Configure windows server rds 2019 sso

Введение

Функция Единый вход (англ. Single Sign-On или SSO), доступная в Панели управления, позволяет включить возможность аутентификации с помощью доверенной третьей стороны, используя установленные у вас сервисы SSO (Shibboleth, OneLogin или Active Directory Federation Services).

В общих чертах, технология единого входа позволяет пользователям осуществлять вход в систему только один раз, а затем получать доступ ко множеству приложений/сервисов без повторной аутентификации. Например, если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, пользователь автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.

SSO — это всегда совместная работа двух приложений: поставщика учетных записей (англ. Identity Provider, далее по тексту сокращенно «IdP») и поставщика сервиса (англ. Service Provider, далее по тексту сокращенно «SP»).

Р7-Офис SSO реализует только SP. В качестве IdP может выступать множество различных провайдеров, но Р7-Офис был протестирован только со следующими сервисами: Shibboleth, OneLogin и AD FS.

Используя SSO-аутентификацию, вы получаете следующие преимущества:

• Повышенное удобство. Пользователи получают более быстрый и простой способ доступа на портал, не требующий запоминания множества логинов и паролей.
• Повышенный уровень безопасности. Р7-Офис не хранит пароли пользователей ни в каком виде, а использует результаты аутентификации на стороне поставщика учетных записей.
• Удобное администрирование. Вся необходимая информация о пользователе передается в аутентификационном токене. При изменении информации о пользователе на стороне поставщика учетных записей данные автоматически обновятся на портале при последующей аутентификации с помощью SSO. Если профиль пользователя отсутствует на портале, он будет автоматически создан при первом входе пользователя на портал с помощью учетных данных SSO.

В Р7-Офис SSO-аутентификация реализована на базе безопасного и широко используемого стандарта SAML. SAML (Security Assertion Markup Language, язык разметки декларации безопасности) — стандарт на базе языка XML, позволяющий передавать данные об аутентификации и авторизации между поставщиком учетных записей и поставщиком сервиса через токены безопасности, содержащие утверждения.

В данной статье описан процесс включения SSO в целом. Если вас интересуют конкретные настройки или примеры для определенных поставщиков учетных записей, обратитесь к нашим статьям о настройке поставщика сервиса Р7-Офис и поставщиков учетных записей Shibboleth, OneLogin или AD FS.

Setting Up Remote Desktop Licensing Server 2012

We now need to configure server 2012 remote desktop licensing.You will need to purchase Remote Desktop CALs these are concurrent which means you buy the amount of licenses for the amount of people that will use remote desktop. Or if you have only 100 devices that will access remote desktop then you but 100 device CALS, links below. Once purchased you will receive license codes that we install later.

Device CAL Above                                            User CAL Above

Once done we need to add the licenses as the diagram below shows. Select Tools > Terminal Services and launch Remote Desktop Licensing manager, then right click your server and Activate, follow the wizard and enter you companies details until you get to the install licenses screen. Select the type of license you own and have been sent when we purchased CALS above and enter the details. Once checked by the Microsoft clearing house the license is now fully configured.

Подписывание сообщений SAML¶

В IdP сервере WSO2IS есть настройка, которой можно установить возможность
использования цифровой подписи SAML-сообщений.

Идем Main > Manage > SAML SSO

Находим наше приложение saml2.demo, открываем и редактируем его.

Enable Assertion Signing — признак говорит о том, что исходящие от IdP
сообщения будут внутри подписаны цифровой подписью формата XMLDSIG.
Наше приложение может проверять корректность этой подписи.

Enable Signature Validation in Authentication Requests and Logout Requests —
признак говорит о том, что приходящие на IdP запросы на вход и выход, будут
проверяться по сигнатуре SimpleSign.

Certificate Alias — наименование сертификата, через который будут проверяться
входящие запросы. Для проверки поставим “wso2carbon”.

