[TUTO] – Single Sign-On : Configurer le SSO par GPO pour une connection RDS

0 Flares Filament.io 0 Flares ×

Accéder à des ressources à distance via le Remote Desktop Connection s’avère plus qu’utile dans les entreprises.

La sécurité est alors de mise et les utilisateurs sont contraint de renseigner un nombre incalculable de fois leur mot de passe … Cependant, trop de sécurité peut aussi nuire à la qualité de travail des salariés et l’entreprise peut avoir des besoins particuliers en terme de connexion à ces ressources.

Le Single Sign-On (SSO) permet à un utilisateur d’accéder à des ressources applicatives, web et autres, en procédant qu’à une seule authentification. C’est donc cette méthode que nous allons utiliser par GPO afin d’éviter une nouvelle authentification lors d’une tentative de connexion via Remote Desktop Connection.

Prérequis :

Avoir accès au serveur Active Directory avec les droits nécessaires à l’ajout et la modification des GPO

Avoir un serveur client pour en prendre le contrôle (Autoriser les connexions à distance)

Avoir un poste client pour tester la GPO et prendre le contrôle du serveur client

Procédure :

Sur votre serveur Active Directory, rendez-vous dans Tools puis sélectionnez Group Policy Management

Dépliez les éléments visibles ci-dessous jusqu’à atteindre la GPO que vous désirez modifier. Sinon, créez-en une nouvelle. Faites un clic droit sur celle-ci puis Edit…

Suivez le chemin suivant : Computer Configuration / Policies / Administrative Templates : Policy … / System / Credentials Delegation

 

Sélectionnez Allow delegating default credentials, faites-y un clic droit puis Edit

 

Sur la page qui vient de s’afficher, cochez Enabled pour activer la GPO et sélectionnez Show…

 

Une fois dans Show, renseignez termsrv/nom_du_serveur. Il s’agit ici du serveur dont vous souhaitez vous-y connecter sans renseigner vos identifiants.

Une fois validé, on constate que Allow delegating default credentials est passé en Enabled. Cela signifie que la GPO est bien activée.

A présent, il est nécessaire d’ajouter votre poste client dans l’OU dont la GPO fait effet.

Pour mettre rapidement les stratégies à jours, utilisez la commande gpupdate /force depuis l’invite de commande du poste client. Un reboot de la machine peut parfois être nécessaire.

Toujours depuis votre poste client, lancez Remote Desktop Connection et renseignez le nom de votre machine distante. Bien entendu, c’est celle renseigné au niveau de votre GPO.

On remarque que les identifiants se sont renseignés automatiquement, sans action de l’utilisateur. Testez votre connexion qui doit se réaliser correctement.

Pour ajouter cette fonctionnalité à d’autres postes client, vous devez les ajouter à l’OU approprié. Attention cependant à bien organiser vos OU pour ne pas avoir de surprises.

Posted in Active Directory and tagged , , , , .



-->

4 Commentaires

  1. C’est très simple, le principe même du SSO est de ne saisir ces identifiants qu’une seule fois. Nous partirons du principe que l’utilisateur est déjà sur sa session utilisateur et donc qu’il a déjà bien saisi ses identifiants du domaine.

    Il n’a donc pas à saisir une nouvelle fois ses informations d’authentification pour une ouverture de session dont il a accès.

    • Bonjour,

      Après un moment d’absences (et je m’en excuse), je viens de mettre l’article à jour.
      Vous n’allez probablement plus en avoir besoin, mais il pourra servir pour d’autres personnes.

      Merci pour votre retour,
      Kévin

  2. Bonjour,
    “Le Single Sign-On permet à un utilisateur d’accéder à des ressources applicatives, web et autres, en procédant qu’à une seule authentification.”, sous entendu celle de l’ouverture de session.

    En quoi la saisie des informations d’authentification ainsi que la coche d’une case “Enregistrer le mot de passe” est du *Single Sign On* ?

    • Bonjour,

      j’effectue la même réponse que précédemment.

      Après un moment d’absences (et je m’en excuse), je viens de mettre l’article à jour.
      Vous n’allez probablement plus en avoir besoin, mais il pourra servir pour d’autres personnes.

      Merci pour votre retour,
      Kévin

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *