Deployment
Deployment
Breadcrumbs

Single Sign-On con Entra ID

Il Single Sign-On (SSO) con Microsoft Entra ID (precedentemente Azure AD) consente agli utenti del Desktop Client di autenticarsi automaticamente con il proprio computer associato al dominio. Questo metodo offre un'esperienza di accesso silenziosa e senza interruzioni basandosi sull'identità del sistema operativo, senza richiedere alcuna azione da parte dell'utente. Rispetto all'autenticazione Windows integrata (IWA), l'SSO di Entra ID sfrutta la moderna gestione delle identità basata sul cloud, rendendolo particolarmente adatto per ambienti ibridi o cloud-first.

Prerequisiti:

  • MyQ Print Server 10.2 patch 6+

  • Dispositivi client con sistema operativo Windows. I dispositivi macOS non supportano l'SSO con Entra ID.

  • I dispositivi devono essere collegati a Entra ID, AD o in modalità ibrida

  • Un tenant Microsoft Entra con autorizzazioni per la registrazione delle applicazioni aziendali

  • Per utilizzare l'SSO silenzioso con Entra ID nel Desktop Client, è necessario abilitare "Accedi con Microsoft" per il server di autenticazione in MyQ Print Server, Impostazioni – Server di autenticazione.

Panoramica della configurazione

Per abilitare l'SSO con Entra ID, creare una connessione Microsoft Entra ID in MyQ.
Questa connessione si collega a un'applicazione aziendale (entità di servizio) nel proprio tenant, che concede a MyQ l'autorizzazione ad accedere alle identità degli utenti tramite Microsoft Graph.

È possibile:

  • Consentire a MyQ di creare automaticamente l'applicazione aziendale quando si crea la connessione, oppure

  • Creare manualmente l'applicazione nel proprio tenant prima di collegarla.

Per i passaggi dettagliati della configurazione, vedere Set Up Entra ID with Microsoft Graph API.

Esperienza di accesso dell'utente

All'avvio, il Desktop Client tenta un accesso silenzioso utilizzando le credenziali dell'account del sistema operativo:

  1. Il client richiede un token a Entra ID.

  2. Se il dispositivo è correttamente associato al dominio, l'autenticazione avviene in background.

  3. L'utente accede senza dover inserire le proprie credenziali.

Questo processo utilizza l'autenticazione basata su token e si affida interamente all'infrastruttura di identità del sistema operativo.

Comportamento di fallback

Se l'autenticazione Entra ID fallisce, il metodo di autenticazione del Desktop Client passa automaticamente a:

  1. IWA, se abilitato

  2. Accesso manuale con MyQ

È inoltre possibile abilitare l'accesso silenzioso con IWA. Se sono abilitati sia l'SSO con Entra ID che IWA, viene utilizzato prima Entra ID, con ripiego su IWA.

Best practice

  • Utilizzare l'SSO di Entra ID in ambienti moderni o ibridi per un'autenticazione senza soluzione di continuità basata sul cloud.

  • Abilitare IWA come soluzione di fallback laddove sia necessario il supporto legacy on-premises.

  • Assicurarsi che i dispositivi siano correttamente collegati a Entra ID, AD o Hybrid, altrimenti l'accesso silenzioso non andrà a buon fine.