Đăng nhập một lần (SSO) là công nghệ cho phép người dùng đã xác thực (đã đăng nhập) truy cập các dịch vụ miền khác mà không cần xác thực lại. Được áp dụng cho Dịch vụ Máy tính Từ xa, SSO cho phép người dùng đã đăng nhập vào máy tính trong miền không phải nhập lại thông tin đăng nhập tài khoản (tên người dùng và mật khẩu) khi kết nối với máy chủ RDS hoặc khởi chạy Ứng dụng từ xa đã xuất bản.
Trong bài viết này, chúng tôi sẽ mô tả các đặc điểm của việc định cấu hình xác thực SSO (Đăng nhập một lần) minh bạch trên máy chủ RDS chạy Windows Server 2016 và 2012 R2.
Hệ thống yêu cầu:
- Máy chủ của Nhà môi giới kết nối và tất cả các máy chủ RDS phải chạy Windows Server 2012 trở lên;
- SSO chỉ hoạt động trong môi trường miền:Tài khoản người dùng Active Directory phải được sử dụng, máy chủ RDS và máy trạm của người dùng phải được đưa vào miền AD;
- RDP 8.0 trở lên phải được sử dụng trên máy khách rdp (sẽ không thể cài đặt phiên bản máy khách RDP này trong Windows XP);
- Các phiên bản hệ điều hành sau được hỗ trợ ở phía rdp-client:Windows 10, 8.1 hoặc 7;
- SSO chỉ hoạt động với xác thực bằng mật khẩu (không hỗ trợ thẻ thông minh);
- Lớp bảo mật RDP trong cài đặt kết nối phải được đặt thành Thương lượng hoặc SSL (TLS 1.0) và chế độ mã hóa thành Cao hoặc Tuân thủ FIPS .
Quy trình cấu hình Đăng nhập một lần bao gồm các bước sau:
- Bạn cần cấp và chỉ định chứng chỉ SSL trên các máy chủ RD Gateway, RD Web và RD Connection Broker;
- Web SSO phải được bật trên máy chủ RDWeb;
- Chính sách nhóm về ủy quyền thông tin xác thực phải được định cấu hình;
- Hình ảnh thu nhỏ của chứng chỉ phải được thêm vào các nhà xuất bản .rdp đáng tin cậy bằng GPO.
Trước tiên, bạn cần phát hành và gán chứng chỉ SSL. Trong thuộc tính chứng chỉ EKU (Sử dụng khóa nâng cao), Xác thực máy chủ mã định danh phải có mặt. Chúng tôi sẽ không mô tả quy trình lấy chứng chỉ SSL vì nó vượt ra ngoài phạm vi của bài viết này (bạn có thể tự tạo chứng chỉ SSL tự ký, nhưng bạn sẽ phải triển khai chứng chỉ đó cho chứng chỉ đáng tin cậy trên tất cả các khách hàng sử dụng nhóm chính sách).
Chứng chỉ được chỉ định trong Chứng chỉ phần Triển khai RDS tính chất.
Sau đó, bạn phải bật “ Xác thực Windows ”Trên tất cả các máy chủ có vai trò Truy cập Web cho thư mục IIS RDWeb và tắt“ Xác thực ẩn danh ” .
Sau khi bạn lưu các thay đổi, hãy khởi động lại IIS:
iisreset /noforce
Nếu bạn đang sử dụng RD Gateway, hãy đảm bảo rằng nó không được sử dụng để kết nối các máy khách nội bộ ( Bỏ qua máy chủ RD Gateway cho địa chỉ cục bộ tùy chọn phải được chọn).
Bước tiếp theo là cấu hình chính sách ủy quyền thông tin xác thực. Tạo một GPO miền mới và liên kết nó với OU với những người dùng (máy tính) cần cho phép truy cập SSO vào máy chủ RDS. Nếu bạn muốn cho phép SSO cho tất cả người dùng miền, bạn có thể chỉnh sửa Chính sách miền mặc định.
