Activation de l'authentification unique pour AWS Managed Microsoft AD - AWS Directory Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation de l'authentification unique pour AWS Managed Microsoft AD

AWS Directory Service permet à vos utilisateurs d'accéder à Amazon WorkDocs depuis un ordinateur connecté à l'annuaire sans avoir à saisir leurs informations d'identification séparément.

Avant d'activer l'authentification unique, vous devez prendre des mesures supplémentaires pour permettre aux navigateurs Web de vos utilisateurs de prendre en charge l'authentification unique. Les utilisateurs peuvent avoir besoin de modifier les paramètres de leur navigateur Web pour activer l'authentification unique.

Note

L'authentification unique fonctionne uniquement lorsqu'elle est utilisée sur un ordinateur qui est associé à l'annuaire AWS Directory Service . Elle ne peut pas être utilisée sur les ordinateurs qui ne sont pas joints à l'annuaire.

Si votre annuaire est un annuaire AD Connector et que le compte de service AD Connector ne dispose pas de l'autorisation d'ajouter ou de supprimer son attribut de nom principal de service, vous disposez de deux options pour les étapes 5 et 6 ci-dessous :

  1. Vous pouvez continuer et vous serez invité à saisir le nom d'utilisateur et le mot de passe d'un utilisateur d'annuaire qui dispose de cette autorisation pour ajouter ou supprimer l'attribut de nom principal de service sur le compte de service AD Connector. Ces informations d'identification servent uniquement à activer l'authentification unique et ne sont pas stockées par le service. Les autorisations du compte de service AD Connector ne sont pas modifiées.

  2. Vous pouvez déléguer des autorisations pour permettre au compte de service AD Connector d'ajouter ou de supprimer l'attribut du nom principal du service sur lui-même. Vous pouvez exécuter les PowerShell commandes ci-dessous à partir d'un ordinateur joint au domaine à l'aide d'un compte autorisé à modifier les autorisations sur le compte de service AD Connector. La commande ci-dessous donnera au compte de service AD Connector la possibilité d'ajouter et de supprimer un attribut de nom principal de service uniquement pour lui-même.

$AccountName = 'ConnectorAccountName' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module 'ActiveDirectory' $RootDse = Get-ADRootDSE [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID # Getting AD Connector service account Information. $AccountProperties = Get-ADUser -Identity $AccountName $AclPath = $AccountProperties.DistinguishedName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value # Getting ACL settings for AD Connector service account. $ObjectAcl = Get-ACL -Path "AD:\$AclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself $AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None' $ObjectAcl.AddAccessRule($AddAccessRule) Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
Pour activer ou désactiver l'authentification unique avec Amazon WorkDocs
  1. Dans le volet de navigation de la console AWS Directory Service, sélectionnez Directories (Annuaires).

  2. Sur la page Directories (Annuaires), choisissez l'ID de votre annuaire.

  3. Sur la page Directory details (Détails de l'annuaire), sélectionnez l'onglet Application management (Gestion d'applications).

  4. Dans la URL section Accès aux applications, choisissez Activer pour activer l'authentification unique pour Amazon WorkDocs.

    Si le bouton Activer ne s'affiche pas, il se peut que vous deviez d'abord créer un accès URL avant que cette option ne s'affiche. Pour plus d'informations sur la création d'un accèsURL, consultezCréation d'un accès URL pour AWS Managed Microsoft AD.

  5. Dans la boîte de dialogue Activer l'authentification unique pour cet annuaire, choisissez Activer. L'authentification unique est activée pour l'annuaire.

  6. Si vous souhaitez désactiver ultérieurement l'authentification unique avec Amazon WorkDocs, choisissez Disable, puis dans la boîte de dialogue Désactiver l'authentification unique pour ce répertoire, choisissez à nouveau Disable.

Authentification unique pour IE et Chrome

Pour permettre aux navigateurs Microsoft Internet Explorer (IE) et Google Chrome de prendre en charge l'authentification unique, les tâches suivantes doivent être effectuées sur l'ordinateur client :

  • Ajoutez votre accès URL (par exemple, https ://<alias>.awsapps.com) à la liste des sites approuvés pour l'authentification unique.

  • Activez le script actif (JavaScript).

  • Autorisez l'ouverture de session automatique.

  • Activez l'authentification intégrée.

Vous ou vos utilisateurs pouvez effectuer ces tâches manuellement, ou vous pouvez modifier ces paramètres à l'aide des paramètres de politique de groupe.

Mise à jour manuelle pour authentification unique sous Windows

Pour activer manuellement l'authentification unique sur un ordinateur Windows, effectuez les étapes suivantes sur l'ordinateur client. Certains de ces paramètres sont peut-être déjà définis correctement.

Pour activer manuellement l'authentification unique pour Internet Explorer et Chrome sous Windows
  1. Pour ouvrir la boîte de dialogue Propriétés Internet, sélectionnez le menu Démarrer, tapez Internet Options dans la zone de recherche, puis sélectionnez Options Internet.