Теперь выгрузим этот сертификат из хранилища сертификатов WSO2IS

keytool -importkeystore -srckeystore ~/wso2is-4.6.0/repository/resources/security/wso2carbon.jks -storepass wso2carbon -destkeystore wso2carbon.p12 -deststoretype PKCS12 -srcalias wso2carbon -srcstorepass wso2carbon

Достанем из сертификата закрытый ключ. При выгрузке потребуется ввести
пароль wso2carbon.

openssl pkcs12 -in wso2carbon.p12 -nocerts -nodes | openssl rsa > privkey.pem

Достанем также сертификат, чтобы получить из него публичный ключ.
При выгрузке потребуется ввести пароль wso2carbon.

openssl pkcs12 -in wso2carbon.p12 -clcerts -nokeys | openssl x509 -pubkey -noout > pubkey.pem

Теперь для проверки работы с подписями добавим выгруженные ключи в настройки
settings.py и укажем признаки необходимость подписи (‘signing’) и проверки
подписи (‘validate’):

SSO_CONFIG = {

....

   'signing': True,
   'validate': True,
   'public_key': '''-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCUp/oV1vWc8/TkQSiAvTousMzO
M4asB2iltr2QKozni5aVFu818MpOLZIr8LMnTzWllJvvaA5RAAdpbECb+48FjbBe
0hseUdN5HpwvnH/DW8ZccGvk53I6Orq7hLCv1ZHtuOCokghz/ATrhyPq+QktMfXn
RS4HrKGJTzxaCcU7OQIDAQAB
-----END PUBLIC KEY-----''',
   'private_key': '''-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----''',
}

nodejs: SSO-авторизация через Kerberos +12

• 16.02.17 09:16

•
sjoekle
•
#321962
•
Хабрахабр

•
Из песочницы

•

•

4200

Node.JS, Криптография, Разработка веб-сайтов
Рекомендация: подборка платных и бесплатных курсов веб разработки — https://katalog-kursov.ru/

Всё гениальное просто. Но до этой простоты нужно перечитать тысячи мануалов. Поэтому, разобравшись, мне захотелось написать quick start по тому, как сделать прозрачную авторизацию в Web-приложении для пользователя, авторизованного в AD, и поделиться своим тестовым проектом. Интересен взгляд со стороны.
Для начала немного теории. SSO, она же прозрачная авторизация, это идея, по которой пользователь раз вводит логин/пароль своей учётной записи в Active Directory при входе на компьютер, и дальше, открывая Web-приложение (не только, но речь о нём) уже автоматически авторизуется с данными своей учётки.
В браузерах для этого заложен принцип — получая в ответ на свой Get-запрос HTTP-код 401 «Not Authorized», и в HTTP-заголовках <WWW-Authenticate: Negotiate>, он, браузер, делает запрос в KDC (Key Distribution Center — одна из служб AD) на получение специального SPNEGO-токена для данного Web-сервиса. Если учётки для такого Web-сервиса нет в AD, то браузер берёт стандартный ответ для авторизации по NTLM. Но в данном случае мы считаем, что что-то пошло не так.
Итак, браузер, в случае корректных настроек данного Web-сервиса в AD, на ответ 401 вновь отправляет Get-запрос, но уже с заголовком вида <Authorization: YIIJvwYGKw… > Если токен начинается так, с «YII», значит это Kerberos-закодированный тикет, содержащий данные для авторизации.
Kerberos — это просто тип шифрования, но поскольку он в основном используется для SSO, эти понятия тесно связаны.
Далее Web-сервис, получив токен, с помощью kerberos-клиента отправляет его в KDC на проверку. И, в случае успеха, получает имя пользователя в AD. Которое дальше уже можно использовать для поиска данных о пользователе (например, групп, в которых он состоит) уже через другой сервис доступа к AD — LDAP.
Наиболее наглядно описывает этот процесс схема из официальной документации Microsoft. И, надо сказать, на удивление именно их документация дала наибольшее понимание предмета.Отсюда
Таким образом, помимо создания Web-приложения, нужны следующие действия:Что требуется сделать на стороне администраторов AD
— задать в AD SPN-имя для Web-сервиса (вида HTTP/[email protected]). Это позволит клиентским браузерам запрашивать токен для данного сервиса и передавать его в HTTP-заголовке Web-сервису, а Kerberos-клиенту через данный сервис на основе ключа проверять подлинность пользователей,
— сформировать для этого сервиса ключ krb5.keytab, который будет использоваться в Kerberos-клиенте для проверки подлинности пользователей.Дополнительные действия на сервере Web-сервиса
— потребуется установить Kerberos-клиент (в Windows он уже есть, в случае Linux — например, для RedHat команда для установки: yum install krb5-workstation krb5-libs krb5-auth-dialog krb5-devel);
— для него нужно будет настроить файл конфигурации krb5.conf для доступа к KDC (как — администраторы AD назовут правильные настройки, главный параметр — kdc);
— а также подложить файл ключа /etc/krb5.keytab.В Web-приложении
— устанавливается модуль kerberos, для работы с kerberos-клиентом,
— и модуль activedirectory, для выполнения LDAP-запросов.
Один неприятный момент — для Windows модуль kerberos предоставляет отдельный API, и использовать его не вышло. Если у кого-то есть решение — это была бы неоценимая помощь.
Для Linux модуль kerberos предоставляет два основных метода, которые нужны в работе:
— authGSSServerStep — отправка токена на проверку,
— authUserKrb5Password — авторизация по логин/пароль, на случай если прозрачная авторизация не сработала.
Документации по использованию методов нет, но есть толковые комментарии в файле lib\kerberos.js.
Вот основной кусок кода, проверяющий пришедший от браузера токен:

