazione della directory.

Per verificare che Single Sign-On sia configurato correttamente, effettuare le seguenti operazioni.

  1. In un computer aggiunto al dominio accedere al servizio cloud Microsoft specificando lo stesso nome di accesso usato per le credenziali aziendali.

  2. Fare clic all'interno della casella della password. Se Single Sign-On è stato configurato, la casella risulterà ombreggiata e un messaggio indicherà che è necessario eseguire l'accesso presso <nome propria società>.

  3. Fare clic sul collegamentodi accesso alla <propria società>.

    Se è possibile eseguire l'accesso, Single Sign-On è stato configurato.

Dopo avere verificato Single Sign-On, testare i seguenti scenari di accesso per accertarsi che Single Sign-On e la distribuzione di ADFS 2.0 siano configurati correttamente. Chiedere a un gruppo di utenti di testare il proprio accesso ai servizi del servizio cloud sia dai browser sia da applicazioni con funzionalità rich client, ad esempio Microsoft Office 2010, nei seguenti ambienti:

  • Da un computer appartenente a un dominio

  • Da un computer non appartenente a un dominio all'interno della rete aziendale

  • Da un computer di roaming appartenente a un dominio all'esterno della rete aziendale

  • Dai diversi sistemi operativi in uso nella società

  • Da un computer di casa

  • Da un chiosco multimediale (testare l'accesso al servizio cloud solo tramite un browser)

  • Da uno smartphone (ad esempio uno smartphone che usa Microsoft Exchange ActiveSync)

Per testare la connettività Single Sign-On, è possibile usare Analizzatore connettività remota di Microsoft. Fare clic sulla scheda Office 365, su Microsoft Single Sign-On, quindi su Avanti. Seguire le indicazioni visualizzate per effettuare il test. L'analizzatore verifica la possibilità di accedere al servizio cloud con le credenziali aziendali. Convalida inoltre alcune configurazioni di base di ADFS 2.0.

Come procedere

Per impostazione predefinita, ADFS genera ogni anno 20 giorni prima della scadenza un nuovo certificato per la firma di token autofirmato. Il rollover del certificato o la generazione di un nuovo certificato all'avvicinarsi della scadenza di quello esistente e il successivo innalzamento di livello a certificato primario si applicano esclusivamente ai certificati autofirmati generati da ADFS.

Il certificato per la firma di token è essenziale per la stabilità del servizio federativo. Qualora venga modificato, sarà necessario notificare tale cambiamento per Azure AD. In caso contrario, le richieste ai servizi cloud non verranno eseguite. È necessario scaricare e configurare lo strumento Microsoft Federation Metadata Update Automation Installation Tool nel server federativo primario o in un server federativo scrivibile, che effettuerà automaticamente il monitoraggio e l'aggiornamento dei metadati di federazione di Azure AD a intervalli regolari, in modo che le modifiche apportate al certificato di firma dei token nel servizio federativo di ADFS vengano replicate automaticamente in Azure AD.

Per eseguire questo strumento correttamente:

  • È necessario avere distribuito almeno un servizio federativo di ADFS.

  • È necessario avere completato i passaggi descritti in Configurare una relazione di trust tra ADFS e Azure AD.

  • È necessario eseguire questo strumento nel server federativo primario o in un server federativo scrivibile.

  • È necessario disporre dell'accesso alle credenziali di Amministratore globale per il tenant di Azure AD.

    noteNota
    Se le credenziali di Amministratore globale non sono state impostate con "Nessuna scadenza password", assicurarsi di eseguire nuovamente lo strumento con la nuova password una volta scaduta la password per Amministratore globale. In caso contrario, l'attività pianificata non verrà eseguita.

I passaggi per eseguire questo strumento sono i seguenti:

  1. Scaricare e salvare lo strumento Microsoft Federation Metadata Update Automation Installation Tool nel computer.

  2. Avviare il modulo Windows PowerShell per l'amministratore, quindi passare alla directory in cui è stato copiato lo strumento.

  3. Al prompt digitare .\O365-Fed-MetaData-Update-Task-Installation.ps1, quindi premere INVIO.

  4. Al prompt digitare il nome di dominio federato, quindi premere INVIO.

  5. Al prompt, digitare le credenziali ID utente, quindi premere INVIO.

  6. Al prompt, digitare le credenziali di amministratore locale, quindi premere INVIO.

Al termine di questi passaggi, lo script creerà un'attività pianificata da eseguire con le credenziali di amministratore locale fornite nel passaggio 6. L'attività pianificata verrà eseguita una volta al giorno.

