rd セッション ホストにおける rdc クライアントの シングル サインオン ...

RD セッション ホストにおける RDC クライアントのシングル サインオン (SSO) について

シングル サインオンとは

シングル サインオン (SSO) とは、 「一回の認証手続きで、複数の OS やアプリケーションに アクセスできる機能」

リモート デスクトップ接続時の認証回数を減らすことができる機能です。

RD セッション ホストおよびターミナル サーバー環境では、RDC クライアント、 TS/RD ゲートウェイ、 Web SSO など様々な SSO 機能が用意されている

Agenda

RDC クライアント SSO の動作RemoteApp での SSO資格情報を保存する機能との違い、メリットRDC クライアント SSO の環境要件および設定方法

RDC クライアント SSO の動作

RemoteApp での SSO

SSO が有効ではない場合

RemoteApp での SSO

SSO が有効の場合

資格情報を保存する機能との違い、メリット

資格情報を保存する機能ではパスワード変更の度に再設定が必要

シングル サインオンは、RemoteAPP でも利用可能

資格情報を保存する機能では資格情報がローカル ディスク上にファイルとして保存される

資格情報を保存した場合

C:\>cmdkey /list

現在保存されている資格情報 :

ターゲット : Domain:target=TERMSRV/W2K8R2-1種類 : ドメイン パスワードユーザー : TEST\administratorローカル コンピューターの常設

C:\>dir %UserProfile%\AppData\Local\Microsoft\Credentials /AH

2010/07/12 16:07 368 0DCEEE07270AC5663AA4178F7E9995E2 1 個のファイル 368 バイト

資格情報がファイルとして保存される

RDC クライアント SSO を利用した場合

C:\>cmdkey /list

現在保存されている資格情報 :

* なし *

C:\>dir %UserProfile%\AppData\Local\Microsoft\Credentials /AH

ファイルが見つかりません

資格情報が保存されないため非常にセキュアな運用が可能

RDC クライアント SSO の環境要件と設定方法

RDC クライアント SSO の環境要件・ Windows 7 、 Windows Vista 、 Windows XP SP3 を実行しているクライアント → CredSSP

・ Windows Server 2008 R2 、 Windows Server 2008 を実行している RD セッション ホスト サーバー

・ログオンに使用するユーザー アカウントには、クライアント、 RD セッション ホスト サーバーの両方にログオンするための 適切な権限が付与されている

・クライアントと RD セッション ホスト サーバーは 同じドメインに参加している

設定方法 : RD セッション ホストの設定

設定方法：グループ ポリシーの設定 (1)

[ コンピューターの構成 ] - [ ポリシー ] - [ 管理用テンプレート ] - [ システム ] - [ 資格情報の委任 ]

「既定の資格情報の委任を許可する」を有効にする。

シングル サインオンに既定の資格情報を使用できるようにするには以下のポリシーを設定を行う。

設定方法：グループ ポリシーの設定 (2)

例）TERMSRV/ServerA.contoso.comTERMSRV/*.contoso.comTERMSRV/*

まとめ

簡単な設定で構築可能パスワード変更など、環境変更にも柔軟に対応資格情報を保存しないためセキュアに運用RemoteApp でも利用可能

ターミナル サービスのシングル サインオンhttp://technet.microsoft.com/ja-jp/library/cc772108(WS.10).aspx

リモート デスクトップ サービスの RDC クライアント シングル サインオンを有効にするhttp://technet.microsoft.com/ja-jp/library/cc742808.aspx

文書番号 : 951608 [ 資格情報のセキュリティ サポート プロバイダー (CredSSP) で Windows XP Service Pack 3 の説明http://support.microsoft.com/kb/951608/