Come possiamo aiutarvi oggi?

Configurazione SAML Single Sign-On – Azure AD

Tu sei qui:
< Indietro

Panoramica del servizio SSO SAML di MyWorkDrive Azure AD

MyWorkDrive supporta il Single Sign On (SSO) di Web File Manager basato su SAML per Azure AD invece della tradizionale autenticazione di Active Directory per tutti gli accessi necessari.

Questo articolo illustra la configurazione di AzureAD/Entra SSO con un URL pubblico. Se desideri usare un URL interno, dovresti distribuire un gateway applicazione di Azure.

Per SAML, MyWorkDrive funge da provider di servizi (SP) mentre Azure AD funge da provider di identità (IDP). In uno scenario tipico, i clienti sincronizzano le proprie credenziali di Active Directory con Azure AD. Gli accessi utente sono impostati per utilizzare lo stesso suffisso upn per accedere ad Active Directory come in Azure AD (nella maggior parte dei casi si tratta dell'abbonamento Office 365 aziendale).

 

Accesso singolo per MyWorkDrive SAML di Azure AD

La configurazione utilizzando queste istruzioni consentirà di abilitare/applicare criteri di accesso condizionale per funzionalità in Azure AD come pre-autenticazione e MFA a questa applicazione aziendale.

 

Configurazione SAML di MyWorkDrive Azure AD

Prima che inizi:
Assicurati che il server MyWorkDrive sia attendibile per la delega secondo la nostra Articolo della delegazione

MyWorkDrive è elencato come applicazione aziendale approvata in Azure AD – Collegamento informazioni: https://azuremarketplace.microsoft.com/marketplace/apps/aad.myworkdrive?tab=Overview

Consulta le istruzioni nel tutorial di Microsoft e i collegamenti informativi qui:
https://docs.microsoft.com/azure/active-directory/saas-apps/myworkdrive-tutorial

Prerequisiti

  • Assicurati che agli utenti venga applicato un suffisso upn per il nome di dominio in modo che corrisponda al nome di accesso di Azure AD in modo che possano accedere al server MyWorkDrive con il proprio indirizzo e-mail (la maggior parte delle aziende sincronizza la propria Active Directory con la stessa directory di Azure AD utilizzata per accedere a Office 365) .
  • Assicurati che il server MyWorkDrive sia attendibile per la delega secondo la nostra Articolo della delegazione
  • Assicurati che il tuo server MyWorkDrive sia accessibile su Internet per l'accesso del client (web, dispositivo mobile, unità mappa). Abilita il connettore Web Cloud o imposta il tuo certificato SSL pubblico e il nome host che puntano al tuo server MyWorkDrive sulla porta 443 (SSL) Visualizza l'articolo di supporto.

Passaggi di configurazione

  • Accedi a Portal.azure.com come amministratore e connettiti al dominio Azure AD (se usi Office 365 questo è lo stesso account che usi per accedere a Portal.Office.com).
  • Fare clic su Azure Active Directory, Applicazioni aziendali – Nuova applicazione – Cerca “MyWorkDrive” – Aggiungi MyWorkDrive come app aziendale.

  • Fai clic su Single Sign-On dal menu a sinistra e scegli SAML (dovrai scegliere SAML solo la prima volta che inizi la configurazione)

 

  • Ignora la guida alla configurazione presentata nella parte superiore della pagina. Ciò è utile quando si configura un SSO da zero, ma offre passaggi non necessari quando si utilizza il modello fornito.

 

  • Inizia modificando le informazioni nella casella 1. Seleziona Modifica.

  • Accetta l'ID entità predefinito di "MyWorkDrive"
    È necessario modificare questa impostazione solo se sono presenti più server MyWorkDrive configurati in Azure AD poiché Azure AD richiede che ciascuna app aziendale abbia un ID entità univoco. Una volta modificato, deve essere modificato anche in modo che corrisponda al campo Nome fornitore di servizi della configurazione SSO nell'amministratore di MyWorkDrive. Riceverai un errore relativo alla mancata corrispondenza dell'ID entità all'accesso dell'utente se non è impostato correttamente.
  • Inserisci l'URL di risposta: questo sarà il nome host seguito da /SAML/AssertionConsumerService.aspx
    ad esempio: https://tuoserver.tuodominio.com/SAML/AssertionConsumerService.aspx
    Se intendi supportare più nomi di dominio per il server, ad esempio sia un connettore Web Cloud che un indirizzo di connessione diretta, assicurati di inserirli tutti come possibili URL di risposta/risposta.
  • Inserisci l'URL di accesso se gli utenti accederanno a MyWorkDrive direttamente (invece o in aggiunta all'accesso tramite il portale myapps.microsoft.com) con il nome host seguito da: /Account/login-saml
    ad esempio: https://tuoserver.tuodominio.com/Account/login-saml.
    Tieni presente che questo è tecnicamente facoltativo in quanto puoi mantenere un accesso tradizionale fornendo solo SSO come opzione, anche se molto spesso vorrai configurarlo in questo modo.
  • URL di disconnessione singolo. Se desideri utilizzare la disconnessione singola, imposta l'URL di disconnessione come https://tuoserver.tuodominio.com/SAML/SLOService.aspx
    Prendere nota delle informazioni aggiuntive riportate di seguito su come AzureAD gestisce la disconnessione singola.
  • Non è necessario inserire nulla nel campo Stato inoltro, lascialo vuoto.

 

  • Successivamente, rendi disponibile agli utenti il nuovo server MyWorkDrive. Solo gli utenti che effettivamente dispongono delle autorizzazioni per le condivisioni tramite NTFS e come configurato nelle autorizzazioni di condivisione in MyWorkDrive potranno accedere correttamente, indipendentemente da come abiliti l'accesso qui. Hai due opzioni: Consenti tutto OPPURE seleziona manualmente utenti specifici. Per consentire tutto, fare clic su Proprietà dal menu a sinistra, quindi impostare "Assegnazione utente richiesta" su No nel corpo. Questa è la configurazione più normale in quanto evita un'amministrazione duplicata. Aggiungi semplicemente gli utenti ad AD e i gruppi appropriati. Supponendo che tu stia sincronizzando il tuo AD locale con Azure AD, tali utenti saranno in grado di accedere al server MyWorkDrive e ottenere le condivisioni a cui è stata concessa l'autorizzazione come configurato in MyWorkDrive senza doverle assegnare uno per uno all'app Enterprise .O Assegna manualmente utenti e gruppi nel portale Azure Active Directory alla nuova app MyWorkDrive
    Seleziona utenti e gruppi dal menu a sinistra, quindi utilizza la voce Aggiungi utente/gruppo nella parte superiore dello schermo.
    Nota I gruppi di utenti del dominio non vengono sincronizzati con Azure AD per impostazione predefinita. Nella maggior parte dei casi, se assegni manualmente gli utenti, li assegnerai per nome.
  • Nella casella 3, copiare negli appunti l'URL dei metadati del certificato di firma della federazione dell'app. Non sono richieste altre modifiche nella casella 3, non è necessario apportare modifiche, basta copiare l'URL utilizzando l'icona di copia.

 

  • Ignora le caselle 4, 5 e 6. Come le istruzioni di configurazione sopra, questo è utile se stai configurando un SSO da zero: poiché queste istruzioni utilizzano il nostro modello, le azioni in quelle caselle non sono richieste.