тестовый проект на GitHub

Запуск Keyloak в Docker

Итак, установим Docker. Запустим Keyloak в Docker с помощью команды:

docker-compose up

Файл docker-compose.yml прилагается (обратите внимание на строку — «9000:8080», она означает, что Keyloak будет работать на порту 9000 для нас):

version: "3.8"

services:
  postgres:
    container_name: postgres
    image: library/postgres
    environment:
      POSTGRES_USER: ${POSTGRES_USER:-postgres}
      POSTGRES_PASSWORD: ${POSTGRES_PASSWORD:-postgres}
      POSTGRES_DB: keycloak_db
    ports:
      - "5432:5432"
    restart: unless-stopped

  keycloak:
    image: jboss/keycloak
    container_name: keycloak
    environment:
      DB_VENDOR: POSTGRES
      DB_ADDR: postgres
      DB_DATABASE: keycloak_db
      DB_USER: ${POSTGRES_USER:-postgres}
      DB_PASSWORD: ${POSTGRES_PASSWORD:-postgres}
      KEYCLOAK_USER: admin
      KEYCLOAK_PASSWORD: admin_password
    ports:
      - "9000:8080"
    depends_on:
      - postgres
    links:
      - "postgres:postgres"

Теперь если зайти по адресу

http://localhost:9000/

откроется вход в панель администратора (имя и пароль тоже смотрите в docker.yml — это admin и admin_password):

Поскольку у нас будет еще клиент на Spring Boot на localhost:8080, с которого пользователи будут перенаправляться на Keyloak для авторизации (а потом обратно), то чтобы избежать перезаписи cookies дадим серверу Keyloak псевдоним auth-server файле в hosts.

В C:\Windows\System32\drivers\etc\hosts добавим строку 127.0.0.1 auth-server. И далее будем обращаться к Keyloak как auth-server:9000 — с клиента и с сервера ресурсов.

Теперь нужно зарегистрировать на Keyloak будущий клиент. И заодно пользователей, поскольку мы рассматриваем Authorization Code Flow — в нем участвуют не только client credentials, но и пользователь, который разрешает клиенту доступ к ресурсам.

Включаем NLA – Network Level Authentication

Функция NLA появляется в NT 6.0, а позже добавляется возможность её частичного использования в предыдущей версии ОС путём установки SP3 для XP.Суть данной функции достаточно проста. В версиях RDP до 6.0 при подключении по RDP клиенту до аутентификации надо показать окно входа – т.е. вначале показать, а потом уже он попробует зайти в систему. Это создаёт простую уязвимость – сервер можно перегрузить пачкой запросов “а дай-ка мне попробовать новую сессию начать”, и он будет вынужден на все запросы отвечать созданием сессии и ожиданием входа пользователя. Фактически, это возможность DoS. Как с этим можно бороться? Логично, что надо придумать схему, целью которой будет как можно раньше запросить у клиента учётные данные. Оптимально – чтобы было что-то типа как kerberos в домене. Это и было сделано. NLA решает две задачи:

• Клиент аутентифицируется до инициации терминальной сессии.
• Появляется возможность передать данные локального клиентского SSP на сервер, т.е. начинает работать Single Sign-On.

