Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utilizzo di AWS Directory Service per Entra ID Domain Services
<a name="azure-sftp"></a>

 Per i clienti che necessitano solo di SFTP Transfer e non desiderano gestire un dominio, è disponibile Simple Active Directory. In alternativa, i clienti che desiderano i vantaggi di Active Directory e l'elevata disponibilità in un servizio completamente gestito possono utilizzare AWS Managed Microsoft AD. Infine, per i clienti che desiderano sfruttare la foresta Active Directory esistente per il trasferimento SFTP, è disponibile Active Directory Connector. 

Tenere presente quanto segue:
+ Per sfruttare la foresta Active Directory esistente per le esigenze di trasferimento SFTP, è possibile utilizzare [Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) Connector.
+ Se desideri i vantaggi di Active Directory e l'elevata disponibilità in un servizio completamente gestito, puoi utilizzare AWS Directory Service for Microsoft Active Directory. Per informazioni dettagliate, vedi [Utilizzo di AWS Directory Service per Microsoft Active Directory](directory-services-users.md).

Questo argomento descrive come usare un connettore Active Directory e i [servizi di dominio Entra ID (precedentemente Azure AD)](https://azure.microsoft.com/en-us/services/active-directory-ds/) per autenticare gli utenti di SFTP Transfer con Entra ID.

**Topics**
+ [Prima di iniziare a utilizzare AWS Directory Service per Entra ID Domain Services](#azure-prereq)
+ [Fase 1: aggiunta dei servizi di dominio Entra ID](#azure-add-adds)
+ [Fase 2: Creazione di un account di servizio](#azure-create-service-acct)
+ [Fase 3: Configurazione della AWS directory tramite AD Connector](#azure-setup-directory)
+ [Fase 4: Configurazione AWS Transfer Family del server](#azure-setup-transfer-server)
+ [Fase 5: Concessione dell'accesso ai gruppi](#azure-grant-access)
+ [Fase 6: Test degli utenti](#azure-test)

## Prima di iniziare a utilizzare AWS Directory Service per Entra ID Domain Services
<a name="azure-prereq"></a>

**Nota**  
AWS Transfer Family ha un limite predefinito di 100 gruppi Active Directory per server. Se il tuo caso d'uso richiede più di 100 gruppi, prendi in considerazione l'utilizzo di una soluzione di provider di identità personalizzata, come descritto in [Semplificare l'autenticazione di Active Directory con un provider di identità personalizzato per AWS Transfer Family](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/).

Perché AWS, hai bisogno di quanto segue:
+ Un cloud privato virtuale (VPC) in una AWS regione in cui utilizzi i server Transfer Family
+ Almeno due sottoreti private nel tuo VPC
+ Il VPC deve disporre di connettività Internet
+ Un gateway per i clienti e un gateway privato virtuale per la connessione site-to-site VPN con Microsoft Entra

Per Microsoft Entra, è necessario quanto segue:
+ Un ID Entra e un servizio di dominio Active Directory
+ Un gruppo di risorse Entra
+ Una rete virtuale Entra
+ Connettività VPN tra Amazon VPC e il gruppo di risorse Entra
**Nota**  
Ciò può avvenire tramite tunnel IPSEC nativi o utilizzando dispositivi VPN. In questo argomento, utilizziamo i tunnel IPSEC tra un gateway di rete Entra Virtual e un gateway di rete locale. I tunnel devono essere configurati per consentire il traffico tra gli endpoint del servizio di dominio Entra e le sottoreti che ospitano il VPC. AWS 
+ Un gateway per i clienti e un gateway privato virtuale per la connessione site-to-site VPN con Microsoft Entra

Il diagramma seguente mostra la configurazione necessaria prima di iniziare.

![\[Entra/Azure AD e diagramma dell'architettura. AWS Transfer Family Un AWS VPC che si connette a una rete virtuale Entra tramite Internet, utilizzando un connettore AWS Directory Service al servizio di dominio Entra.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/azure-architecture.png)


## Fase 1: aggiunta dei servizi di dominio Entra ID
<a name="azure-add-adds"></a>

 Per impostazione predefinita, Entra ID non supporta le istanze di aggiunta al dominio. Per eseguire azioni come Domain Join e utilizzare strumenti come Group Policy, gli amministratori devono abilitare Entra ID Domain Services. Se non hai già aggiunto Entra DS o l'implementazione esistente non è associata al dominio che desideri venga utilizzato dal server di trasferimento SFTP, devi aggiungere una nuova istanza.

Per informazioni sull'attivazione di Entra ID Domain Services, vedere [Tutorial: Creare e configurare un dominio gestito di Microsoft Entra Domain Services](https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-getting-started).

**Nota**  
Quando abiliti Entra DS, assicurati che sia configurato per il gruppo di risorse e il dominio Entra a cui stai connettendo il tuo server di trasferimento SFTP.

![\[Entra nella schermata dei servizi di dominio che mostra il gruppo di risorse bob.us in esecuzione.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/azure-ad-add-instance.png)


## Fase 2: Creazione di un account di servizio
<a name="azure-create-service-acct"></a>

 Entra deve disporre di un account di servizio che faccia parte di un gruppo di amministratori in Entra DS. Questo account viene utilizzato con il connettore AWS Active Directory. Assicurati che questo account sia sincronizzato con Entra DS. 

