Autenticazione unica - AWS Directory Service
IE/ChromeFirefox

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autenticazione unica

AWS Directory Service offre la possibilità di consentire agli utenti di accedere ad Amazon WorkDocs da un computer collegato alla directory senza dover inserire le proprie credenziali separatamente.

Prima di abilitare l'accesso single sign-on, è necessario eseguire operazioni aggiuntive per abilitare il browser Web dei tuoi utenti a supportare l'accesso single sign-on. Gli utenti potrebbero dover modificare le proprie impostazioni del browser Web per abilitare l'accesso single sign-on.

Nota

L'accesso single sign-on funziona solo quando viene utilizzato su un computer collegato alla directory AWS Directory Service e non può essere utilizzato sui computer che non sono collegati alla directory.

Se la directory è una directory del connettore AD e l'account del servizio Connettore AD non dispone dell'autorizzazione per aggiungere o rimuovere l'attributo nome dell'entità servizio, per i passaggi 5 e 6 seguenti sono disponibili due opzioni:

  1. È possibile procedere e verrà richiesto il nome utente e la password per un utente di directory che dispone di questa autorizzazione per aggiungere o rimuovere l'attributo nome dell'entità servizio nell'account del servizio Connettore AD. Queste credenziali vengono utilizzate solo per abilitare l'accesso single sign-on e non vengono archiviate dal servizio. Le autorizzazioni dell'account del servizio Connettore AD non vengono modificate.

  2. Puoi delegare le autorizzazioni per consentire all'account del servizio AD Connector di aggiungere o rimuovere l'attributo del nome principale del servizio su se stesso, puoi eseguire i PowerShell comandi seguenti da un computer aggiunto al dominio utilizzando un account che dispone delle autorizzazioni per modificare le autorizzazioni sull'account del servizio AD Connector. Il comando seguente darà all'account del servizio Connettore AD la possibilità di aggiungere e rimuovere un attributo nome dell'entità servizio solo per se stesso.

$AccountName = 'ConnectorAccountName'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$RootDse = Get-ADRootDSE 
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting AD Connector service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AclPath = $AccountProperties.DistinguishedName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for AD Connector service account.
$ObjectAcl = Get-ACL -Path "AD:\$AclPath" 
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
Per abilitare o disabilitare il single sign-on con Amazon WorkDocs

  1. Nel riquadro di navigazione della console AWS Directory Service, seleziona Directory.

  2. Nella pagina Directories (Directory), scegli l'ID della directory.

  3. Nella pagina Directory details (Dettagli della directory), seleziona la scheda Application management (Gestione dell'applicazione).

  4. Nella sezione URL di accesso all'applicazione, scegli Abilita per abilitare il single sign-on per Amazon. WorkDocs

    Se non visualizzi il pulsante Enable (Abilita), potresti dover creare un URL di accesso prima che questa opzione venga visualizzata. Per ulteriori informazioni su come creare un URL di accesso, consulta Creazione di un URL di accesso.

  5. Nella finestra di dialogo Enable Single Sign-On for this directory (Abilita accesso single sign-on per questa directory) scegli Enable (Abilita). L'accesso single sign-on è abilitato per la directory.

  6. Se in seguito desideri disabilitare il Single Sign-On con Amazon WorkDocs, scegli Disabilita, quindi nella finestra di dialogo Disabilita il Single Sign-On per questa directory, scegli nuovamente Disabilita.

Accesso con autenticazione unica per IE e Chrome

Per permettere ai browser Internet Explorer (IE) e Google Chrome di Microsoft di supportare l'accesso single sign-on, è necessario eseguire le attività seguenti sul computer client:

  • Aggiungi il tuo URL di accesso (ad esempio, https://<alias>.awsapps.com) all'elenco dei siti approvati per l'accesso single sign-on.

  • Abilita lo scripting attivo (). JavaScript

  • Permetti l'accesso automatico.

  • Abilita l'autenticazione integrata.

Tu o i tuoi utenti potete eseguire queste attività manualmente oppure potete modificare queste impostazioni usando le impostazioni delle policy di gruppo.

Aggiornamento manuale per l'accesso con autenticazione unica su Windows

Per abilitare manualmente l'accesso single sign-on su un computer Windows, esegui la procedura seguente sul computer client. Alcune di queste impostazioni possono essere già impostate correttamente.

Abilitazione manuale dell'accesso single sign-on per Internet Explorer e Chrome su Windows

  1. Per aprire la finestra di dialogo Internet Properties (Proprietà Internet), seleziona il menu Start, digita Internet Options nella casella di ricerca e seleziona Internet Options (Opzioni Internet).

  2. Aggiungi il tuo URL di accesso all'elenco dei siti approvati per l'accesso single sign-on eseguendo le fasi seguenti:

    1. Nella finestra di dialogo Internet Properties (Proprietà Internet), seleziona la scheda Security (Sicurezza).

    2. Seleziona Local Intranet (Intranet locale) e scegli Sites (Siti).

    3. Nella finestra di dialogo Local intranet (Intranet locale) scegli Advanced (Opzioni avanzate).

    4. Aggiungi il tuo URL di accesso all'elenco di siti Web e scegli Close (Chiudi).

    5. Nella finestra di dialogo Local intranet (Intranet locale) scegli OK.

  3. Per abilitare lo scripting attivo, segui la procedura seguente:

    1. Nella scheda Security (Sicurezza) della finestra di dialogo Internet Properties (Proprietà Internet), scegli Custom level (Livello personalizzato).

    2. Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - Area Intranet locale), scorri verso il basso a Scripting e seleziona Enable (Abilita) sotto Active scripting (Scripting attivo).

    3. Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - Area Intranet locale) scegli OK.

  4. Per abilitare l'accesso automatico, segui la procedura seguente:

    1. Nella scheda Security (Sicurezza) della finestra di dialogo Internet Properties (Proprietà Internet), scegli Custom level (Livello personalizzato).

    2. Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - Area Intranet locale), scorri verso il basso a User Authentication (Autenticazione utenti) e seleziona Automatic logon only in Intranet zone (Accesso automatico solo in area intranet) sotto Logon (Accesso).

    3. Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - Area Intranet locale) scegli OK.

    4. Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - Area Intranet locale) scegli OK.

  5. Per abilitare l'autenticazione integrata, segui la procedura seguente:

    1. Nella finestra di dialogo Internet Properties (Proprietà Internet), seleziona la scheda Advanced (Opzioni avanzate).

    2. Scorri verso il basso a Security (Sicurezza) e seleziona Enable Integrated Windows Authentication (Abilita autenticazione di Windows integrata).

    3. Nella finestra di dialogo Internet Properties (Proprietà Internet) scegli OK.

  6. Chiudi e riapri il browser perché queste modifiche diventino effettive.

Aggiornamento manuale per l'accesso con autenticazione unica su OS X

Per abilitare manualmente l'accesso single sign-on a Chrome su OS X, esegui la procedura seguente sul computer client. Dovrai disporre di diritti di amministratore sul tuo computer per completare questa procedura.

Abilitazione manuale dell'accesso single sign-on a Chrome su OS X

  1. Aggiungete l'URL di accesso alla AuthServerAllowlistpolicy eseguendo il comando seguente:

    defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com"

  2. Apri System Preferences (Preferenze di sistema), vai al pannello Profiles (Profili) ed elimina il profilo Chrome Kerberos Configuration.

  3. Riavvia Chrome e apri chrome://policy in Chrome per confermare che le nuove impostazioni siano effettive.

Impostazioni delle policy di gruppo per l'accesso con autenticazione unica

L'amministratore di dominio può implementare le impostazioni delle policy di gruppo per effettuare le modifiche dell'accesso single sign-on su computer client collegati al dominio.

Nota

Se gestisci i browser web Chrome sui computer del tuo dominio con i criteri di Chrome, devi aggiungere il tuo URL di accesso alla AuthServerAllowlistpolitica. Per ulteriori informazioni su come impostare le policy di Chrome, vai all'argomento relativo alle Impostazioni delle policy in Chrome.

Abilitazione manuale dell'accesso single sign-on per Internet Explorer e Chrome utilizzando le impostazioni delle policy di gruppo

  1. Crea un nuovo oggetto Group Policy seguendo questa procedura:

    1. Apri lo strumento di gestione di Group Policy, vai al tuo dominio e seleziona Group Policy Objects (Oggetti Group Policy).

    2. Dal menu principale, seleziona Action (Operazione) e quindi New (Nuovo).

    3. Nella finestra di dialogo New GPO (Nuovo GPO) digita un nome descrittivo per l'oggetto Group Policy, ad esempio IAM Identity Center Policy e lascia Source Starter GPO (GPO Starter di origine) impostato su (none) (nessuno). Fai clic su OK.

  2. Aggiungi l'URL di accesso all'elenco dei siti approvati per l'accesso single sign-on eseguendo la procedura seguente:

    1. Nello strumento di gestione di policy di gruppo, vai al tuo dominio, seleziona Oggetti di policy di gruppo, apri il menu contestuale (pulsante destro del mouse) per la tua policy Centro identità IAM e scegli Modifica.

    2. Nella struttura della policy, seleziona User Configuration (Configurazione utente) > Preferences (Preferenze) > Windows Settings (Impostazioni di Windows).

    3. Nell'elenco Windows Settings (Impostazioni di Windows), apri il menu contestuale (pulsante destro del mouse) per Registry (Registro di sistema) e seleziona New registry item (Nuovo elemento di registro di sistema).

    4. Nella finestra di dialogo New Registry Properties (Nuove proprietà di registro di sistema), inserisci le impostazioni seguenti e scegli OK:

      Action

      Update

      Hive

      HKEY_CURRENT_USER

      Path

      Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>

      Il valore di <alias> deriva dall'URL di accesso. Se il tuo URL di accesso è https://examplecorp.awsapps.com, l'alias è examplecorp e la chiave di registro sarà Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp.

      Value name (Nome valore)

      https

      Value type (Tipo di valore)

      REG_DWORD

      Value data (Dati valore)

      1

  3. Per abilitare lo scripting attivo, segui la procedura seguente:

    1. Nello strumento di gestione di policy di gruppo, vai al tuo dominio, seleziona Oggetti di policy di gruppo, apri il menu contestuale (pulsante destro del mouse) per la tua policy Centro identità IAM e scegli Modifica.

    2. Nella struttura della policy, passa a Computer Configuration (Configurazione computer) > Policies (Policy) > Administrative Templates (Modelli amministrativi) > Windows Components (Componenti di Windows) > Internet Explorer > Internet Control Panel (Pannello di controllo Internet) > Security Page (Pagina protezione) > Intranet Zone (Area Intranet).

    3. Nell'elenco Intranet Zone (Area Intranet), apri il menu contestuale (pulsante destro del mouse) per Allow active scripting (Consenti scripting attivo) e scegli Modifica (Edit).

    4. Nella finestra di dialogo Allow active scripting (Consenti scripting attivo), inserisci le impostazioni seguenti e scegli OK:

      • Seleziona il pulsante di opzione Enabled (Abilitato).

      • In Options (Opzioni) imposta Allow active scripting (Consenti scripting attivo) su Enable (Abilita).

  4. Per abilitare l'accesso automatico, segui la procedura seguente:

    1. Nello strumento di gestione di Group Policy, passa al tuo dominio, seleziona Group Policy Objects (Oggetti Group Policy), apri il menu contestuale (pulsante destro del mouse) della policy SSO e scegli Edit (Modifica).