Реализуется это через новый провайдер безопасности – CredSSP. Почитать его техническую спецификацию можнотут, ну, а говоря проще, надо всегда включать данную функцию. Конечно, учитывая, что для её работы нужно, чтобы:

• Клиентская ОС (та, с которой идёт подключение) была Windows XP SP3 и выше.
• Серверная ОС (та, к которой будет подключение) была Windows Server 2008 и выше.

Как включается NLA со стороны RDP-сервера

Лучше всего включить NLA на всех серверах через групповую политику. Для этого надо зайти в целевой объект групповой политики и там последовательно выбрать “Computer Configuration” -> “Administrative Templates” -> “Windows Components” -> “Remote Desktop Session Host” -> “Security” и там включить параметр Require user authentication for remote connections by using Network Layer Authentication.

Можно включить и локально. Это делается путём вызова подменю Properties (стандартное подменю у Computer) и выбора там вкладки Remote, в которой будет выбор из трёх вариантов – запрещать подключения по RDP к данному хосту, разрешать подключения по любому RDP, разрешать только с NLA. Всегда включайте вариант с NLA, это в первую очередь защищает сервер.

NLA и Windows XP

В случае, если у Вас Windows XP, то Вы также можете воспользоваться данной функцией. Распространённое утверждение “Для NLA нужна как минимум виста, это Microsoft сделал чтобы апгрейдились” ложно. В Service Pack 3 добавляется реализация CredSSP, позволяющая делегировать клиентские credentials’ы, которыми обладает местный SSP, на сервер. Т.е., говоря проще, это специально сделано, чтобы с Windows XP можно было подключаться на системы с NT 6.0+. На саму Windows XP SP3 с данной функцией подключаться не получится, поддержка NLA будет частичной (поэтому RDP сервер с поддержкой подключения клиентов с использованием NLA из Windows XP сделать штатными способами не получится, Windows XP будет только NLA-совместимым клиентом).

Включать данный функционал нужно в явном виде, так как несмотря на то, что Service Pack 3 добавляет приносит новую dll криптопровайдера, он её не включает.

Как включить CredSSP в XP

Ещё раз – данная операция проводится строго после установки Service Pack 3 на Windows XP и в контексте нашего разговора нужна для того, чтобы было возможно подключение к другим серверам по RDP 6.1 с использованием NLA.

Шаг первый – расширяем перечень Security Packages.Для этого мы откроем ключ реестра

и найдём в нём значение . Нажмём правую кнопку и выберем “Modify” (не Modify Binary Data, а просто Modify). Там будет список вида “название package на каждой строке”. Нам надо добавить туда . Остальное надо оставить. Место добавления некритично.

Второй шаг – подцепляем библиотеку.Ключ будет другим:

В нём надо будет найти значение  (заметьте, как и в предыдущем случае, это не subkey, а значение), и модифицировать его по аналогии, только добавив . Остальное в списке, опять же, трогать не надо.

Теперь редактор реестра можно закрыть. После этих операций систему надо будет обязательно перезагрузить, т.к. криптопровайдеры – штука такая, которая на ходу точно не подцепится, и это скорее хорошо, чем плохо.

Привязываем RDP к конкретному адаптеру и порту

Для того, чтобы сервер работал безопасно и предсказуемо (например, не начинал принимать подключения с нового, свежедобавленного сетевого адаптера), необходимо в явном виде указать, на каких интерфейсах служба RDP-сервера должна принимать подключения. Плюс, достаточно часто бывает полезным переключить порт, на котором сервер слушает подключения. Конечно, можно это сделать и публикуя сервер с RDP через какой-нибудь шлюз, но можно и без этого. Такие, казалось бы, базовые действия в реальности ощутимо снизят процент дураков-скрипткиддисов, которые очередной “мощной тулзой” проверяют wellknown-порты.

