Windows Server
 Computer >> コンピューター >  >> システム >> Windows Server

Windows Server RDSでのSSO(シングルサインオン)認証の構成

シングルサインオン(SSO) 認証された(サインオンされた)ユーザーが再認証なしで他のドメインサービスにアクセスできるようにするテクノロジーです。リモートデスクトップサービスに適用されるSSOを使用すると、ドメインコンピューターにログオンしているユーザーは、RDSサーバーに接続したり、公開されたRemoteAppを起動したりするときに、アカウントの資格情報(ユーザー名とパスワード)を再入力できません。

この記事では、Windows Server2016および2012R2を実行しているRDSサーバーで透過的なSSO(シングルサインオン)認証を構成する際の特徴について説明します。

システム 要件:

  • ConnectionBrokerサーバーとすべてのRDSサーバーはWindowsServer2012以降を実行している必要があります。
  • SSOはドメイン環境でのみ機能します。ActiveDirectoryユーザーアカウントを使用する必要があり、RDSサーバーとユーザーのワークステーションをADドメインに含める必要があります。
  • RDP 8.0以降をrdpクライアントで使用する必要があります(このバージョンのRDPクライアントをWindows XPにインストールすることはできません)。
  • 次のOSバージョンがrdp-client側でサポートされています:Windows 10、8.1、または7;
  • SSOはパスワード認証でのみ機能します(スマートカードはサポートされていません)。
  • 接続設定のRDPセキュリティレイヤーをネゴシエートに設定する必要があります またはSSL (TLS 1.0)、および暗号化モードを またはFIPS準拠

シングルサインオン構成の手順は、次の手順で構成されています。

  • RDゲートウェイ、RD Web、およびRD接続ブローカーサーバーでSSL証明書を発行して割り当てる必要があります。
  • RDWebサーバーでWebSSOを有効にする必要があります;
  • 資格情報の委任に関するグループポリシーを構成する必要があります。
  • 証明書の拇印は、GPOを使用して信頼できる.rdp発行元に追加する必要があります。

まず、SSL証明書を発行して割り当てる必要があります。 EKU(Enhanced Key Usage)証明書プロパティで、サーバー認証 識別子が存在する必要があります。この記事の範囲を超えているため、SSL証明書を取得する手順については説明しません(自己署名SSL証明書は自分で生成できますが、グループを使用するすべてのクライアントの信頼できる証明書に展開する必要があります)ポリシー)。

証明書は証明書で割り当てられます RDS導入のセクション プロパティ。

Windows Server RDSでのSSO(シングルサインオン)認証の構成

次に、「Windows認証」を有効にする必要があります IIS RDWebディレクトリのWebアクセスの役割を持つすべてのサーバーで」を実行し、「匿名認証」を無効にします

Windows Server RDSでのSSO(シングルサインオン)認証の構成

変更を保存したら、IISを再起動します。

iisreset /noforce
RDゲートウェイを使用している場合は、内部クライアントの接続に使用されていないことを確認してください(ローカルアドレス用にRDゲートウェイサーバーをバイパスする オプションをチェックする必要があります。

Windows Server RDSでのSSO(シングルサインオン)認証の構成

次のステップは、資格情報委任ポリシーの構成です。新しいドメインGPOを作成し、RDSサーバーへのSSOアクセスを許可する必要があるユーザー(コンピューター)を使用してOUにリンクします。すべてのドメインユーザーにSSOを許可する場合は、デフォルトのドメインポリシーを編集できます。

このポリシーは、次のGPOセクションにあります。コンピューターの構成->ポリシー->管理用テンプレート->システム->資格情報の委任->委任のデフォルトの資格情報を許可する 。このポリシーにより、特定のサーバーがWindowsユーザーの資格情報にアクセスできるようになります。

  • ポリシーを有効にする必要があります(有効 );
  • クライアントがSSO認証を実行するためにユーザー資格情報を自動的に送信できるサーバーのリストに、RDSサーバーの名前を追加する必要があります。サーバーを追加する形式は次のとおりです。TERMSRV/ rd.contoso.com (すべてのTERMSRV文字は大文字でなければならないことに注意してください)。ドメイン内のすべてのターミナルサーバーにこのアクセス許可を与える必要がある場合(安全性が低い)、次の構造を使用できます:TERMSRV/*。contoso.com。 Windows Server RDSでのSSO(シングルサインオン)認証の構成