noteNota
Sarà necessario eseguire lo strumento per ciascun dominio federato dell'account. Inoltre, questo strumento non fornisce al momento supporto per domini di primo livello. Per altre informazioni, vedere la pagina relativa al supporto per più domini di primo livello. È consigliabile verificare periodicamente la corretta esecuzione dell'attività pianificata assicurandosi che il file di log sia stato generato correttamente.

noteNota
È possibile definire quando ADFS deve generare il nuovo certificato per la firma di token. Al momento del rollover del certificato, ADFS ne genera uno nuovo con lo stesso nome di quello che sta per scadere, ma con chiave privata e identificazione personale diverse. Dopo la generazione del nuovo certificato, questo continuerà a essere il certificato secondario per cinque giorni, poi verrà innalzato di livello a certificato primario. Cinque giorni costituiscono il periodo predefinito, tuttavia è possibile configurare un periodo di tempo diverso.

È possibile eseguire altre attività occasionali o facoltative per garantire il corretto funzionamento di Single Sign-On.

Dopo l'aggiunta o la conversione di domini durante la configurazione di Single Sign-On, potrebbe essere necessario aggiungere il nome di dominio completo del server ADFS all'elenco Siti attendibili di Internet Explorer. Questo eviterà che agli utenti venga richiesta la password per il server ADFS. Tale modifica deve essere apportata nel client. È possibile eseguirla anche per gli utenti specificando un'impostazione di Criteri di gruppo che aggiungerà automaticamente l'URL all'elenco Siti attendibili per i computer appartenenti a un dominio. Per altre informazioni, vedere la pagina relativa alle impostazioni dei criteri di Internet Explorer.

ADFS offre agli amministratori l'opzione per definire regole personalizzate che consentiranno o negheranno l'accesso agli utenti. Per Single Sign-On è necessario applicare le regole personalizzate al trust della relying party associato al servizio cloud. Questo trust è stato creato durante l'esecuzione dei cmdlet in Windows PowerShell per configurare il servizio Single Sign-On.

Per altre informazioni su come definire le restrizioni per l'accesso degli utenti ai servizi, vedere la pagina relativa alla creazione di una regola per consentire o negare l'accesso agli utenti in base a un'attestazione in ingresso. Per altre informazioni sull'esecuzione di cmdlet per la configurazione di Single Sign-On, vedere Installare Windows PowerShell per l'accesso Single Sign-On con ADFS.

Se in qualsiasi momento si vuole visualizzare il server ADFS e le impostazioni del servizio cloud correnti, è possibile aprire il Modulo di Microsoft Azure Active Directory per Windows PowerShell ed eseguire prima Connect-MSOLService, quindi Get-MSOLFederationProperty –DomainName <domain>. In questo modo è possibile controllare che le impostazioni del server ADFS siano coerenti con quelle del servizio cloud. Se le impostazioni non corrispondono, è possibile eseguire Update-MsolFederatedDomain –DomainName <domain>. Per altre informazioni, vedere la sezione successiva "Aggiornare le proprietà di attendibilità".

noteNota
Per supportare più domini di primo livello, ad esempio contoso.com e fabrikam.com, è necessario usare l'opzione SupportMultipleDomain con tutti i cmdlet. Per altre informazioni, vedere la pagina relativa al supporto per più domini di primo livello.

Come procedere

L'aggiornamento delle proprietà di attendibilità di Single Sign-On nel servizio cloud deve essere effettuato quando si verificano le seguenti condizioni:

  • L'URL cambia: se si apportano modifiche all'URL del server ADFS, è necessario aggiornare le proprietà di attendibilità.

  • Viene cambiato il certificato primario per la firma di token: la modifica del certificato primario per la firma di token determina un evento ID 334 o ID 335 nel Visualizzatore eventi del server ADFS. È consigliabile controllare il Visualizzatore eventi periodicamente, almeno con cadenza settimanale.

    Per visualizzare gli eventi del server ADFS, effettuare le seguenti operazioni.

    1. Fare clic sul pulsante Start, quindi scegliere Pannello di controllo. Nella visualizzazione Categoria fare clic su Sistema e sicurezza, Strumenti di amministrazione, quindi Visualizzatore eventi.

    2. Per visualizzare gli eventi di ADFS, nel riquadro sinistro del Visualizzatore eventi fare clic su Registri applicazioni e servizi, quindi su ADFS 2.0 e infine su Amministratore.

  • Il certificato per la firma di token ha scadenza annuale: il certificato per la firma di token è essenziale per la stabilità del servizio federativo. Qualora venga modificato, sarà necessario notificare tale cambiamento ad Azure AD, altrimenti le richieste ai servizi cloud non verranno eseguite.