  2. Ajoutez votre accès URL à la liste des sites approuvés pour l'authentification unique en effectuant les étapes suivantes :

    1. Dans la boîte de dialogue Propriétés Internet, sélectionnez l'onglet Sécurité.

    2. Sélectionnez Intranet local, puis Sites.

    3. Dans la boîte de dialogue Intranet local, sélectionnez Avancé.

    4. Ajoutez votre accès URL à la liste des sites Web et choisissez Fermer.

    5. Dans la boîte de dialogue Intranet local, sélectionnez OK.

  3. Pour activer les scripts actifs, effectuez les opérations suivantes :

    1. Dans l'onglet Sécurité de la boîte de dialogue Propriétés Internet, sélectionnez Personnaliser le niveau.

    2. Dans la boîte de dialogue Paramètres de sécurité - Zone intranet locale, faites défiler la page jusqu'à Scripts et sélectionnez Activer sous Scripts actifs.

    3. Dans la boîte de dialogue Paramètres de sécurité - Zone intranet locale, cliquez sur OK.

  4. Pour activer la connexion automatique, effectuez les opérations suivantes :

    1. Dans l'onglet Sécurité de la boîte de dialogue Propriétés Internet, sélectionnez Personnaliser le niveau.

    2. Dans la boîte de dialogue Paramètres de sécurité - Zone intranet locale, faites défiler l'écran jusqu'à Authentification utilisateur et sélectionnez Connexion automatique uniquement dans la zone Intranet sous Connexion.

    3. Dans la boîte de dialogue Paramètres de sécurité - Zone intranet locale, cliquez sur OK.

    4. Dans la boîte de dialogue Paramètres de sécurité - Zone intranet locale, cliquez sur OK.

  5. Pour activer l'authentification intégrée, effectuez les opérations suivantes :

    1. Dans la boîte de dialogue Propriétés Internet, sélectionnez l'onglet Avancé.

    2. Faites défiler la page jusqu'à Sécurité et sélectionnez Activer l'authentification Windows intégrée.

    3. Dans la boîte de dialogue Propriétés Internet, choisissez OK.

  6. Fermez puis rouvrez votre navigateur pour que ces modifications prennent effet.

Mise à jour manuelle pour authentification unique sous OS X

Pour activer manuellement l'authentification unique pour Chrome sous OS X, effectuez les étapes suivantes sur l'ordinateur client. Vous devez disposer des droits d'administrateur sur votre ordinateur pour effectuer ces opérations.

Pour activer manuellement l'authentification unique pour Chrome sous OS X
  1. Ajoutez votre accès URL à la AuthServerAllowlistpolitique en exécutant la commande suivante :

    defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com"
  2. Ouvrez les Préférences système, accédez au panneau Profils et supprimez le profil Chrome Kerberos Configuration.

  3. Redémarrez Chrome et ouvrez chrome://policy dans Chrome pour vérifier que les nouveaux paramètres sont en place.

Paramètres de stratégie de groupe pour authentification unique

L'administrateur de domaine peut implémenter des paramètres de stratégie de groupe pour apporter les modifications d'authentification unique sur les ordinateurs clients joints au domaine.

Note

Si vous gérez les navigateurs Web Chrome sur les ordinateurs de votre domaine à l'aide des politiques Chrome, vous devez ajouter votre accès URL à ces AuthServerAllowlistrègles. Pour plus d'informations sur la définition des politiques de Chrome, veuillez consulter la section Policy Settings in Chrome (français non garanti).

Pour activer l'authentification unique pour Internet Explorer et Chrome à l'aide des paramètres de stratégie de groupe
  1. Créez un nouvel objet de stratégie de groupe en procédant comme suit :

    1. Ouvrez l'outil de gestion des stratégies de groupe, accédez à votre domaine et sélectionnez Objets de stratégie de groupe.

    2. Dans le menu principal, choisissez Action, puis Nouveau.

    3. Dans la boîte de GPO dialogue Nouveau, entrez un nom descriptif pour l'objet de stratégie de groupe, par exempleIAM Identity Center Policy, et laissez Source Starter GPO défini sur (aucun). Cliquez sur OK.

  2. Ajoutez l'accès URL à la liste des sites approuvés pour l'authentification unique en effectuant les étapes suivantes :

    1. Dans l'outil de gestion des politiques de groupe, accédez à votre domaine, sélectionnez Objets de stratégie de groupe, ouvrez le menu contextuel (clic droit) de votre politique IAM Identity Center, puis choisissez Modifier.

    2. Dans l'arborescence des politiques, accédez à Configuration utilisateur > Préférences > Paramètres Windows.

    3. Dans la liste Paramètres Windows, ouvrez le menu contextuel (clic droit) pour Registre et choisissez Nouvel élément de Registre.

    4. Dans la boîte de dialogue Propriétés du nouveau registre, entrez les paramètres suivants et cliquez sur OK :

      Action

      Update

      Hive

      HKEY_CURRENT_USER

      Chemin

      Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>

      La valeur de <alias> est dérivé de votre accèsURL. Si votre accès l'URLesthttps://examplecorp.awsapps.com, l'alias l'estexamplecorp, et la clé de registre le seraSoftware\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp.

