Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Abilitazione del Single Sign-On per Managed AWS Microsoft AD
<a name="ms_ad_single_sign_on"></a>

AWS Directory Service offre la possibilità di consentire agli utenti di accedere WorkDocs da un computer aggiunto alla directory senza dover inserire le proprie credenziali separatamente. 

Prima di abilitare l'accesso single sign-on, è necessario eseguire operazioni aggiuntive per abilitare il browser Web dei tuoi utenti a supportare l'accesso single sign-on. Gli utenti potrebbero dover modificare le proprie impostazioni del browser Web per abilitare l'accesso single sign-on. 

**Nota**  
L'accesso single sign-on funziona solo quando viene utilizzato su un computer collegato alla directory Directory Service e non può essere utilizzato sui computer che non sono collegati alla directory.

Se la directory è una directory del connettore AD e l'account del servizio Connettore AD non dispone dell'autorizzazione per aggiungere o rimuovere l'attributo nome dell'entità servizio, per i passaggi 5 e 6 seguenti sono disponibili due opzioni:

1. È possibile procedere e verrà richiesto il nome utente e la password per un utente di directory che dispone di questa autorizzazione per aggiungere o rimuovere l'attributo nome dell'entità servizio nell'account del servizio Connettore AD. Queste credenziali vengono utilizzate solo per abilitare l'accesso single sign-on e non vengono archiviate dal servizio. Le autorizzazioni dell'account del servizio Connettore AD non vengono modificate.

1. Puoi delegare le autorizzazioni per consentire all'account del servizio AD Connector di aggiungere o rimuovere l'attributo del nome principale del servizio su se stesso, puoi eseguire i PowerShell comandi seguenti da un computer aggiunto al dominio utilizzando un account che dispone delle autorizzazioni per modificare le autorizzazioni sull'account del servizio AD Connector. Il comando seguente darà all'account del servizio Connettore AD la possibilità di aggiungere e rimuovere un attributo nome dell'entità servizio solo per se stesso.

```
$AccountName = 'ConnectorAccountName'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$RootDse = Get-ADRootDSE
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting AD Connector service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AclPath = $AccountProperties.DistinguishedName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for AD Connector service account.
$ObjectAcl = Get-ACL -Path "AD:\$AclPath"
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
```

**Per abilitare o disabilitare il single sign-on con WorkDocs**

1. Nel riquadro di navigazione della [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleziona **Directory**.

1. Nella pagina **Directories** (Directory), scegli l'ID della directory.

1. Nella pagina **Directory details (Dettagli della directory)**, seleziona la scheda **Application management (Gestione dell'applicazione)**.

1. Nella sezione **URL di accesso all'applicazione**, scegli **Abilita per abilitare** il single sign-on per. WorkDocs 

   Se non visualizzi il pulsante **Enable (Abilita)**, potresti dover creare un URL di accesso prima che questa opzione venga visualizzata. Per ulteriori informazioni su come creare un URL di accesso, consulta [Creazione di un URL di accesso per AWS Managed Microsoft AD](ms_ad_create_access_url.md). 

1. Nella finestra di dialogo **Enable Single Sign-On for this directory (Abilita accesso single sign-on per questa directory)** scegli **Enable (Abilita)**. L'accesso single sign-on è abilitato per la directory. 

1. **Se in seguito desiderate disabilitare il Single Sign-On con WorkDocs, scegliete **Disabilita, quindi nella finestra di dialogo Disabilita** **il Single Sign-On per questa directory**, scegliete nuovamente Disabilita.** 

**Topics**
+ [Accesso con autenticazione unica per IE e Chrome](#ie_sso)
+ [Accesso con autenticazione unica per Firefox](#firefox_sso)

## Accesso con autenticazione unica per IE e Chrome
<a name="ie_sso"></a>

Per permettere ai browser Internet Explorer (IE) e Google Chrome di Microsoft di supportare l'accesso single sign-on, è necessario eseguire le attività seguenti sul computer client:
+ Aggiungi il tuo URL di accesso (ad esempio, https://*<alias>*.awsapps.com) all'elenco dei siti approvati per il Single Sign-On.
+ Abilita lo scripting attivo (). JavaScript
+ Permetti l'accesso automatico.
+ Abilita l'autenticazione integrata.

Tu o i tuoi utenti potete eseguire queste attività manualmente oppure potete modificare queste impostazioni usando le impostazioni delle policy di gruppo.