Chính sách này nằm trong phần GPO sau: Cấu hình máy tính -> Chính sách -> Mẫu quản trị -> Hệ thống -> Ủy quyền thông tin xác thực -> Cho phép ủy quyền mặc định thông tin đăng nhập . Chính sách cho phép một số máy chủ nhất định truy cập thông tin đăng nhập của người dùng Windows:
- Chính sách phải được bật ( Đã bật );
- Bạn phải thêm tên của máy chủ RDS vào danh sách máy chủ mà máy khách có thể tự động gửi thông tin đăng nhập của người dùng để thực hiện xác thực SSO. Định dạng thêm máy chủ như sau: TERMSRV / rd.contoso.com (lưu ý rằng tất cả các ký tự TERMSRV phải ở dạng chữ hoa). Nếu bạn phải cấp quyền này cho tất cả các máy chủ đầu cuối trong miền (kém an toàn hơn), bạn có thể sử dụng cấu trúc này:TERMSRV / *. Contoso.com.
Sau đó, để ngăn cảnh báo cửa sổ về việc nhà xuất bản ứng dụng từ xa không đáng tin cậy xuất hiện, hãy thêm địa chỉ của máy chủ có vai trò Người môi giới kết nối vào vùng đáng tin cậy trên máy khách bằng cách sử dụng chính sách “ Danh sách chỉ định site thành vùng” (tương tự như bài viết Cách tắt cảnh báo bảo mật Open File trên Windows 10): Người dùng / Cấu hình máy tính -> Công cụ quản trị -> Thành phần Windows -> Internet Explorer -> Bảng điều khiển Internet -> Trang bảo mật .
Chỉ định FQDN tên máy chủ RDCB và Vùng 2 (Trang web đáng tin cậy).
Sau đó, bật Tùy chọn đăng nhập chính sách trong Người dùng / Cấu hình máy tính -> Công cụ quản trị -> Cấu phần Windows -> Internet Explorer -> Bảng điều khiển Internet -> Bảo mật -> Vùng trang web đáng tin cậy và trong danh sách thả xuống, hãy chọn “ Đăng nhập tự động bằng tên người dùng và mật khẩu hiện tại” .
Sau khi cập nhật các chính sách nhóm trên ứng dụng khách, nếu bạn cố gắng khởi động RemoteApp, lời nhắc mật khẩu sẽ không xuất hiện, nhưng một cửa sổ cảnh báo sẽ xuất hiện:
Do you trust the publisher of this RemoteApp program?
Để ngăn thông báo này được hiển thị mỗi lần đăng nhập của người dùng, bạn cần lấy dấu vết chứng chỉ SSL trên RD Connection Broker và thêm nó vào danh sách các nhà xuất bản rdp đáng tin cậy. Để thực hiện việc này, hãy chạy lệnh PowerShell trên máy chủ RDS Connection Broker:
Get-Childitem CERT:\LocalMachine\My
Sao chép giá trị của hình thu nhỏ chứng chỉ và thêm nó vào danh sách các hình thu nhỏ trong chính sách Chỉ định hình thu nhỏ SHA1 của các chứng chỉ đại diện cho nhà xuất bản RDP (Cấu hình Máy tính -> Mẫu Quản trị -> Dịch vụ Máy tính Windows -> Máy khách Kết nối Máy tính Từ xa).
Bây giờ cấu hình SSO đã kết thúc và sau khi các chính sách đã được áp dụng, người dùng có thể kết nối với trang trại RDS của Windows Server bằng RDP mà không cần nhập lại mật khẩu.
Bây giờ, khi bạn khởi động mstsc.exe (máy khách Kết nối Máy tính Từ xa) và chỉ định tên của máy chủ RDS, trường Tên người dùng sẽ tự động hiển thị tên người dùng ở định dạng (user@domain.com) với chú thích:
Your Windows logon credentials will be used to connect.
Để sử dụng RD Gateway với SSO, bạn cần bật chính sách “ Đặt phương pháp xác thực cổng RD ”(Cấu hình người dùng -> Chính sách -> Mẫu quản trị -> Cấu phần Windows -> Dịch vụ máy tính từ xa -> Cổng RD) và đặt giá trị của nó thành“ Sử dụng thông tin đăng nhập cục bộ ”.
Để sử dụng Web SSO trên RD Web Access, xin lưu ý rằng bạn nên sử dụng Internet Explorer với thành phần Active X được kích hoạt có tên Microsoft Remote Desktop Services Web Access Control (MsRdpClientShell).