«Технология единого входа (англ. Single Sign-On) — технология, при использовании которой пользователь переходит из одного раздела портала в другой без повторной аутентификации.» — Википедия
В контексте использования удаленных рабочих столов на основе сеансов, это означает, что пользователь, выполнивший вход на доменном компьютере, получает доступ к удаленным приложениям без дополнительной авторизации.
Чтобы использовать RDS SSO на платформе Windows Server 2012 R2 нужно выполнить ряд действий:
Во-первых выпустить и назначить службе единого входа сертификат, например, как сказано статье Настройка использования сертификатов для служб удаленных рабочих столов.
Во-вторых, на всех серверах с ролью Web Access для каталога RDWeb включить «Проверка подлинности Windows» и отключить «Анонимная проверка подлинности». После внесения изменений выполнить команду iisreset /noforce.
В-третьих, если настроен шлюз удаленных рабочих столов (RD Gateway), убедиться, что он не используется для внутренних клиентских подключений.
В-четвертых, потребуется создать групповую политику для делегирования учетных данных. В групповой политике настроить правило по пути
Изменить значения по пути «Computer Configuration | Policies | System | Credential Delegation | Allow delegation defaults credential»:
- Установить значение Enabled,
- В поле Optional добавить сервер указав (TERMSRV/<имя сервера, на котором проходит авторизация>). В моем случае TERMSRV/rd.alekssh.com
Теперь когда пользователь авторизуется на доменном компьютере, можно будет увидеть следующее:
Например, используя заранее подготовленный rdp файл, если это в первый запуск удаленного приложения, то появится:
После этого в правом нижнем углу экрана появится иконка установленной сессии.
Повторной авторизации не потребовалось.
Удаленное приложение запущено (калькулятор) 🙂
Single Sign On можно считать настроенным.
Информация, используемая в этой статье:
http://www.miru.ch/single-sign-on-in-rds-2012-demystified/
Alexander Shestakov