Откройте оснастку Remote Desktop Session Host Configuration (найдёте в mmc или готовую в меню Administrative Tools -> Remote Desktop Connections), выберите из списка Connections нужное подключение (обычно оно одно и называется RDP-Tcp), и откройте Properties, после – вкладку Network Interfaces. В ней Вы сможете выбрать один конкретный интерфейс, на котором надо ожидать подключения, плюс ограничить количество параллельных сессий.

Если у Вас много интерфейсов, и Вам надо, допустим, чтобы можно было подключаться через 2 из 5 доступных, то Вам надо будет привязать существующий по-умолчанию RDP-Tcp к одному адаптеру, после зайти в меню Action и там выбрать Create New Connection. Подключение может слушать либо на всех интерфейсах, либо на одном, и в случае, когда надо, чтобы оно слушало на N интерфейсах, придётся создать N подключений.

Соответственно, если у Вас есть задача “Чтобы на одном интерфейсе RDP слушал на одном порту, а на другом – на другом”, она решаема так же – отвязываете дефолтный от всех адаптеров и привязываете к конкретному, после – создаёте новое RDP-подключение и тоже привязываете к нужному сетевому интерфейсу.

Как привязать службу RDP к не-дефолтному порту

Порт по умолчанию – 3389 TCP. Кстати, не забудьте разрешить его в пакетном фильтре. Ну а если хотите другой – надо зайти в ключ реестра

и поправить в нём значение . Учитывайте, что отслеживание конфликтов в плане занятости портов – на Вашей совести, сам он, обнаружив, что назначенный Вами порт занят, “перепрыгнуть” никуда не сможет.

Настройка браузера для SSO

Откройте ваш Internet Explorer и перейдите в его свойства.

Перейдите на вкладку «Безопасность» далее «Местная интрасеть — Сайты» нажимаем кнопку «Дополнительно» и добавляем адрес нашего ManageEngine ServiceDesk в узлы.

Установите на интрасети, низкий уровень безопасности и нажмите кнопку «Другой»

Активируйте пункт «Автоматический вход в сеть с текущим именем пользователя и паролем»

Далее сохраните настройки и перейдите на вкладку «Дополнительно» и активируйте галку «Разрешить встроенную проверку подлинности Windows»

После этого закройте Internet Explorer и заново откройте. Проверьте сквозную авторизацию в ManageEngine ServiceDesk.

Включаем Kerberos аутентификацию в Google Chrome

Google Chrome берет все настройки SSO из Internet Explorer, так что настройте его и еще выполните вот такую команду. Кроме того, нужно отметить, что все новые версии Chrome автоматически определяют наличие поддержки Kerberos. В том случае, если используется одна из старых версий Chrome (Chromium), для корректной авторизации на веб-серверах с помощью Kerberos, его нужно запустить с параметрами:

• —auth-server-whitelist=»*.pyatilistnik.org»
• —auth-negotiate-delegate-whitelist=»*.pyatilistnik.org»

Например, «C:\Program Files (x86)\Google\Chrome\Application\chrome.exe» —auth-server-whitelist=»*.pyatilistnik.org» —auth-negotiate-delegate-whitelist=»*.pyatilistnik.org». Сделать это можно из командной строки.

На этом у меня все. Мы с вами подробно разобрали настройку сквозной авторизации (единого входа) в ManageEngine ServiceDesk 10016. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Multi-Domain SSO

To be able to use multi-domain single-sign-on, your LDAP directory servers must first be joined in a trust.

Consider we have two domains: alpha.local and bravo.local.

If you have a web server that is joined to the alpha.local domain that is hosting your
Laravel application, it must allow users to authenticate to the bravo.local domain.

Once you have a working trust defined between your domains, you must follow the steps of
setting up multi-domain authentication.
You may skip step 2, if you do not need a login page for your users.

After completing the above linked guide, you must instruct the middleware to
utilize your LDAP authentication guards that you have configured in your file
by calling the method:

Or, if you prefer, you may define the middleware as a named middleware inside
your , and insert the guard names in the definition of your routes:

Then, utilize it inside your routes file:

Базовая настройка терминального сервера

Сначала проверим имя рабочей группы и описание компьютера.

1. Открываем «Панель управления», переходим в раздел «Система».
2. Нажимаем «Изменить параметры».
3. На вкладке «Имя компьютера» смотрим, как он идентифицируется в сети. Если имя компьютера или рабочей группы слишком сложное, нажимаем «Изменить» и задаем другие идентификаторы. Для применения нужно перезагрузить систему.

