Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Abilitazione del Single Sign-On per Managed AWS Microsoft AD
AWS Directory Service offre la possibilità di consentire agli utenti di accedere ad Amazon WorkDocs da un computer collegato alla directory senza dover inserire le proprie credenziali separatamente.
Prima di abilitare l'accesso single sign-on, è necessario eseguire operazioni aggiuntive per abilitare il browser Web dei tuoi utenti a supportare l'accesso single sign-on. Gli utenti potrebbero dover modificare le proprie impostazioni del browser Web per abilitare l'accesso single sign-on.
Nota
L'accesso single sign-on funziona solo quando viene utilizzato su un computer collegato alla directory AWS Directory Service e non può essere utilizzato sui computer che non sono collegati alla directory.
Se la directory è una directory del connettore AD e l'account del servizio Connettore AD non dispone dell'autorizzazione per aggiungere o rimuovere l'attributo nome dell'entità servizio, per i passaggi 5 e 6 seguenti sono disponibili due opzioni:
È possibile procedere e verrà richiesto il nome utente e la password per un utente di directory che dispone di questa autorizzazione per aggiungere o rimuovere l'attributo nome dell'entità servizio nell'account del servizio Connettore AD. Queste credenziali vengono utilizzate solo per abilitare l'accesso single sign-on e non vengono archiviate dal servizio. Le autorizzazioni dell'account del servizio Connettore AD non vengono modificate.
Puoi delegare le autorizzazioni per consentire all'account del servizio AD Connector di aggiungere o rimuovere l'attributo del nome principale del servizio su se stesso, puoi eseguire i PowerShell comandi seguenti da un computer aggiunto al dominio utilizzando un account che dispone delle autorizzazioni per modificare le autorizzazioni sull'account del servizio AD Connector. Il comando seguente darà all'account del servizio Connettore AD la possibilità di aggiungere e rimuovere un attributo nome dell'entità servizio solo per se stesso.
$AccountName = 'ConnectorAccountName' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module 'ActiveDirectory' $RootDse = Get-ADRootDSE [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID # Getting AD Connector service account Information. $AccountProperties = Get-ADUser -Identity $AccountName $AclPath = $AccountProperties.DistinguishedName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value # Getting ACL settings for AD Connector service account. $ObjectAcl = Get-ACL -Path "AD:\$AclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself $AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None' $ObjectAcl.AddAccessRule($AddAccessRule) Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
Per abilitare o disabilitare il single sign-on con Amazon WorkDocs
-
Nel riquadro di navigazione della console AWS Directory Service
, seleziona Directory. -
Nella pagina Directories (Directory), scegli l'ID della directory.
-
Nella pagina Directory details (Dettagli della directory), seleziona la scheda Application management (Gestione dell'applicazione).
Nella URL sezione Accesso alle applicazioni, scegli Abilita per abilitare il single sign-on per Amazon. WorkDocs
Se non vedi il pulsante Abilita, potrebbe essere necessario creare un Access URL prima che questa opzione venga visualizzata. Per ulteriori informazioni su come creare un accessoURL, vedereCreazione di un accesso URL per AWS Managed Microsoft AD.
-
Nella finestra di dialogo Enable Single Sign-On for this directory (Abilita accesso single sign-on per questa directory) scegli Enable (Abilita). L'accesso single sign-on è abilitato per la directory.
-
Se in seguito desideri disabilitare il Single Sign-On con Amazon WorkDocs, scegli Disabilita, quindi nella finestra di dialogo Disabilita il Single Sign-On per questa directory, scegli nuovamente Disabilita.
Argomenti
Accesso con autenticazione unica per IE e Chrome
Per permettere ai browser Internet Explorer (IE) e Google Chrome di Microsoft di supportare l'accesso single sign-on, è necessario eseguire le attività seguenti sul computer client:
-
Aggiungi il tuo accesso URL (ad esempio, https://
<alias>
.awsapps.com) all'elenco dei siti approvati per il single sign-on. -
Abilita lo scripting attivo (). JavaScript
-
Permetti l'accesso automatico.
