Introduction
Dans ce tutoriel, nous allons voir comment configurer le SSO sur l’Admin Center quand celui-ci est installé en passerelle (gateway).
L’installation en tant que passerelle consiste à installer l’Admin Center sur un serveur Windows 2016 ou 2019 qui est dédié à l’administration.
Sans configuration d’une délégation Kerberos contrainte, le message, il n’est pas possible de se connecter en utilisant l’option Utiliser mon compte pour cette connexion et un message d’alerte s’affiche.
Configuration d’une délégation Kerberos contrainte pour le SSO
La configuration se fait en PowerShell depuis un contrôleur de domaine.
Pour autoriser un serveur :
Set-ADComputer -Identity (Get-ADComputer SRV-ALLOW-SSO) -PrincipalsAllowedToDelegateToAccount (Get-ADComputer SRV-ADMINCENTER)
Pour autoriser plusieurs serveurs, utiliser le script ci-après en modification la variable $ServerWAC
en indiquant le serveur Admin Center et entrer les serveurs où le SSO doit être configuré dans la variable $Servers
qui est un tableau (array).
$ServerWAC = "SRV-ADMINCENTER"
$Servers = "SRV-ALLOW-SSO-01","SRV-ALLOW-SSO-01"
foreach($Server in $Servers){
Set-ADComputer -Identity (Get-ADComputer $Server) -PrincipalsAllowedToDelegateToAccount (Get-ADComputer $ServerWAC)
}
Valider la configuration
Toujours depuis l’invite de commande PowerShell, entrer la commande ci-dessous en adaptant la commande au serveur qui est testé :
Get-ADComputer SRV-ALLOW-SSO -Properties * | Format-List -Property *delegat*,msDS-AllowedToActOnBehalfOfOtherIdentity
La propriété PrincipalsAllowedToDelegateToAccount
doit afficher le CN du serveur Admin Center et TrustedForDelegation
doit être à true
.