**Topics**
+ [Aggiornamento manuale per l'accesso con autenticazione unica su Windows](#ie_sso_manual_windows)
+ [Aggiornamento manuale per l'accesso con autenticazione unica su OS X](#chrome_sso_manual_mac)
+ [Impostazioni delle policy di gruppo per l'accesso con autenticazione unica](#ie_sso_gpo)

### Aggiornamento manuale per l'accesso con autenticazione unica su Windows
<a name="ie_sso_manual_windows"></a>

Per abilitare manualmente l'accesso single sign-on su un computer Windows, esegui la procedura seguente sul computer client. Alcune di queste impostazioni possono essere già impostate correttamente.

**Abilitazione manuale dell'accesso single sign-on per Internet Explorer e Chrome su Windows**

1. Per aprire la finestra di dialogo **Internet Properties (Proprietà Internet)**, seleziona il menu **Start**, digita `Internet Options` nella casella di ricerca e seleziona **Internet Options (Opzioni Internet)**.

1. Aggiungi il tuo URL di accesso all'elenco dei siti approvati per l'accesso single sign-on eseguendo le fasi seguenti:

   1. Nella finestra di dialogo **Internet Properties (Proprietà Internet)**, seleziona la scheda **Security (Sicurezza)**.

   1. Seleziona **Local Intranet (Intranet locale)** e scegli **Sites (Siti)**.

   1. Nella finestra di dialogo **Local intranet (Intranet locale)** scegli **Advanced (Opzioni avanzate)**.

   1. Aggiungi il tuo URL di accesso all'elenco di siti Web e scegli **Close (Chiudi)**.

   1. Nella finestra di dialogo **Local intranet (Intranet locale)** scegli **OK**.

1. Per abilitare lo scripting attivo, segui la procedura seguente:

   1. Nella scheda **Security (Sicurezza)** della finestra di dialogo **Internet Properties (Proprietà Internet)**, scegli **Custom level (Livello personalizzato)**.

   1. Nella finestra di dialogo **Security Settings - Local Intranet Zone (Impostazioni di sicurezza - Area Intranet locale)**, scorri verso il basso a **Scripting** e seleziona **Enable (Abilita)** sotto **Active scripting (Scripting attivo)**.

   1. Nella finestra di dialogo **Security Settings - Local Intranet Zone (Impostazioni di sicurezza - Area Intranet locale)** scegli **OK**.

1. Per abilitare l'accesso automatico, segui la procedura seguente:

   1. Nella scheda **Security (Sicurezza)** della finestra di dialogo **Internet Properties (Proprietà Internet)**, scegli **Custom level (Livello personalizzato)**.

   1. Nella finestra di dialogo **Security Settings - Local Intranet Zone (Impostazioni di sicurezza - Area Intranet locale)**, scorri verso il basso a **User Authentication (Autenticazione utenti)** e seleziona **Automatic logon only in Intranet zone (Accesso automatico solo in area intranet)** sotto **Logon (Accesso)**. 

   1. Nella finestra di dialogo **Security Settings - Local Intranet Zone (Impostazioni di sicurezza - Area Intranet locale)** scegli **OK**.

   1. Nella finestra di dialogo **Security Settings - Local Intranet Zone (Impostazioni di sicurezza - Area Intranet locale)** scegli **OK**.

1. Per abilitare l'autenticazione integrata, segui la procedura seguente:

   1. Nella finestra di dialogo **Internet Properties (Proprietà Internet)**, seleziona la scheda **Advanced (Opzioni avanzate)**.

   1. Scorri verso il basso a **Security (Sicurezza)** e seleziona **Enable Integrated Windows Authentication (Abilita autenticazione di Windows integrata)**.

   1. Nella finestra di dialogo **Internet Properties (Proprietà Internet)** scegli **OK**.

1. Chiudi e riapri il browser perché queste modifiche diventino effettive.

### Aggiornamento manuale per l'accesso con autenticazione unica su OS X
<a name="chrome_sso_manual_mac"></a>

Per abilitare manualmente l'accesso single sign-on a Chrome su OS X, esegui la procedura seguente sul computer client. Dovrai disporre di diritti di amministratore sul tuo computer per completare questa procedura.

**Abilitazione manuale dell'accesso single sign-on a Chrome su OS X**

1. Aggiungete l'URL di accesso alla [AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist)policy eseguendo il comando seguente:

   ```
   defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com"
   ```

1. Apri **System Preferences (Preferenze di sistema)**, vai al pannello **Profiles (Profili)** ed elimina il profilo `Chrome Kerberos Configuration`. 