次に、リモートアプリケーションパブリッシャーが信頼できないというウィンドウ警告が表示されないようにするには、ポリシー「サイトからゾーンへの割り当てリスト」<を使用して、接続ブローカーの役割を持つサーバーのアドレスをクライアントコンピューターの信頼できるゾーンに追加します。 / strong> (Windows 10でファイルを開くセキュリティ警告を無効にする方法の記事と同様):ユーザー/コンピューターの構成->管理ツール->Windowsコンポーネント->InternetExplorer->インターネットコントロールパネル->セキュリティページ

FQDNを指定します サーバー名RDCBおよびゾーン2 (信頼できるサイト)。

Windows Server RDSでのSSO(シングルサインオン)認証の構成

次に、ログオンオプションを有効にします ユーザー/コンピューターの構成->管理ツール->Windowsコンポーネント->InternetExplorer->インターネットコントロールパネル->セキュリティ->信頼済みサイトゾーンのポリシー ドロップダウンリストで、[現在のユーザー名とパスワードを使用した自動ログオン]を選択します

クライアントでグループポリシーを更新した後、RemoteAppを起動しようとすると、パスワードプロンプトは表示されませんが、警告ウィンドウが表示されます。

Do you trust the publisher of this RemoteApp program?

Windows Server RDSでのSSO(シングルサインオン)認証の構成

ユーザーのログオン時に毎回このメッセージが表示されないようにするには、RD接続ブローカーでSSL証明書の拇印を取得し、信頼できるrdp発行元のリストに追加する必要があります。これを行うには、RDS接続ブローカーサーバーでPowerShellコマンドを実行します。

Get-Childitem CERT:\LocalMachine\My

Windows Server RDSでのSSO(シングルサインオン)認証の構成

証明書の拇印の値をコピーして、ポリシーの拇印のリストに追加しますRDP発行者を表す証明書のSHA1拇印を指定します ([コンピューターの構成]->[管理用テンプレート]->[Windowsデスクトップサービス]->[リモートデスクトップ接続クライアント])

Windows Server RDSでのSSO(シングルサインオン)認証の構成

これでSSO構成が終了し、ポリシーが適用された後、ユーザーはパスワードを再入力せずにRDPを使用してWindowsServerRDSファームに接続できます。

これで、mstsc.exe(リモートデスクトップ接続クライアント)を起動してRDSサーバーの名前を指定すると、[ユーザー名]フィールドにユーザー名が(user@domain.com)の形式でキャプション付きで自動的に表示されます。

Your Windows logon credentials will be used to connect.

Windows Server RDSでのSSO(シングルサインオン)認証の構成

SSOでRDゲートウェイを使用するには、ポリシー「RDゲートウェイ認証方法の設定」を有効にする必要があります。 」([ユーザー設定]->[ポリシー]->[管理用テンプレート]->[Windowsコンポーネント]->[リモートデスクトップサービス]->[RDゲートウェイ])で、その値を[ローカルにログオンした資格情報を使用する]に設定します。 」。

Windows Server RDSでのSSO(シングルサインオン)認証の構成

RD WebAccessでWebSSOを使用するには、MicrosoftリモートデスクトップサービスWebアクセス制御(MsRdpClientShell)という名前のActiveXコンポーネントが有効になっているInternetExplorerを使用することをお勧めします。


  1. Zabbix:Active Directoryでのシングルサインオン(SSO)認証

    この記事では、Kerberosを使用したActiveDirectoryでのZabbix4.0(またはそれ以降)の透過的なSSO(シングルサインオン)認証の段階的な構成について検討します。 その結果、ユーザーはクレデンシャルを入力せずにZabbixフロントページで自動的に認証されます。これを行うには、ユーザーはZabbixで指定されたActiveDirectoryドメインアカウントでWindowsにログインする必要があります。さらに、ユーザーはブラウザーを構成する必要があります(Kerberosサポートを有効にし、信頼できるイントラネットサイトをIEで設定する必要があります)。 シ

  2. Windowsサーバーを保護するための9つの知っておくべきヒント

    Windows Serverは、サーバーに電力を供給するために最も一般的に使用されているオペレーティングシステムの1つです。通常はビジネスに関係する操作の性質上、WindowsServerのセキュリティはエンタープライズデータにとって重要です。 デフォルトでは、WindowsServerにはいくつかのセキュリティ対策が講じられています。ただし、Windowsサーバーが潜在的な脅威に対して十分な防御力を備えていることを確認するために、さらに多くのことを行うことができます。 WindowsServerを保護するための重要なヒントをいくつか紹介します。 1.Windowsサーバーを最新の状態に保つ