Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Single Sign-On (SSO) for Linux è basato su Microsoft Identity Broker, un componente software che integra i dispositivi Linux con Microsoft Entra ID. Questa soluzione consente agli utenti di eseguire l'autenticazione una sola volta con le credenziali dell'ID Microsoft Entra e accedere a più applicazioni e risorse senza richieste di autenticazione ripetute. La funzionalità semplifica il processo di accesso per gli utenti e riduce il sovraccarico di gestione delle password per gli amministratori.
Features
Questa funzionalità consente agli utenti nei client desktop Linux di registrare i propri dispositivi con Microsoft Entra ID, registrarsi nella gestione di Intune e soddisfare i criteri di accesso condizionale basati su dispositivo quando accedono alle risorse aziendali.
- Fornisce registrazione e iscrizione di Microsoft Entra ID per desktop Linux
- Offre funzionalità SSO per applicazioni native e Web (ad esempio, interfaccia della riga di comando di Azure, Microsoft Edge, Teams PWA) per accedere alle risorse protette di Microsoft 365 e Azure
- Fornisce l'accesso SSO per gli account Microsoft Entra tra applicazioni che usano MSAL per .NET o MSAL per Python, consentendo ai clienti di usare Microsoft Authentication Library (MSAL) per integrare l'accesso SSO in app personalizzate
- Abilita i criteri di accesso condizionale che proteggono le applicazioni Web tramite Microsoft Edge
- Abilita i criteri di conformità standard di Intune
- Abilita il supporto per gli script Bash per i criteri di conformità personalizzati
L'applicazione Web teams e un'app Web progressiva (PWA) per Linux usano la configurazione dell'accesso condizionale applicata tramite Microsoft Intune per consentire agli utenti Linux di accedere a Teams tramite Microsoft Edge.
Prerequisiti
Sistemi operativi supportati
L'accesso Single Sign-On di Microsoft per Linux è supportato nei sistemi operativi seguenti (computer fisici o Hyper-V con CPU x86/64):
- Ubuntu Desktop 24.04 LTS (supporto a lungo termine)
- Ubuntu Desktop 22.04 LTS (supporto a lungo termine)
- Red Hat Enterprise Linux 8 (supporto a lungo termine)
- Red Hat Enterprise Linux 9 (supporto a lungo termine)
Requisiti di sistema
- Connettività Internet per l'installazione dei pacchetti e la comunicazione Microsoft Entra ID
- Privilegi amministrativi per l'installazione
- Ambiente desktop (GNOME, KDE o simile)
Requisiti di Microsoft Entra ID
- Tenant di Microsoft Entra ID
- Account utente sincronizzati con o creati in Microsoft Entra ID
- Licenze appropriate per i criteri di accesso condizionale (se applicabile)
Esperienza SSO
L'animazione seguente mostra l'esperienza di accesso per i flussi negoziati in Linux.
Uso dell'autenticazione password in Linux, come illustrato nell'animazione seguente.
Annotazioni
microsoft-identity-broker La versione 2.0.1 e le versioni precedenti non supportano attualmente la conformità FIPS.
Installation
Eseguire i seguenti comandi in un prompt dei comandi per installare manualmente il Single Sign-On di Microsoft (microsoft-identity-broker) e le relative dipendenze sul tuo dispositivo.
Installare Curl.
sudo apt install curl gpgInstallare la chiave di firma del pacchetto Microsoft.
curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg sudo install -o root -g root -m 644 microsoft.gpg /usr/share/keyrings rm microsoft.gpgAggiungere e aggiornare Il repository Microsoft Linux all'elenco dei repository di sistema.
sudo sh -c 'echo "deb [arch=amd64 signed-by=/usr/share/keyrings/microsoft.gpg] https://packages.microsoft.com/ubuntu/$(lsb_release -rs)/prod $(lsb_release -cs) main" >> /etc/apt/sources.list.d/microsoft-ubuntu-$(lsb_release -cs)-prod.list' sudo apt updateInstallare l'app Microsoft Single Sign-On (microsoft-identity-broker).
sudo apt install microsoft-identity-brokerRiavvia il dispositivo.
Aggiornare Microsoft Identity Broker
Eseguire i comandi seguenti per aggiornare manualmente Microsoft Identity Broker.
Aggiornare il repository e i metadati del pacchetto.
sudo apt updateAggiornare il pacchetto di Microsoft Identity Broker.
sudo apt upgrade microsoft-identity-broker
Disinstallare Microsoft Identity Broker
Eseguire i comandi seguenti per disinstallare Microsoft Identity Broker e rimuovere i dati di configurazione locali.
Rimuovere Microsoft Identity Broker dal sistema.
sudo apt remove microsoft-identity-brokerRimuovere i dati di configurazione locale.
sudo apt purge intune-portal sudo apt purge microsoft-identity-broker
Avviso
Si noti che la disinstallazione di Microsoft Identity Broker non annulla automaticamente la registrazione del dispositivo da Microsoft Entra ID, né annulla la registrazione del dispositivo dalla gestione di Intune. Per rimuovere la registrazione del dispositivo, è possibile usare lo strumento dsregcmd o rimuovere il dispositivo dal portale microsoft Entra ID.