1. Riavvia Chrome e apri chrome://policy in Chrome per confermare che le nuove impostazioni siano effettive.

### Impostazioni delle policy di gruppo per l'accesso con autenticazione unica
<a name="ie_sso_gpo"></a>

L'amministratore di dominio può implementare le impostazioni delle policy di gruppo per effettuare le modifiche dell'accesso single sign-on su computer client collegati al dominio.

**Nota**  
Se gestisci i browser web Chrome sui computer del tuo dominio con i criteri di Chrome, devi aggiungere il tuo URL di accesso alla [AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist)politica. Per ulteriori informazioni su come impostare le policy di Chrome, vai all'argomento relativo alle [Impostazioni delle policy in Chrome](https://source.chromium.org/chromium/chromium/src/+/main:docs/enterprise/add_new_policy.md).

**Abilitazione manuale dell'accesso single sign-on per Internet Explorer e Chrome utilizzando le impostazioni delle policy di gruppo**

1. Crea un nuovo oggetto Group Policy seguendo questa procedura:

   1. Apri lo strumento di gestione di Group Policy, vai al tuo dominio e seleziona **Group Policy Objects (Oggetti Group Policy)**.

   1. Dal menu principale, seleziona **Action (Operazione)** e quindi **New (Nuovo)**.

   1. Nella finestra di dialogo **New GPO (Nuovo GPO)** digita un nome descrittivo per l'oggetto Group Policy, ad esempio `IAM Identity Center Policy` e lascia **Source Starter GPO (GPO Starter di origine)** impostato su **(none) (nessuno)**. Fai clic su **OK**.

1. Aggiungi l'URL di accesso all'elenco dei siti approvati per l'accesso single sign-on eseguendo la procedura seguente:

   1. Nello strumento di gestione di policy di gruppo, vai al tuo dominio, seleziona **Oggetti di policy di gruppo**, apri il menu contestuale (pulsante destro del mouse) per la tua policy Centro identità IAM e scegli **Modifica**.

   1. Nella struttura della policy, seleziona **User Configuration (Configurazione utente)** > **Preferences (Preferenze)** > **Windows Settings (Impostazioni di Windows)**.

   1. Nell'elenco **Windows Settings (Impostazioni di Windows)**, apri il menu contestuale (pulsante destro del mouse) per **Registry (Registro di sistema)** e seleziona **New registry item (Nuovo elemento di registro di sistema)**.

   1. Nella finestra di dialogo **New Registry Properties (Nuove proprietà di registro di sistema)**, inserisci le impostazioni seguenti e scegli **OK**:  
**Azione**  
`Update`  
**Hive**  
`HKEY_CURRENT_USER`  
**Path**  
`Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>`  
Il valore per *<alias>* è derivato dal tuo URL di accesso. Se il tuo URL di accesso è `https://examplecorp.awsapps.com`, l'alias è `examplecorp` e la chiave di registro sarà `Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp`.  
**Value name (Nome valore)**  
`https`  
**Value type (Tipo di valore)**  
`REG_DWORD`  
**Value data (Dati valore)**  
`1`

1. Per abilitare lo scripting attivo, segui la procedura seguente:

   1. Nello strumento di gestione di policy di gruppo, vai al tuo dominio, seleziona **Oggetti di policy di gruppo**, apri il menu contestuale (pulsante destro del mouse) per la tua policy Centro identità IAM e scegli **Modifica**.

   1. Nella struttura della policy, passa a **Computer Configuration (Configurazione computer)** > **Policies (Policy)** > **Administrative Templates (Modelli amministrativi)** > **Windows Components (Componenti di Windows)** > **Internet Explorer** > **Internet Control Panel (Pannello di controllo Internet)** > **Security Page (Pagina protezione)** > **Intranet Zone (Area Intranet)**.

   1. Nell'elenco **Intranet Zone (Area Intranet)**, apri il menu contestuale (pulsante destro del mouse) per **Allow active scripting (Consenti scripting attivo)** e scegli **Modifica (Edit)**.

   1. Nella finestra di dialogo **Allow active scripting (Consenti scripting attivo)**, inserisci le impostazioni seguenti e scegli **OK**:
      + Seleziona il pulsante di opzione **Enabled (Abilitato)**.
      + In **Options (Opzioni)** imposta **Allow active scripting (Consenti scripting attivo)** su **Enable (Abilita)**.

1. Per abilitare l'accesso automatico, segui la procedura seguente:

   1. Nello strumento di gestione di Group Policy, passa al tuo dominio, seleziona Group Policy Objects (Oggetti Group Policy), apri il menu contestuale (pulsante destro del mouse) della policy SSO e scegli **Edit (Modifica)**.