![\[Entra nella schermata che mostra il profilo di un utente.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/azure-service-acct.png)


**Suggerimento**  
L'autenticazione a più fattori per Entra ID non è supportata per i server Transfer Family che utilizzano il protocollo SFTP. Il server Transfer Family non può fornire il token MFA dopo che un utente si è autenticato su SFTP. Assicurati di disabilitare l'MFA prima di provare a connetterti.  

![\[Inserisci i dettagli dell'autenticazione a più fattori, mostrando lo stato MFA come disabilitato per due utenti.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/azure-ad-mfa-disable.png)


## Fase 3: Configurazione della AWS directory tramite AD Connector
<a name="azure-setup-directory"></a>

 Dopo aver configurato Entra DS e creato un account di servizio con tunnel VPN IPSEC tra il tuo AWS VPC e la rete Entra Virtual, puoi testare la connettività eseguendo il ping dell'indirizzo IP DNS Entra DS da qualsiasi istanza EC2. AWS 

Dopo aver verificato che la connessione sia attiva, puoi continuare qui sotto.

**Per configurare la tua AWS directory utilizzando AD Connector**

1. Apri la console [Directory Service](https://console.aws.amazon.com/directoryservicev2/) e seleziona **Directory**.

1. Seleziona **Configura la directory**.

1. Per il tipo di directory, scegli **AD Connector**.

1. Seleziona la dimensione della directory, seleziona **Avanti**, quindi seleziona il tuo VPC e le sottoreti.

1. Seleziona **Avanti**, quindi compila i campi come segue:
   + **Nome DNS della directory**: inserisci il nome di dominio che stai utilizzando per Entra DS.
   + **Indirizzi IP DNS: inserisci i tuoi indirizzi** IP Entra DS.
   + **Nome utente e **password** dell'account del server**: inserisci i dettagli dell'account di servizio che hai creato nel *Passaggio 2: Crea un account di servizio*.

1. Completa le schermate per creare il servizio di directory.

Ora lo stato della directory dovrebbe essere **Attivo** ed è pronto per essere utilizzato con un server di trasferimento SFTP.

![\[La schermata Directory Services mostra una directory con lo stato Attivo, come richiesto.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/azure-connector-ready.png)


## Fase 4: Configurazione AWS Transfer Family del server
<a name="azure-setup-transfer-server"></a>

Crea un server Transfer Family con il protocollo SFTP e il tipo di provider di identità **AWS Directory Service**. Dall'elenco a discesa **Directory**, seleziona la directory che hai aggiunto nel *Passaggio 3: Configurazione della AWS directory utilizzando AD Connector*.

**Nota**  
Non puoi eliminare una directory Microsoft AD in AWS Directory Service se l'hai usata in un server Transfer Family. È necessario prima eliminare il server, quindi è possibile eliminare la directory. 

## Fase 5: Concessione dell'accesso ai gruppi
<a name="azure-grant-access"></a>

 Dopo aver creato il server, è necessario scegliere quali gruppi della directory devono avere accesso al caricamento e al download di file tramite AWS Transfer Family i protocolli abilitati. A tale scopo, è necessario creare un *accesso*.

**Nota**  
Gli utenti devono appartenere *direttamente* al gruppo a cui si concede l'accesso. Ad esempio, supponiamo che Bob sia un utente e appartenga al gruppo A e che lo stesso gruppo A sia incluso nel gruppo B.  
Se concedi l'accesso a GroupA, a Bob viene concesso l'accesso.
 Se concedi l'accesso a GroupB (e non a GroupA), Bob non ha accesso.

 Per concedere l'accesso è necessario recuperare il SID del gruppo.

Utilizzate il seguente PowerShell comando di Windows per recuperare il SID di un gruppo, sostituendolo *YourGroupName* con il nome del gruppo. 

```
Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid
```

![\[Windows PowerShell che mostra un SID dell'oggetto in fase di recupero.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/azure-grant-access.png)


**Concedi l'accesso ai gruppi**

1. Aprire [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Vai alla pagina dei dettagli del server e nella sezione **Accessi**, scegli **Aggiungi accesso**. 

1. Inserisci il SID ricevuto dall'output della procedura precedente.

1. Per **Access**, scegli un AWS Identity and Access Management ruolo per il gruppo.

1. Nella sezione **Politica**, scegli una politica. Il valore predefinito è **None (Nessuna)**.

1. Per la **directory Home**, scegli un bucket Amazon S3 che corrisponda alla home directory del gruppo.

1. Scegli **Aggiungi** per creare l'associazione.

I dettagli del server di trasferimento dovrebbero essere simili ai seguenti:

![\[Una parte della schermata dei dettagli del server Transfer Family, che mostra un esempio di Directory ID per il provider di identità.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/azure-assoc-1.png)


![\[Una parte della schermata dei dettagli del server Transfer Family, che mostra l'ID esterno di Active Directory nella parte Accesses della schermata.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/azure-assoc-2.png)


## Fase 6: Test degli utenti
<a name="azure-test"></a>

Puoi verificare ([Test degli utenti](directory-services-users.md#directory-services-test-user)) se un utente ha accesso alla AWS Managed Microsoft AD directory del tuo server. Un utente deve appartenere esattamente a un gruppo (un ID esterno) elencato nella sezione **Accesso** della pagina di **configurazione dell'endpoint**. Se l'utente non fa parte di alcun gruppo o fa parte di più di un singolo gruppo, a quell'utente non viene concesso l'accesso.