Configuración de la autenticación SSO (inicio de sesión único) en Windows Server RDS

Inicio de sesión único (SSO) es la tecnología que permite a un usuario autenticado (registrado) acceder a otros servicios de dominio sin necesidad de volver a autenticarse. Aplicado al Servicio de escritorio remoto, SSO permite que un usuario que haya iniciado sesión en la computadora del dominio no vuelva a ingresar las credenciales de la cuenta (nombre de usuario y contraseña) al conectarse a los servidores RDS o al iniciar RemoteApps publicadas.

En este artículo, describiremos las peculiaridades de configurar la autenticación SSO (inicio de sesión único) transparente en servidores RDS que ejecutan Windows Server 2016 y 2012 R2.

Sistema requisitos:

• El servidor de Connection Broker y todos los servidores RDS deben ejecutar Windows Server 2012 o posterior;
• SSO solo funciona en el entorno de dominio: deben usarse las cuentas de usuario de Active Directory, los servidores RDS y las estaciones de trabajo del usuario deben estar incluidos en el dominio AD;
• El RDP 8.0 o posterior debe usarse en los clientes rdp (no será posible instalar esta versión del cliente RDP en Windows XP);
• Las siguientes versiones del sistema operativo son compatibles en el lado del cliente rdp: Windows 10, 8.1 o 7;
• SSO solo funciona con autenticación de contraseña (no se admiten tarjetas inteligentes);
• La capa de seguridad RDP en la configuración de conexión debe establecerse en Negociar o SSL (TLS 1.0) y el modo de cifrado para Elevado o Cumple con FIPS.

El procedimiento de configuración del inicio de sesión único consta de los siguientes pasos:

• Debe emitir y asignar un certificado SSL en los servidores RD Gateway, RD Web y RD Connection Broker;
• El SSO web debe estar habilitado en el servidor RDWeb;
• Se debe configurar la política de grupo para la delegación de credenciales;
• La huella digital del certificado debe agregarse a los editores .rdp de confianza que utilizan GPO.

En primer lugar, debe emitir y asignar un certificado SSL. En la propiedad del certificado EKU (Enhanced Key Usage), el Autenticación del servidor el identificador debe estar presente. No describiremos el procedimiento para obtener el certificado SSL, ya que va más allá del alcance de este artículo (puede generar un certificado SSL autofirmado usted mismo, pero tendrá que implementarlo en el certificado de confianza en todos los clientes que usan el grupo política).

El certificado se asigna en el Certificados Sección de Implementación de RDS propiedades.

Entonces tienes que habilitar "Autenticación de Windows"En todos los servidores con función de acceso web para el directorio IIS RDWeb y deshabilitar"Autenticación anónima ”.

Después de guardar los cambios, reinicie IIS:

iisreset /noforce
Si está utilizando RD Gateway, asegúrese de que no se utilice para la conexión de los clientes internos (Omitir el servidor de puerta de enlace de Escritorio remoto para la dirección local La opción debe estar marcada).

El siguiente paso es la configuración de la política de delegación de credenciales. Cree un nuevo GPO de dominio y vincúlelo a la unidad organizativa con los usuarios (equipos) que necesitan permitir el acceso SSO al servidor RDS. Si desea permitir SSO para todos los usuarios del dominio, es aceptable editar la Política de dominio predeterminada.

Esta política se encuentra en la siguiente sección de GPO: Configuración del equipo -> Políticas -> Plantillas administrativas -> Sistema -> Delegación de credenciales -> Permitir credenciales predeterminadas de delegación. La política permite que ciertos servidores accedan a las credenciales de los usuarios de Windows:

• La política debe estar habilitada (Activado);
• Debe agregar los nombres de los servidores RDS a la lista de servidores a los que el cliente puede enviar automáticamente las credenciales de usuario para realizar la autenticación SSO. El formato para agregar un servidor es el siguiente: TERMSRV / rd.contoso.com (tenga en cuenta que todos los caracteres TERMSRV deben estar en mayúsculas). Si tiene que otorgar este permiso a todos los servidores de terminal en el dominio (menos seguro), puede usar esta construcción: TERMSRV / *. Contoso.com.

Luego, para evitar que aparezca una ventana de advertencia de que el editor de la aplicación remota no es de confianza, agregue la dirección del servidor con el rol de Agente de conexión a la zona de confianza en los equipos cliente utilizando la política "Lista de asignación de sitio a zona ” (similar al artículo Cómo deshabilitar la advertencia de seguridad de Open File en Windows 10): Configuración de usuario / computadora -> Herramientas administrativas -> Componentes de Windows -> Internet Explorer -> Panel de control de Internet -> Página de seguridad.

Especificar FQDN nombre de servidor RDCB y zona 2 (Sitios de confianza).

Entonces habilita Opciones de inicio de sesión política en Configuración de usuario / computadora -> Herramientas administrativas -> Componentes de Windows -> Internet Explorer -> Panel de control de Internet -> Seguridad -> Zona de sitios de confianza y en la lista desplegable seleccione "Inicio de sesión automático con nombre de usuario y contraseña actuales ".

Después de actualizar las políticas de grupo en el cliente, si intenta iniciar RemoteApp, no aparecerá una solicitud de contraseña, pero aparecerá una ventana de advertencia:

Do you trust the publisher of this RemoteApp program?

Para evitar que este mensaje se muestre cada vez que el usuario inicia sesión, debe obtener la huella digital del certificado SSL en RD Connection Broker y agregarlo a la lista de editores rdp confiables. Para hacer esto, ejecute el comando PowerShell en el servidor del Agente de conexión RDS:

Get-Childitem CERT:LocalMachineMy

Copie el valor de la huella digital del certificado y agréguelo a la lista de huellas digitales en la política Especifique las huellas digitales SHA1 de los certificados que representan a los editores de RDP (Configuración del equipo -> Plantillas administrativas -> Servicios de escritorio de Windows -> Cliente de conexión de escritorio remoto).

Ahora la configuración de SSO ha terminado y, una vez aplicadas las políticas, el usuario puede conectarse a la granja de servidores RDS de Windows Server mediante RDP sin volver a introducir la contraseña.

Ahora, cuando inicie mstsc.exe (cliente de Conexión a Escritorio remoto) y especifique el nombre del servidor RDS, el campo Nombre de usuario mostrará automáticamente el nombre de usuario en el formato ([email protected]) con el título:

Your Windows logon credentials will be used to connect.

Para utilizar RD Gateway con SSO, debe habilitar la política "Establecer el método de autenticación de puerta de enlace de Escritorio remoto”(Configuración de usuario -> Políticas -> Plantillas administrativas -> Componentes de Windows -> Servicios de escritorio remoto -> Puerta de enlace de Escritorio remoto) y establezca su valor en“Usar credenciales de inicio de sesión local”.

Para usar Web SSO en RD Web Access, tenga en cuenta que se recomienda usar Internet Explorer con el componente Active X habilitado llamado Control de acceso web de servicios de escritorio remoto de Microsoft (MsRdpClientShell).