我们本质上是试图通过我们的一些产品提供一个单一的login场景。
我们希望允许客户在他们自己的机器上(这些机器不在我们的控制之下,并且不能在自己的活动目录中拥有机器)能够使用一组用户名/密码凭证login到Web应用程序(通过我们的域进行validation),然后从那里启动到RDP会话的链接(或者使用我们将安装或使用RD Web访问的URI处理程序在本地)。
当然,我们有一个问题,就是用户再次被要求提供他们的域名证书(我们的域名),似乎没有办法让我们能够从我们的networking应用程序传递某种types的令牌(已经有了根据我们的ADauthentication)允许SSO。
http://blogs.msdn.com/b/rds/archive/2007/04/19/how-to-enable-single-sign-on-for-my-terminal-server-connections.aspx似乎表明这目前是不可能的。 那是对的吗?
我已经看了几个select: – RD Web访问SSO(只有一半的地方,只有当客户端也在域上) – http://blogs.msdn.com/b/rds/archive/2009/ 08/11 / introduction-web-single-sign-on-for-remoteapp-and-desktop-connections.aspx – 存储并转发最初捕获的用户名/密码 – 这从安全angular度来看是令人震惊的。
有任何想法吗?
我相信答案将是“不与Microsoft RD客户端” – 它支持用户名/密码组合或转发NTLMlogin凭据(这不是在非域环境中所需的)。 一个可能的select是使用一个虚拟的智能卡,这个智能卡可以从你的networking服务器上获得一个短期的证书,但是这不仅需要在你的客户端计算机上安装软件,而且还需要一个广泛的(即很长的,可能很昂贵的)authentication过程对于需要的驱动程序。
您可能会考虑使用第三方产品(如Citrix XenDesktop),您的场景(支持Web门户login后的身份validation)将被支持。