-
Abilita l'autenticazione integrata.
Tu o i tuoi utenti potete eseguire queste attività manualmente oppure potete modificare queste impostazioni usando le impostazioni delle policy di gruppo.
Argomenti
Aggiornamento manuale per l'accesso con autenticazione unica su Windows
Per abilitare manualmente l'accesso single sign-on su un computer Windows, esegui la procedura seguente sul computer client. Alcune di queste impostazioni possono essere già impostate correttamente.
Abilitazione manuale dell'accesso single sign-on per Internet Explorer e Chrome su Windows
-
Per aprire la finestra di dialogo Internet Properties (Proprietà Internet), seleziona il menu Start, digita
Internet Options
nella casella di ricerca e seleziona Internet Options (Opzioni Internet). -
Aggiungi il tuo accesso URL all'elenco dei siti approvati per il Single Sign-On eseguendo i seguenti passaggi:
-
Nella finestra di dialogo Internet Properties (Proprietà Internet), seleziona la scheda Security (Sicurezza).
-
Seleziona Local Intranet (Intranet locale) e scegli Sites (Siti).
-
Nella finestra di dialogo Local intranet (Intranet locale) scegli Advanced (Opzioni avanzate).
-
Aggiungi il tuo accesso URL all'elenco dei siti Web e scegli Chiudi.
-
Nella finestra di dialogo Local intranet (Intranet locale) scegli OK.
-
-
Per abilitare lo scripting attivo, segui la procedura seguente:
-
Nella scheda Security (Sicurezza) della finestra di dialogo Internet Properties (Proprietà Internet), scegli Custom level (Livello personalizzato).
-
Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - Area Intranet locale), scorri verso il basso a Scripting e seleziona Enable (Abilita) sotto Active scripting (Scripting attivo).
-
Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - Area Intranet locale) scegli OK.
-
-
Per abilitare l'accesso automatico, segui la procedura seguente:
-
Nella scheda Security (Sicurezza) della finestra di dialogo Internet Properties (Proprietà Internet), scegli Custom level (Livello personalizzato).
-
Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - Area Intranet locale), scorri verso il basso a User Authentication (Autenticazione utenti) e seleziona Automatic logon only in Intranet zone (Accesso automatico solo in area intranet) sotto Logon (Accesso).
-
Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - Area Intranet locale) scegli OK.
-
Nella finestra di dialogo Security Settings - Local Intranet Zone (Impostazioni di sicurezza - Area Intranet locale) scegli OK.
-
-
Per abilitare l'autenticazione integrata, segui la procedura seguente:
-
Nella finestra di dialogo Internet Properties (Proprietà Internet), seleziona la scheda Advanced (Opzioni avanzate).
-
Scorri verso il basso a Security (Sicurezza) e seleziona Enable Integrated Windows Authentication (Abilita autenticazione di Windows integrata).
-
Nella finestra di dialogo Internet Properties (Proprietà Internet) scegli OK.
-
-
Chiudi e riapri il browser perché queste modifiche diventino effettive.
Aggiornamento manuale per l'accesso con autenticazione unica su OS X
Per abilitare manualmente l'accesso single sign-on a Chrome su OS X, esegui la procedura seguente sul computer client. Dovrai disporre di diritti di amministratore sul tuo computer per completare questa procedura.
Abilitazione manuale dell'accesso single sign-on a Chrome su OS X
-
Aggiungi il tuo accesso URL alla AuthServerAllowlist
politica eseguendo il comando seguente: defaults write com.google.Chrome AuthServerAllowlist "https://
<alias>
.awsapps.com" -
Apri System Preferences (Preferenze di sistema), vai al pannello Profiles (Profili) ed elimina il profilo
Chrome Kerberos Configuration
. -
Riavvia Chrome e apri chrome://policy in Chrome per confermare che le nuove impostazioni siano effettive.
Impostazioni delle policy di gruppo per l'accesso con autenticazione unica
L'amministratore di dominio può implementare le impostazioni delle policy di gruppo per effettuare le modifiche dell'accesso single sign-on su computer client collegati al dominio.
Nota
Se gestisci i browser web Chrome sui computer del tuo dominio con i criteri di Chrome, devi aggiungere il tuo accesso URL alla AuthServerAllowlist
Abilitazione manuale dell'accesso single sign-on per Internet Explorer e Chrome utilizzando le impostazioni delle policy di gruppo
-
Crea un nuovo oggetto Group Policy seguendo questa procedura:
-
Apri lo strumento di gestione di Group Policy, vai al tuo dominio e seleziona Group Policy Objects (Oggetti Group Policy).
-
Dal menu principale, seleziona Action (Operazione) e quindi New (Nuovo).
-
Nella finestra di GPO dialogo Nuovo, inserisci un nome descrittivo per l'oggetto Criteri di gruppo, ad esempio
IAM Identity Center Policy
, e lascia Source Starter GPO impostato su (nessuno). Fai clic su OK.
-
-
Aggiungete l'accesso URL all'elenco dei siti approvati per il Single Sign-On eseguendo i seguenti passaggi:
-
Nello strumento Group Policy Management, accedi al tuo dominio, seleziona Oggetti di policy di gruppo, apri il menu contestuale (fai clic con il pulsante destro del mouse) relativo alla policy IAM dell'Identity Center e scegli Modifica.
-
Nella struttura della policy, seleziona User Configuration (Configurazione utente) > Preferences (Preferenze) > Windows Settings (Impostazioni di Windows).
-
Nell'elenco Windows Settings (Impostazioni di Windows), apri il menu contestuale (pulsante destro del mouse) per Registry (Registro di sistema) e seleziona New registry item (Nuovo elemento di registro di sistema).
-
Nella finestra di dialogo New Registry Properties (Nuove proprietà di registro di sistema), inserisci le impostazioni seguenti e scegli OK:
- Azione
-
Update
- Hive
-
HKEY_CURRENT_USER
- Path
-
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\
<alias>
Il valore per
<alias>
è derivato dal tuo accessoURL. Se il tuo accesso URL èhttps://examplecorp.awsapps.com
, l'alias èexamplecorp
e la chiave di registro saràSoftware\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp
. - Value name (Nome valore)
-
https
- Value type (Tipo di valore)
-
REG_DWORD
- Value data (Dati valore)
-
1
-
-
Per abilitare lo scripting attivo, segui la procedura seguente:
-
Nello strumento Group Policy Management, accedi al tuo dominio, seleziona Oggetti di policy di gruppo, apri il menu contestuale (fai clic con il pulsante destro del mouse) relativo alla policy IAM dell'Identity Center e scegli Modifica.
-
Nella struttura della policy, passa a Computer Configuration (Configurazione computer) > Policies (Policy) > Administrative Templates (Modelli amministrativi) > Windows Components (Componenti di Windows) > Internet Explorer > Internet Control Panel (Pannello di controllo Internet) > Security Page (Pagina protezione) > Intranet Zone (Area Intranet).
-
Nell'elenco Intranet Zone (Area Intranet), apri il menu contestuale (pulsante destro del mouse) per Allow active scripting (Consenti scripting attivo) e scegli Modifica (Edit).
-
Nella finestra di dialogo Allow active scripting (Consenti scripting attivo), inserisci le impostazioni seguenti e scegli OK:
-
Seleziona il pulsante di opzione Enabled (Abilitato).
-
In Options (Opzioni) imposta Allow active scripting (Consenti scripting attivo) su Enable (Abilita).
-
-
-
Per abilitare l'accesso automatico, segui la procedura seguente:
-
Nello strumento Group Policy Management, accedi al tuo dominio, seleziona Oggetti Policy di gruppo, apri il menu contestuale (fai clic con il pulsante destro del mouse) per la tua SSO politica e scegli Modifica.
-
Nella struttura della policy, passa a Computer Configuration (Configurazione computer) > Policies (Policy) > Administrative Templates (Modelli amministrativi) > Windows Components (Componenti di Windows) > Internet Explorer > Internet Control Panel (Pannello di controllo Internet) > Security Page (Pagina protezione) > Intranet Zone (Area Intranet).
-
Nell'elenco Intranet Zone (Area Intranet), apri il menu contestuale (pulsante destro del mouse) per Logon options (Opzioni di accesso) e scegli Modifica (Edit).
-
Nella finestra di dialogo Logon options (Opzioni di accesso), inserisci le impostazioni seguenti e scegli OK:
-
Seleziona il pulsante di opzione Enabled (Abilitato).
-
In Options (Opzioni) imposta Logon options (Opzioni di accesso) su Automatic logon only in Intranet zone (Accesso automatico solo nell'area Intranet).
-
-
-
Per abilitare l'autenticazione integrata, segui la procedura seguente:
-
Nello strumento Group Policy Management, accedi al tuo dominio, seleziona Oggetti Policy di gruppo, apri il menu contestuale (fai clic con il pulsante destro del mouse) per la politica IAM dell'Identity Center e scegli Modifica.
-
Nella struttura della policy, seleziona User Configuration (Configurazione utente) > Preferences (Preferenze) > Windows Settings (Impostazioni di Windows).
-
Nell'elenco Windows Settings (Impostazioni di Windows), apri il menu contestuale (pulsante destro del mouse) per Registry (Registro di sistema) e seleziona New registry item (Nuovo elemento di registro di sistema).
-
Nella finestra di dialogo New Registry Properties (Nuove proprietà di registro di sistema), inserisci le impostazioni seguenti e scegli OK:
- Azione
-
Update
- Hive
-
HKEY_CURRENT_USER
- Path
-
Software\Microsoft\Windows\CurrentVersion\Internet Settings
- Value name (Nome valore)
-
EnableNegotiate
- Value type (Tipo di valore)
-
REG_DWORD
- Value data (Dati valore)
-
1
-
-
Chiudi la finestra Group Policy Management Editor (Editor gestione di Group Policy) se è ancora aperta.
-
Assegna la nuova policy al tuo dominio seguendo questa procedura:
-
Nell'albero di Group Policy Management, apri il menu contestuale (fai clic con il pulsante destro del mouse) per il tuo dominio e scegli Collega un esistente GPO.
-
Nell'elenco Oggetti della politica di gruppo, seleziona la politica IAM dell'Identity Center e scegli OK.
-
Queste modifiche diventeranno effettive dopo l'aggiornamento successivo della policy di gruppo sul client, oppure all'accesso successivo da parte dell'utente.
Accesso con autenticazione unica per Firefox
Per consentire al browser Mozilla Firefox di supportare il single sign-on, aggiungi il tuo accesso URL (ad esempio, https://<alias>
.awsapps.com) all'elenco dei siti approvati per il single sign-on. Puoi eseguire questa operazione manualmente oppure in maniera automatizzata con uno script.
Argomenti
Aggiornamento manuale dell'accesso con autenticazione unica
Per aggiungere manualmente l'accesso URL all'elenco dei siti approvati in Firefox, procedi nel seguente modo sul computer client.
Per aggiungere manualmente l'accesso URL all'elenco dei siti approvati in Firefox
-
Apri Firefox e apri la pagina
about:config
. -
Apri la
network.negotiate-auth.trusted-uris
preferenza e aggiungi il tuo accesso URL all'elenco dei siti. Utilizza una virgola (,) per separare più voci.
Aggiornamento automatico dell'accesso con autenticazione unica
In qualità di amministratore di dominio, puoi utilizzare uno script per aggiungere l'accesso URL alle preferenze network.negotiate-auth.trusted-uris
utente di Firefox su tutti i computer della tua rete. Per ulteriori informazioni, visita https://support.mozilla. org/en-US/questions/939037