   1. Nella struttura della policy, passa a **Computer Configuration (Configurazione computer)** > **Policies (Policy)** > **Administrative Templates (Modelli amministrativi)** > **Windows Components (Componenti di Windows)** > **Internet Explorer** > **Internet Control Panel (Pannello di controllo Internet)** > **Security Page (Pagina protezione)** > **Intranet Zone (Area Intranet)**.

   1. Nell'elenco **Intranet Zone (Area Intranet)**, apri il menu contestuale (pulsante destro del mouse) per **Logon options (Opzioni di accesso)** e scegli **Modifica (Edit)**.

   1. Nella finestra di dialogo **Logon options (Opzioni di accesso)**, inserisci le impostazioni seguenti e scegli **OK**:
      + Seleziona il pulsante di opzione **Enabled (Abilitato)**.
      + In **Options (Opzioni)** imposta **Logon options (Opzioni di accesso)** su **Automatic logon only in Intranet zone (Accesso automatico solo nell'area Intranet)**.

1. Per abilitare l'autenticazione integrata, segui la procedura seguente:

   1. Nello strumento di gestione di policy di gruppo, vai al tuo dominio, seleziona **Oggetti di policy di gruppo**, apri il menu contestuale (pulsante destro del mouse) per la tua policy Centro identità IAM e scegli **Modifica**.

   1. Nella struttura della policy, seleziona **User Configuration (Configurazione utente)** > **Preferences (Preferenze)** > **Windows Settings (Impostazioni di Windows)**.

   1. Nell'elenco **Windows Settings (Impostazioni di Windows)**, apri il menu contestuale (pulsante destro del mouse) per **Registry (Registro di sistema)** e seleziona **New registry item (Nuovo elemento di registro di sistema)**.

   1. Nella finestra di dialogo **New Registry Properties (Nuove proprietà di registro di sistema)**, inserisci le impostazioni seguenti e scegli **OK**:  
**Azione**  
`Update`  
**Hive**  
`HKEY_CURRENT_USER`  
**Path**  
`Software\Microsoft\Windows\CurrentVersion\Internet Settings`  
**Value name (Nome valore)**  
`EnableNegotiate`  
**Value type (Tipo di valore)**  
`REG_DWORD`  
**Value data (Dati valore)**  
`1`

1. Chiudi la finestra **Group Policy Management Editor** (Editor gestione di Group Policy) se è ancora aperta.

1. Assegna la nuova policy al tuo dominio seguendo questa procedura:

   1. Nella struttura di gestione di Group Policy, apri il menu contestuale (pulsante destro del mouse) del tuo dominio e scegli **Link an Existing GPO (Collega un GPO esistente)**.

   1. Nell'elenco **Oggetti policy di gruppo**, seleziona la policy Centro identità IAM e scegli **OK**.

Queste modifiche diventeranno effettive dopo l'aggiornamento successivo della policy di gruppo sul client, oppure all'accesso successivo da parte dell'utente.

## Accesso con autenticazione unica per Firefox
<a name="firefox_sso"></a>

Per consentire al browser Mozilla Firefox di supportare il single sign-on, aggiungi il tuo URL di accesso (ad esempio, https://*<alias>*.awsapps.com) all'elenco dei siti approvati per il Single Sign-On. Puoi eseguire questa operazione manualmente oppure in maniera automatizzata con uno script.

**Topics**
+ [Aggiornamento manuale dell'accesso con autenticazione unica](#firefox_sso_manual)
+ [Aggiornamento automatico dell'accesso con autenticazione unica](#firefox_sso_script)

### Aggiornamento manuale dell'accesso con autenticazione unica
<a name="firefox_sso_manual"></a>

Per aggiungere manualmente l'URL di accesso all'elenco dei siti approvati in Firefox, esegui la seguente procedura sul computer client.

**Aggiunta manuale dell'URL di accesso all'elenco dei siti approvati in Firefox**

1. Apri Firefox e apri la pagina `about:config`.

1. Apri la preferenza `network.negotiate-auth.trusted-uris` e aggiungi il tuo URL di accesso all'elenco dei siti. Utilizza una virgola (,) per separare più voci.

### Aggiornamento automatico dell'accesso con autenticazione unica
<a name="firefox_sso_script"></a>

In qualità di amministratore di dominio, puoi utilizzare uno script per aggiungere l'URL di accesso alla preferenza utente `network.negotiate-auth.trusted-uris` di Firefox su tutti i computer della rete. [Per ulteriori informazioni, visita https://support.mozilla. org/en-US/questions/939037](https://support.mozilla.org/en-US/questions/939037).