Windows Server 2012 / 2012 R2 - RDS - Activer l'authentification unique (SSO) pour l'accès web RDS

Page 2 / 2

4. Configurer l'authentification unique (SSO)

Maintenant que l'authentification unique fonctionne pour notre accès web RDS, nous allons configurer les paramètres nécessaires pour que votre utilisateur ne se connecte qu'une fois sur le poste client.
Ensuite, il sera automatiquement connecté sur l'accès web lorsqu'il tentera d'y accéder.

Pour activer l'authentification unique (SSO) depuis Internet Explorer, il faut que le domaine correspondant à votre accès web RDS fasse partie de la liste de sites associés à sa zone intranet.
Pour cela, vous pouvez passer par la stratégie "Liste des attributions de sites aux zones" présente dans : Configuration ordinateur -> Stratégies -> Modèles d'administration -> Composants Windows -> Internet Explorer -> Panneau de configuration Internet -> Onglet Sécurité.

Comme vous pouvez le voir dans la description de cette stratégie, Internet Explorer gère 4 zones de sécurité que vous pourrez cibler grâce aux numéros suivants :

  1. zone intranet
  2. zone : Sites approuvés
  3. zone Internet
  4. zone : Sites sensibles

Dans la suite de cette description, vous trouverez aussi comment configurer les attributions de zones (accessibles via le bouton "Afficher") :

  • nom : le domaine du site concerné (pour cibler tous les protocoles pour un domaine précis), un préfix comme "https://mon.domaine.lan" pour cibler uniquement la version HTTPS d'un domaine précis, ...
  • valeur : le chiffre (de 1 à 4) correspondant à la zone dans laquelle vous souhaitez l'ajouter

Sélectionnez "Activé" et cliquez sur Afficher.

Pour activer l'authentification unique pour votre accès web, ajoutez :

  • son adresse en version HTTPS (pour éviter le vol d'identifiants) comme nom : https://rds.informatiweb.lan/
  • le chiffre correspondant à la zone intranet : 1

Pour finir, cliquez sur OK.

Fermez Internet Explorer sur vos postes clients, puis forcez la mise à jour de la stratégie sur ceux-ci.

Relancez Internet Explorer et tentez d'accéder à votre accès web via la version HTTPS : https://rds.informatiweb.lan/RDWeb/
Si l'authentification unique est bien configurée, vous verrez les programmes RemoteApp et/ou les bureaux auxquels vous avez accès.

Si vous regardez en bas de page (si vous utilisez Windows Server 2012 et non la version 2012 R2), vous trouverez une case "J'utilise un ordinateur privé qui se conforme à la stratégie de sécurité de mon entreprise".

Cette case correspond au choix "Ceci est un ordinateur ..." qui était présent dans le formulaire de connexion auparavant.
Mais, comme nous l'avons supprimé depuis l'activation de l'authentification Windows, nous ne pouvons plus le choisir avant de nous connecter à cet accès web.

Néanmoins, à l'étape suivante de ce tutoriel, vous verrez comment modifier ce choix par défaut.

Pour ceux qui veulent savoir ce qui a été modifié via la stratégie de groupe utilisée précédemment, ouvrez les options Internet d'Internet Explorer et allez dans l'onglet Sécurité.
Dans cet onglet, vous retrouverez les 4 zones dont nous vous avions parlé précédemment.

Sélectionnez "Intranet local" et cliquez sur Sites.

Note : comme vous pouvez le voir en bas, Internet Explorer vous indique que certains paramètres sont gérés par votre administrateur système. Cela est dû à l'application de la stratégie de groupe citée précédemment.

Cliquez sur Avancé.

Dans la liste, vous retrouverez le site web ou le domaine ajouté précédemment via la stratégie de groupe.

5. Activer le mode privé par défaut

Pour que le choix "Sécurité" (accessible précédemment depuis le formulaire de connexion) soit en "privé" par défaut, vous devrez modifier une variable dans le fichier : C:\Windows\Web\RDWeb\Pages\fr-FR\Default.aspx

Note : pour modifier ce fichier, vous devrez d'abord lancer le bloc-notes en tant qu'administrateur.

Dans ce fichier, repérez la section "Page Variables" et modifiez la valeur de la variable "bPrivateMode" en "true" au lieu de "false".

Actualisez la page de l'accès web RDS et vous verrez que la case est maintenant cochée par défaut.