  • Sul server MyWorkDrive nel pannello di amministrazione, sezione Enterprise, abilita SAML/ADFS SSO, scegli Azure AD SAML e incolla l'URL dei metadati della federazione delle app di Azure copiato dalla casella 3.
  • Facoltativamente, fare clic su "Richiedi accesso SSO" (questo reindirizzerà automaticamente tutte le connessioni all'accesso SAML di Azure AD).
    Se non selezioni Richiedi accesso SSO, gli utenti accederanno quando accederanno all'URL del server MyWorkDrive con l'accesso al dominio tradizionale e l'accesso ad Azure AD verrà utilizzato solo quando viene fatto clic come collegamento dal portale di Office o da MyApps.
  • Facoltativamente, selezionare Abilita disconnessione singola. Vedere la nota seguente su come viene gestita la disconnessione in AzureAD
  • Facoltativamente, se hai modificato l'ID entità nella casella 1 della configurazione di Azure AD, modifica il nome del provider di servizi in modo che corrisponda esattamente ciò che hai inserito nella configurazione di Azure AD.
  • Fare clic su Salva. Verranno automaticamente estratti il certificato SSL di Azure AD e le impostazioni.

Prova l'accesso

  • Suggeriamo di testare inizialmente con il browser web prima di procedere con il test degli altri client.
  • Potresti voler utilizzare un browser diverso da quello che usi abitualmente/accedi in modalità di navigazione privata OPPURE per convalidare l'esperienza di accesso di Azure AD e gli eventuali criteri di accesso condizionale per MFA che potresti aver applicato.
  • Se hai abilitato Richiedi accesso SSO, passa all'URL di accesso del tuo server, ad esempio https://yourserver.company.com e verrai reindirizzato a Azure AD SAML per accedere.
    Se non hai abilitato Richiedi accesso SSO, dovrai specificare l'URL di accesso SAML, ad esempio https://yourserver.company.com/account/login-saml.m
  • Accedi utilizzando Azure AD. Dopo aver effettuato correttamente l'accesso, l'utente di prova verrà reindirizzato al sito Web MyWorkDrive e verranno visualizzate le condivisioni file assegnate.
  • In alternativa, se stai assegnando utenti all'app in Azure AD, puoi accedere come utente assegnato a https://myapps.microsoft.com. Seleziona l'applicazione MyWorkDrive.

L'utente accede automaticamente al Web File Manager del browser MyWorkDrive.

Se, al momento dell'accesso, le condivisioni dell'utente sono presenti ma sono vuote quando si fa clic su di esse, ciò indica che la delega non è impostata correttamente. Fare riferimento all'articolo sulla configurazione della delega. Tieni presente che la propagazione delle modifiche alla delega può richiedere 15 minuti o più in AD. Nei casi di un AD di grandi dimensioni, sono state necessarie diverse ore affinché la delega si propagasse completamente.

 

Gli accessi SSO sono completamente compatibili con tutte le funzionalità di MyWorkDrive, incluso

  • tutti i client (Web, Web mobile, Windows Map Drive, Mac Map Drive, iOS, Android e Teams)
  • il connettore Web cloud
  • Modifica in ufficio locale dal client Web
  • e Luoghi in Mobile Office.

Disconnessione SAML

Azure Active Directory non supporta la disconnessione SAML. Lo SLO avviato da SP, in cui una richiesta di disconnessione SAML viene inviata ad Azure AD, non provoca la restituzione di una risposta di disconnessione. Azure AD visualizza invece un messaggio che indica che l'utente è disconnesso e che le finestre del browser devono essere chiuse. La disconnessione da Azure AD non comporta l'invio di una richiesta di disconnessione al provider di servizi. Azure AD non supporta la configurazione di un URL del servizio di disconnessione SAML per il provider di servizi.