Annullare la registrazione del dispositivo con dsregc
Con il rilascio della versione 2.5.x di microsoft-identity-broker, abbiamo incluso una nuova utilità denominata dsreg strumento che consente di gestire la registrazione del dispositivo con Microsoft Entra ID.
Per annullare la registrazione del dispositivo da Microsoft Entra ID usando lo dsreg strumento, eseguire il comando seguente nel terminale, sostituendo <tenant-guid> con il GUID del tenant microsoft Entra ID:
sudo dsreg --tenant-id <tenant-guid> --unregister
Se il sistema entra in uno stato non valido e si desidera pulire tutti i dati di registrazione locali e il materiale della chiave, è possibile usare l'opzione --cleanup con lo strumento dsreg. Questa modalità di utilità è utile negli scenari in cui si vuole assicurarsi che tutte le tracce locali di Microsoft Identity Broker vengano rimosse dal dispositivo, ad esempio durante la risoluzione dei problemi o la preparazione del dispositivo per un nuovo utente.
Per annullare la registrazione e rimuovere qualsiasi materiale della chiave usando lo strumento dsreg, eseguire il comando seguente nel terminale:
# Clean broker state including certificates (requires sudo)
sudo dsreg --cleanup
Avviso
L'opzione --cleanup è irreversibile e rimuove tutto il materiale della chiave dal dispositivo. Usare con cautela.
Abilitazione di Phish-Resistant MFA (PRMFA) nei dispositivi Linux
A partire dalla versione 2.0.2 di microsoft-identity-broker, Phish-Resistant MFA (PRMFA) è supportato nei dispositivi Linux usando:
- Smartcard
- Autenticazione basata su certificati (CBA)
- Token USB contenenti un applet PIV/Smartcard
L'integrazione della smart card è supportata solo nelle distribuzioni seguenti:
- Ubuntu Desktop 24.04 LTS (supporto a lungo termine)
- Ubuntu Desktop 22.04 LTS (supporto a lungo termine)
- Red Hat Enterprise Linux 10 (supporto a lungo termine)
L'autenticazione client basata su certificati viene implementata tramite il protocollo TLS/SSL (Secure Sockets Layer). In questo processo, il client firma un blocco di dati generato in modo casuale con la relativa chiave privata, quindi trasmette sia il certificato che i dati firmati al server. Il server controlla la firma e convalida il certificato prima di concedere l'accesso.
Il modo più semplice per configurare Certificate-Based Authentication (CBA) consiste nell'usare una soluzione PKI (Private Key Infrastructure) che rilascia i certificati utente ai dispositivi Linux. Questi certificati possono quindi essere usati per l'autenticazione con Microsoft Entra ID. Per configurare Linux per accettare questi certificati per l'autenticazione, in genere è necessario configurare gli archivi certificati appropriati e assicurarsi che i meccanismi di autenticazione del sistema siano configurati per l'uso di questi certificati.
Autenticazione tramite smart card
L'autenticazione tramite smart card estende i metodi basati su certificati introducendo un token fisico che archivia i certificati utente. Quando la scheda viene inserita in un lettore, il sistema recupera i certificati ed esegue la convalida.
La configurazione del supporto per smart card comporta la configurazione delle librerie e dei moduli necessari per abilitare l'autenticazione basata su certificati usando token fisici. Sono disponibili diverse soluzioni smart card, ad esempio YubiKey, che possono essere integrate con varie distribuzioni Linux. Per istruzioni sulle due piattaforme supportate, vedere la documentazione sulla distribuzione:
- Configurazione di Ubuntu SmartCard
- Configurazione di Red Hat Enterprise Linux SmartCard
- Configurazione di YubiKey SmartCard
- Configurazione di Smart Card OpenSC
- Informazioni di riferimento sulla configurazione di PKCS#11
Configurazione di smart card di esempio
La procedura seguente configura un esempio di riferimento dell'uso dell'integrazione del bridge YubiKey/Edge, ma è possibile configurare altri provider di smart card in modo analogo. Si tratta solo di una configurazione di esempio e la configurazione può variare in base al provider. Per istruzioni di configurazione specifiche, vedere la documentazione del provider di smart card.
Installare i driver smart card e il supporto di YubiKey:
sudo apt install pcscd yubikey-managerInstallare i componenti di YubiKey/Edge Bridge:
sudo apt install opensc libnss3-tools opensslConfigurare il database del servizio di sicurezza di rete (NSS) per l'utente corrente:
mkdir -p $HOME/.pki/nssdb chmod 700 $HOME/.pki chmod 700 $HOME/.pki/nssdb modutil -force -create -dbdir sql:$HOME/.pki/nssdb modutil -force -dbdir sql:$HOME/.pki/nssdb -add 'SC Module' -libfile /usr/lib/x86_64-linux-gnu/pkcs11/opensc-pkcs11.so
Contenuto correlato
Per altre informazioni, vedere la documentazione di Intune seguente: