Настройка единого входа (RDS 2012 R2 Single Sign On, SSO).

RDS Blog home page


«Технология единого входа (англ. Single Sign-On) — технология, при использовании которой пользователь переходит из одного раздела портала в другой без повторной аутентификации.» — Википедия

В контексте использования удаленных рабочих столов на основе сеансов, это означает, что пользователь, выполнивший вход на доменном компьютере, получает доступ к удаленным приложениям без дополнительной авторизации.

Чтобы использовать RDS SSO на платформе Windows Server 2012 R2 нужно выполнить ряд действий:

Во-первых выпустить и назначить службе единого входа сертификат, например, как сказано статье Настройка использования сертификатов для служб удаленных рабочих столов.

  rdcb1-2014-09-03-15_35_02-1

Во-вторых, на всех серверах с ролью Web Access для каталога RDWeb включить «Проверка подлинности Windows» и отключить «Анонимная проверка подлинности». После внесения  изменений выполнить команду iisreset /noforce.

RDCB1-SSO-2014-09-09 12_04_42-Диспетчер служб IIS

В-третьих, если настроен шлюз удаленных рабочих столов (RD Gateway), убедиться, что он не используется для внутренних клиентских подключений.

RDCB1-SSO-2014-09-09 13_16_15-Свойства развертывания

В-четвертых, потребуется создать групповую политику для делегирования учетных данных. В групповой политике настроить правило по пути

Изменить значения по пути «Computer Configuration | Policies | System | Credential Delegation | Allow delegation defaults credential»:

  • Установить значение Enabled, 
  • В поле Optional добавить сервер указав (TERMSRV/<имя сервера, на котором проходит авторизация>). В моем случае TERMSRV/rd.alekssh.com

rdssso1


Теперь когда пользователь авторизуется на доменном компьютере, можно будет увидеть следующее:

Например, используя заранее подготовленный rdp файл, если это в первый запуск удаленного приложения, то появится:

2014-09-09 15_40_40-RemoteApp

После этого в правом нижнем углу экрана появится иконка установленной сессии.

Повторной авторизации не потребовалось.

2014-09-09 15_40_48-

Удаленное приложение запущено (калькулятор) 🙂

2014-09-09 15_43_37-Calculator (RD.ALEKSSH.COM)

Single Sign On можно считать настроенным.


Информация, используемая в этой статье:

http://blogs.msdn.com/b/rds/archive/2012/06/25/remote-desktop-web-access-single-sign-on-now-easier-to-enable-in-windows-server-2012.aspx

http://www.miru.ch/single-sign-on-in-rds-2012-demystified/


Реклама

Об авторе Alexander Shestakov

MCITP, MCSE. Компания "Динамика"
Запись опубликована в рубрике RDS 2012 R2 с метками , , , . Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s