Risoluzione dei problemi

  • Assicurati di utilizzare un browser per eseguire test in privato o in incognito per eliminare eventuali problemi di memorizzazione nella cache
  • Controlla attentamente che l'utente sia in grado di accedere senza SAML e che utilizzi un indirizzo email che corrisponda al suo UPN in Active Directory
  • L'utente riceve un errore: all'utente che ha effettuato l'accesso xxx@xxx.com non è assegnato un ruolo per l'applicazione, come indicato nelle note di configurazione precedenti: assegna un utente o un gruppo di cui è membro nel portale Azure Active Directory alla nuova app MyWorkDrive (Enterprise applicazioni – Tutte le applicazioni – MyWorkDrive – Single Sign-On (Accesso basato su SAML) utenti e gruppi o disabilitare l'assegnazione dell'utente richiesta impostandola su n.
  • Le cartelle vengono visualizzate come vuote dopo l'accesso dell'utente: assicurarsi che il server MyWorkDrive sia attendibile per la delega secondo la nostra Articolo della delegazione
  • L'utente riceve un errore: l'URL di risposta specificato nella richiesta non corrisponde all'URL di risposta configurato per l'applicazione: verificare che l'URL specificato in Azure AD SAML corrisponda all'indirizzo Web pubblico del server e se vengono utilizzati proxy inversi non vengono ri -scrivere l'URL. Inoltre, se utilizzi il tuo nome host, ad esempio https://tuoserver.tuodominio.com, assicurati di disabilitare MyWorkDrive Cloud Web Connect nelle impostazioni del tuo server MyWorkDrive (quando il Cloud Web Connector è abilitato presupponiamo che tu stia utilizzando il nostro *.myworkdrive .net e apportare modifiche all'URL di risposta per adattarlo).
  • Se ricevi più richieste MFA durante l'accesso, assicurati di disabilitare due fattori in MyWorkDrive Enterprise dopo aver abilitato Richiedi SSO. Se hai un requisito MFA in Azure AD, questo verrà chiamato come parte dell'accesso tramite Azure AD e non sono necessarie impostazioni in MyWorkDrive per abilitarlo.

 

Rinnovare il tuo certificato

Il certificato SSO emesso da Microsoft e utilizzato da MyWorkDrive per proteggere le comunicazioni tra Azure AD e il server MyWorkDrive scade periodicamente. Il valore predefinito è 3 anni, ma puoi scegliere un importo inferiore al momento della creazione.

Quando il tuo certificato sta per scadere, riceverai un'e-mail con alcune linee guida generali da Microsoft, ma grazie al lavoro di integrazione che abbiamo svolto per rendere Azure AD più semplice da distribuire, in realtà è più semplice di quanto descritto da Microsoft.

L'e-mail che riceverai contiene 5 passaggi.

 

Le due modifiche alle istruzioni riguardano

  • Elimina il vecchio certificato da Azure AD
  • Utilizza MyWorkDrive per scaricare il nuovo certificato, non è necessario posizionare manualmente il certificato

 

Dopo il passaggio 4,

Elimina il vecchio certificato in AzureAD.
Aggiornerai immediatamente MyWorkDrive nel passaggio successivo con quello nuovo, quindi rendi attivo quello nuovo (se non viene eseguito automaticamente) ed elimina quello vecchio poiché non è più necessario.
Sul certificato vecchio/inattivo, fai clic sul menu con tre punti sul bordo sinistro della riga del certificato e seleziona Elimina certificato.

Invece del passaggio 5

Ora, con un solo certificato visualizzato nella configurazione di MyWorkDrive Azure AD, salva la pagina Azure AD, quindi accedi al pannello di amministrazione di MyWorkDrive sul server MyWorkDrive e passa alla scheda Enterprise.

Conferma di avere Azure AD configurato e quindi salva la pagina.

 

MyWorkDrive utilizzerà la configurazione integrata di Azure AD per connettersi ad Azure AD e scaricare e aggiornare il certificato. Non è necessario posizionare manualmente il nuovo certificato nel file system o "Caricarlo su MyWorkDrive", MyWorkDrive se ne occuperà per te.

Il certificato SAML può essere archiviato in diverse posizioni a seconda della versione di MyWorkDrive e se hai abilitato il clustering.

 

Tieni presente che se ricevi un messaggio di errore su più certificati di firma pubblica, ciò indica che non sei riuscito a eliminare il vecchio certificato da Azure AD. Accedi nuovamente ad Azure AD e ricontrolla che il nuovo certificato sia stato reso attivo e che il vecchio certificato sia stato eliminato.

 

 

 

Configurazione SAML Single Sign-On – OktaCondivisione file di Outlook in linea