    Eseguire la procedura descritta precedentemente in questo argomento, nella sezione relativaall'impostazione di un'attività pianificata, in cui viene illustrato come scaricare e configurare lo strumento Microsoft Federation Metadata Update Automation Installation Tool. Questo strumento effettuerà automaticamente il monitoraggio e l'aggiornamento dei metadati di federazione di Azure AD a intervalli regolari, in modo che le modifiche apportate al certificato di firma dei token nel servizio federativo di ADFS vengano replicate automaticamente in Azure AD.

Per aggiornare manualmente le proprietà di attendibilità, effettuare le seguenti operazioni.

noteNota
Per supportare più domini di primo livello, ad esempio contoso.com e fabrikam.com, è necessario usare l'opzione SupportMultipleDomain con tutti i cmdlet. Per altre informazioni, vedere la pagina relativa al supporto per più domini di primo livello.

  1. Aprire il Modulo di Microsoft Azure Active Directory per Windows PowerShell.

  2. Eseguire $cred=Get-Credential. Quando il cmdlet richiede di specificare le credenziali, digitare le credenziali dell'account amministratore del servizio cloud.

  3. Eseguire Connect-MsolService –Credential $cred. Questo cmdlet consente di connettersi a servizio cloud. È necessario creare un contesto per la connessione a servizio cloud per poter eseguire i cmdlet aggiuntivi installati dallo strumento.

  4. Eseguire Set-MSOLAdfscontext -Computer <AD FS primary server>, dove <AD FS primary server> è il nome FQDN interno del server ADFS primario. Questo cmdlet consente di creare un contesto per la connessione ad ADFS.

    noteNota
    Se è stato installato il Modulo di Microsoft Azure Active Directory nel server primario, non è necessario eseguire questo cmdlet.

  5. Eseguire Update-MSOLFederatedDomain –DomainName <domain>. Questo cmdlet aggiorna le impostazioni da ADFS nel servizio cloud e configura la relazione di trust tra i due.

Come procedere

Se si perde il contatto con il server primario e non è possibile ripristinarlo, è necessario innalzare di livello un altro server in modo da configurarlo come server primario. Per altre informazioni, vedere la pagina relativa ad ADFS 2.0 e come configurare il server federativo primario in una farm Database interno di Windows.

noteNota
Se si verifica un errore in uno dei server ADFS ed è stata configurata una farm a disponibilità elevata, gli utenti saranno comunque in grado di accedere al servizio cloud. Se il server in cui si è verificato l'errore è il server primario, non sarà possibile effettuare alcun aggiornamento alla configurazione della farm finché un altro server non verrà innalzato di livello e configurato come server primario.

Se si perde il contatto con tutti i server della farm, sarà necessario ricostruire la relazione di trust effettuando le seguenti operazioni.

noteNota
Per supportare più domini di primo livello, ad esempio contoso.com e fabrikam.com, è necessario usare l'opzione SupportMultipleDomain con tutti i cmdlet. Se si usa l'opzione SupportMultipleDomain, in genere è necessario eseguire la procedura in ognuno dei domini. Per ripristinare il server ADFS tuttavia è sufficiente seguire la procedura una volta per uno dei domini. Una volta ripristinato il server, tutti gli altri domini Single Sign-On si connetteranno al servizio cloud. Per altre informazioni, vedere la pagina relativa al supporto per più domini di primo livello.

  1. Aprire il Modulo di Microsoft Azure Active Directory.

  2. Eseguire $cred=Get-Credential. Quando il cmdlet richiede di specificare le credenziali, digitare le credenziali dell'account amministratore del servizio cloud.

  3. Eseguire Connect-MsolService –Credential $cred. Questo cmdlet consente di connettersi a servizio cloud. È necessario creare un contesto per la connessione a servizio cloud per poter eseguire i cmdlet aggiuntivi installati dallo strumento.

  4. Eseguire Set-MSOLAdfscontext -Computer <AD FS primary server>, dove <AD FS primary server> è il nome FQDN interno del server ADFS primario. Questo cmdlet consente di creare un contesto per la connessione ad ADFS.

    noteNota
    Se è stato installato il Modulo di Microsoft Azure Active Directory nel server ADFS primario, non sarà necessario eseguire questo cmdlet.

  5. Eseguire Update-MsolFederatedDomain –DomainName <domain>, dove <domain> è il dominio di cui si vuole aggiornare le proprietà. Questo cmdlet aggiorna le proprietà e stabilisce la relazione di trust.

  6. Eseguire Get-MsolFederationProperty –DomainName <domain>, dove <domain> è il dominio di cui si vuole visualizzare le proprietà. È quindi possibile confrontare le proprietà tra il server ADFS primario e il servizio cloud per verificare che corrispondano. Se non corrispondono, eseguire di nuovo Update-MsolFederatedDomain –DomainName <domain> per sincronizzare le proprietà.

Vedere anche

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Mostra:
© 2014 Microsoft