Windows Server 2012 / 2012 R2 - RDS - Activer l'authentification unique (SSO) pour l'accès web RDS

Page 1 / 2

En entreprise, il est courant de se connecter sur son ordinateur avec un compte d'un Active Directory.
Grâce à cette authentification centralisée et la gestion des stratégies, il est même possible d'activer le SSO (Single Sign-On) ou l'authentification unique en français.

Comme vous le savez déjà, par défaut, vos utilisateurs doivent se connecter 2 fois si vous leur proposez des bureaux et/ou des programmes RemoteApp via l'accès web des services Bureau à distance (RDS).

Pour améliorer l'expérience utilisateur et éviter qu'ils ne doivent s'authentifier 2 fois, vous pouvez utiliser les connexions distantes de Windows ou activer le SSO pour l'accès web RDS.

Dans ce tutoriel, nous allons vous montrer comment configurer le SSO pour l'accès web RDS.

Note : pour que les programmes RemoteApp lancés depuis le poste client (via les connexions distantes de Windows ou via l'accès web) puissent être lancés sans devoir se réauthentifier une 2ème fois, vous devrez d'abord activer l'authentification unique (SSO) pour vos serveurs hôtes de sessions RDS en suivant notre précédent tutoriel : Activer l'authentification unique (SSO) pour l'accès aux programmes RemoteApp et aux bureaux publiés

  1. Activer l'authentification Windows sur l'accès web RDS
  2. Activer l'authentification Windows sur le serveur web IIS
  3. Test de l'accès web RDS en utilisant l'authentification Windows
  4. Configurer l'authentification unique (SSO)
  5. Activer le mode privé par défaut

1. Activer l'authentification Windows sur l'accès web RDS

Pour commencer, vous devez activer l'authentification Windows sur l'accès web RDS.
Pour cela, vous devez lancer le bloc-notes en tant qu'administrateur et ouvrez le fichier : C:\Windows\Web\RDWeb\Pages\Web.config

Note : faites une copie du fichier avant de le modifier pour pouvoir le restaurer en cas de problème.

Dans ce fichier, vous trouverez une section expliquant comment activer l'authentification Windows sur l'accès web des services Bureau à distance.

Pour commencer, décommentez la balise "<authentication mode="Windows"/>" en enlevant les "<!--" et "-->" (qui sont des commentaires HTML).

Un peu plus bas, vous trouverez une section : <system.webServer>

Dans cette section, commentez les balises "<modules ...>...</modules>" et "<security>...</security>" comme ceci.

2. Activer l'authentification Windows sur le serveur web IIS

Pour que l'authentification Windows fonctionne, vous devez aussi l'activer dans le gestionnaire des services Internet (IIS).
Pour l'activer pour l'accès web des services Bureau à distance (RDS), allez dans "Sites -> Default Web Site -> RDWeb" et cliquez sur "Authentification" (dans la section IIS).

Désactivez l'authentification anonyme (étant donné qu'il n'y a plus de formulaire pour se connecter à l'accès web).

Puis, activez l'authentification Windows.

Une fois activée, IIS vous parlera d'une protection étendue à configurer.
Pour cela, sélectionnez l'authentification Windows dans la liste, puis cliquez sur "Paramètres avancés" dans la colonne de droite.

Choisissez "Protection étendue : Accepter".

Ensuite, cliquez sur "Fournisseurs" (dans la colonne de droite).

Et vérifiez que les fournisseurs "Negotiate" et NTLM sont activés et affichés dans cet ordre.

Pour finir, sélectionnez le site web par défaut (dont fait partie RDWeb) et cliquez sur "Redémarrer" dans la colonne de droite.

Note : si vous voulez le faire via la ligne de commande, vous pouvez utiliser cette commande : iisreset /restart

3. Test de l'accès web RDS en utilisant l'authentification Windows

Etant donné que l'authentification Windows est activée, lorsque vous tenterez d'accéder à l'accès web des services Bureau à distance, votre navigateur web vous demandera d'abord de vous identifier.
Utilisez un utilisateur Active Directory autorisé à utiliser des programmes RemoteApp et/ou des bureaux sur votre serveur RDS et cliquez sur OK.

Si l'utilisateur est autorisé à y accéder, il aura accès sans problème aux programmes RemoteApp et/ou aux bureaux mis à sa disposition.

Si vous fermez la fenêtre d'authentification, vous n'aurez pas accès à cet accès web.