RD セッション ホストにおける RDC クライアントの シングル サインオン (SSO) について
シングル サインオンとは シングル サインオン (SSO) とは、 「一回の認証手続きで、複数の OS やアプリケーションに アクセスできる機能」 リモート デスクトップ接続時の認証回数を減らすことが できる機能です。 RD セッション ホストおよびターミナル サーバー環境では、 RDC クライアント、TS/RD ゲートウェイ、Web SSO など 様々な SSO 機能が用意されている
Agenda RDC クライアント SSO の動作 RemoteApp での SSO 資格情報を保存する機能との違い、メリット
RDC クライアント SSO の動作
RemoteApp での SSO SSO が有効ではない場合
RemoteApp での SSO SSO が有効の場合
資格情報を保存する機能との違い、メリット 資格情報を保存する機能では パスワード変更の度に再設定が必要 資格情報を保存する機能では 資格情報がローカル ディスク上に ファイルとして保存される シングル サインオンは、 RemoteAPP でも利用可能
資格情報を保存した場合 資格情報がファイルとして保存される C:\>cmdkey /list 現在保存されている資格情報: ターゲット: Domain:target=TERMSRV/W2K8R2-1 種類: ドメイン パスワード ユーザー: TEST\administrator ローカル コンピューターの常設 資格情報がファイルとして保存される C:\>dir %UserProfile%\AppData\Local\Microsoft\Credentials /AH 2010/07/12 16:07 368 0DCEEE07270AC5663AA4178F7E9995E2 1 個のファイル 368 バイト
RDC クライアント SSO を利用した場合 資格情報が保存されないため 非常にセキュアな運用が可能 C:\>cmdkey /list 現在保存されている資格情報: * なし * 資格情報が保存されないため 非常にセキュアな運用が可能 C:\>dir %UserProfile%\AppData\Local\Microsoft\Credentials /AH ファイルが見つかりません
RDC クライアント SSO の環境要件と設定方法 ・Windows 7、Windows Vista、Windows XP SP3 を実行しているクライアント → CredSSP ・Windows Server 2008 R2、Windows Server 2008 を実行している RD セッション ホスト サーバー ・ログオンに使用するユーザー アカウントには、クライアント、 RD セッション ホスト サーバーの両方にログオンするための 適切な権限が付与されている ・クライアントと RD セッション ホスト サーバーは 同じドメインに参加している
設定方法: RD セッション ホストの設定
設定方法:グループ ポリシーの設定 (1) シングル サインオンに既定の資格情報を 使用できるようにするには 以下のポリシーを設定を行う。 [コンピューターの構成] - [ポリシー] - [管理用テンプレート] - [システム] - [資格情報の委任] 「既定の資格情報の委任を許可する」を有効にする。
設定方法:グループ ポリシーの設定 (2) 例) TERMSRV/ServerA.contoso.com TERMSRV/*.contoso.com TERMSRV/*
まとめ 簡単な設定で構築可能 パスワード変更など、環境変更にも柔軟に対応 資格情報を保存しないためセキュアに運用 RemoteApp でも利用可能 ターミナル サービスのシングル サインオン http://technet.microsoft.com/ja-jp/library/cc772108(WS.10).aspx リモート デスクトップ サービスの RDC クライアント シングル サインオンを有効にする http://technet.microsoft.com/ja-jp/library/cc742808.aspx 文書番号: 951608 [資格情報のセキュリティ サポート プロバイダー (CredSSP) で Windows XP Service Pack 3 の説明 http://support.microsoft.com/kb/951608/
Microsoft TechNet Seminar 2006 Seminar Name