      Nom de la valeur

      https

      Type de la valeur

      REG_DWORD

      Données de valeur

      1

  3. Pour activer les scripts actifs, effectuez les opérations suivantes :

    1. Dans l'outil de gestion des politiques de groupe, accédez à votre domaine, sélectionnez Objets de stratégie de groupe, ouvrez le menu contextuel (clic droit) de votre politique IAM Identity Center, puis choisissez Modifier.

    2. Dans l'arborescence des politiques, accédez à Configuration informatique > Politiques > Modèles d'administration > Composants Windows > Internet Explorer > Panneau de configuration Internet > Page de sécurité > Zone intranet.

    3. Dans la liste Zone Intranet, ouvrez le menu contextuel (clic droit) pour Autoriser les scripts actifs et choisissez Modifier.

    4. Dans la boîte de dialogue Autoriser les scripts actifs, entrez les paramètres suivants et cliquez sur OK :

      • Sélectionnez le bouton radio Activé.

      • Sous Options, définissez Autoriser les scripts actifs sur Activer.

  4. Pour activer la connexion automatique, effectuez les opérations suivantes :

    1. Dans l'outil de gestion des stratégies de groupe, accédez à votre domaine, sélectionnez Objets de stratégie de groupe, ouvrez le menu contextuel (clic droit) de votre SSO politique, puis choisissez Modifier.

    2. Dans l'arborescence des politiques, accédez à Configuration informatique > Politiques > Modèles d'administration > Composants Windows > Internet Explorer > Panneau de configuration Internet > Page de sécurité > Zone intranet.

    3. Dans la liste Zone Intranet, ouvrez le menu contextuel (clic droit) pour Options de connexion et choisissez Modifier.

    4. Dans la boîte de dialogue Options de connexion, entrez les paramètres suivants et cliquez sur OK :

      • Sélectionnez le bouton radio Activé.

      • Sous Options, définissez les options de connexion sur Connexion automatique uniquement dans la zone Intranet.

  5. Pour activer l'authentification intégrée, effectuez les opérations suivantes :

    1. Dans l'outil de gestion des politiques de groupe, accédez à votre domaine, sélectionnez Objets de stratégie de groupe, ouvrez le menu contextuel (clic droit) de votre politique IAM Identity Center, puis choisissez Modifier.

    2. Dans l'arborescence des politiques, accédez à Configuration utilisateur > Préférences > Paramètres Windows.

    3. Dans la liste Paramètres Windows, ouvrez le menu contextuel (clic droit) pour Registre et choisissez Nouvel élément de Registre.

    4. Dans la boîte de dialogue Propriétés du nouveau registre, entrez les paramètres suivants et cliquez sur OK :

      Action

      Update

      Hive

      HKEY_CURRENT_USER

      Chemin

      Software\Microsoft\Windows\CurrentVersion\Internet Settings

      Nom de la valeur

      EnableNegotiate

      Type de la valeur

      REG_DWORD

      Données de valeur

      1

  6. Fermez la fenêtre de l'éditeur de gestion des politiques de groupe si elle est toujours ouverte.

  7. Attribuez la nouvelle politique à votre domaine en procédant comme suit :

    1. Dans l'arborescence de gestion des politiques de groupe, ouvrez le menu contextuel (clic droit) de votre domaine et choisissez Lier un existant GPO.

    2. Dans la liste des objets de stratégie de groupe, sélectionnez votre politique IAM Identity Center et cliquez sur OK.

Ces modifications prendront effet après la prochaine mise à jour de la politique de groupe sur le client, ou la prochaine fois que l'utilisateur se connectera.

Authentification unique pour Firefox

Pour permettre au navigateur Mozilla Firefox de prendre en charge l'authentification unique, ajoutez votre accès URL (par exemple, https ://<alias>.awsapps.com) à la liste des sites approuvés pour l'authentification unique. Cela peut être fait manuellement ou automatiquement à l'aide d'un script.

Mise à jour manuelle pour authentification unique

Pour ajouter manuellement votre accès URL à la liste des sites approuvés dans Firefox, effectuez les étapes suivantes sur l'ordinateur client.

Pour ajouter manuellement votre accès URL à la liste des sites approuvés dans Firefox
  1. Ouvrez Firefox et ouvrez la page about:config.

  2. Ouvrez la network.negotiate-auth.trusted-uris préférence et ajoutez votre accès URL à la liste des sites. Utilisez une virgule (,) pour séparer plusieurs entrées.

Mise à jour automatique pour authentification unique

En tant qu'administrateur de domaine, vous pouvez utiliser un script pour ajouter votre accès URL aux préférences network.negotiate-auth.trusted-uris utilisateur de Firefox sur tous les ordinateurs de votre réseau. Pour plus d'informations, rendez-vous sur https://support.mozilla. org/en-US/questions/939037.