    2. Nella struttura della policy, passa a Computer Configuration (Configurazione computer) > Policies (Policy) > Administrative Templates (Modelli amministrativi) > Windows Components (Componenti di Windows) > Internet Explorer > Internet Control Panel (Pannello di controllo Internet) > Security Page (Pagina protezione) > Intranet Zone (Area Intranet).

    3. Nell'elenco Intranet Zone (Area Intranet), apri il menu contestuale (pulsante destro del mouse) per Logon options (Opzioni di accesso) e scegli Modifica (Edit).

    4. Nella finestra di dialogo Logon options (Opzioni di accesso), inserisci le impostazioni seguenti e scegli OK:

      • Seleziona il pulsante di opzione Enabled (Abilitato).

      • In Options (Opzioni) imposta Logon options (Opzioni di accesso) su Automatic logon only in Intranet zone (Accesso automatico solo nell'area Intranet).

  5. Per abilitare l'autenticazione integrata, segui la procedura seguente:

    1. Nello strumento di gestione di policy di gruppo, vai al tuo dominio, seleziona Oggetti di policy di gruppo, apri il menu contestuale (pulsante destro del mouse) per la tua policy Centro identità IAM e scegli Modifica.

    2. Nella struttura della policy, seleziona User Configuration (Configurazione utente) > Preferences (Preferenze) > Windows Settings (Impostazioni di Windows).

    3. Nell'elenco Windows Settings (Impostazioni di Windows), apri il menu contestuale (pulsante destro del mouse) per Registry (Registro di sistema) e seleziona New registry item (Nuovo elemento di registro di sistema).

    4. Nella finestra di dialogo New Registry Properties (Nuove proprietà di registro di sistema), inserisci le impostazioni seguenti e scegli OK:

      Action

      Update

      Hive

      HKEY_CURRENT_USER

      Path

      Software\Microsoft\Windows\CurrentVersion\Internet Settings

      Value name (Nome valore)

      EnableNegotiate

      Value type (Tipo di valore)

      REG_DWORD

      Value data (Dati valore)

      1

  6. Chiudi la finestra Group Policy Management Editor (Editor gestione di Group Policy) se è ancora aperta.

  7. Assegna la nuova policy al tuo dominio seguendo questa procedura:

    1. Nella struttura di gestione di Group Policy, apri il menu contestuale (pulsante destro del mouse) del tuo dominio e scegli Link an Existing GPO (Collega un GPO esistente).

    2. Nell'elenco Oggetti policy di gruppo, seleziona la policy Centro identità IAM e scegli OK.

Queste modifiche diventeranno effettive dopo l'aggiornamento successivo della policy di gruppo sul client, oppure all'accesso successivo da parte dell'utente.

Accesso con autenticazione unica per Firefox

Per permettere al browser Firefox di Mozilla di supportare l'accesso single sign-on, aggiungi l'URL di accesso (ad esempio, https://<alias>.awsapps.com) all'elenco dei siti approvati per l'accesso single sign-on. Puoi eseguire questa operazione manualmente oppure in maniera automatizzata con uno script.

Aggiornamento manuale dell'accesso con autenticazione unica

Per aggiungere manualmente l'URL di accesso all'elenco dei siti approvati in Firefox, esegui la seguente procedura sul computer client.

Aggiunta manuale dell'URL di accesso all'elenco dei siti approvati in Firefox

  1. Apri Firefox e apri la pagina about:config.

  2. Apri la preferenza network.negotiate-auth.trusted-uris e aggiungi il tuo URL di accesso all'elenco dei siti. Utilizza una virgola (,) per separare più voci.

Aggiornamento automatico dell'accesso con autenticazione unica

In qualità di amministratore di dominio, puoi utilizzare uno script per aggiungere l'URL di accesso alla preferenza utente network.negotiate-auth.trusted-uris di Firefox su tutti i computer della rete. Per ulteriori informazioni, vai a https://support.mozilla.org/en-US/questions/939037.