После проверки имени смотрим и при необходимости меняем сетевые настройки. В «Панели управления» открываем раздел «Сетевые подключения».

Переходим в свойства используемого подключения, открываем свойства «IP версии 4». Указываем настройки своей сети. IP, маска и шлюз должны быть статичными.

Комьюнити теперь в Телеграм

Подпишитесь и будьте в курсе последних IT-новостей

Подписаться

Шаг 6. Создание правил утверждений

1. Добавьте первое правило, нажав на Add Rule…

2. Выберите правило Send LDAP Attributes as Claims.

3. • Нажмите Finish или ОК для сохранения нового правила.

4. Далее добавьте второе правило и выберите Transform an Incoming Claim для параметра Claim rule template.

   • Дайте имя вашему правилу утверждения, например, Transform Account Name

   • Выберите Windows account name для параметра Incoming Claim Type

   • Выберите Name ID для параметра Outgoing Claim Type

   • Выберите Transient Identifier для параметра Outgoing Name ID Format

   • Оставьте Pass through all claim values выбранным, как он стоит по умолчанию

5. Нажмите ОК для создания правила утверждения, а затем снова ОК для подтверждения завершения создания правил.

Почему вам следует использовать систему единого входа Zoom для своего бизнеса?

Используя единый вход, все пользователи в вашей организации смогут пройти аутентификацию с использованием внутренних учетных данных, которые они обычно используют для входа на портал организации. Ваша компания может извлечь выгоду из Zoom SSO, не позволяя пользователям создавать другой набор данных для входа в систему для использования Zoom для видеозвонков и совместной работы.

Если вы используете систему единого входа Zoom для своего бизнеса, вы и ваши сотрудники можете использовать информацию для единого входа во всей организации, избегая, таким образом, необходимости безопасного хранения новых данных. SSO также помогает вам лучше управлять настройками учетных записей всех сотрудников вашей организации и предотвращает беспорядок, когда одна учетная запись создает несколько онлайн-профилей для доступа к различным службам.

Сопоставление атрибутов

В разделе Сопоставление атрибутов можно указать соответствие полей модуля Люди Р7-Офис атрибутам пользователя, которые будут возвращаться из поставщика учетных записей. Когда пользователь осуществляет вход в Р7-Офис SP с использованием учетных данных SSO, Р7-Офис SP получает требуемые атрибуты и заполняет полное имя и адрес электронной почты для учетной записи пользователя значениями, полученными от поставщика учетных записей. Если такого пользователя нет в модуле «Люди», он будет создан автоматически. Если информация о пользователе была изменена на стороне поставщика учетных записей, данные также обновятся в поставщике сервиса.

Доступны следующие атрибуты:

• Имя (обязательное поле) — атрибут в записи пользователя, соответствующий имени пользователя.
• Фамилия (обязательное поле) — атрибут в записи пользователя, соответствующий фамилии пользователя.
• Электронная почта (обязательное поле) — атрибут в записи пользователя, соответствующий адресу электронной почты пользователя.
• Местоположение — атрибут в записи пользователя, соответствующий местоположению пользователя.
• Должность — атрибут в записи пользователя, соответствующий должности пользователя.
• Телефон — атрибут в записи пользователя, соответствующий номеру телефона пользователя.

Когда все параметры будут указаны в Панели управления, нажмите кнопку Сохранить. Откроется раздел Метаданные поставщика сервиса Р7-Офис.

Single sign-on using Azure Active Directory

This section explains how to implement single sign-on (SSO) using Azure Active Directory (AAD) as an identity provider with domain joined workloads in hybrid or AAD enrolled endpoints. With this configuration, you can authenticate to Workspace using Windows Hello or FIDO2 on endpoints that are enrolled to AAD.

Prerequisites

• An active Azure Active Directory connection to Citrix Cloud. For more information, see Connect Azure Active Directory to Citrix Cloud.

• An Azure Active Directory workspace authentication. For more information, see .

• Verify if you have configured Azure AD Connect. For more information, see Getting started with Azure AD Connect using express settings.

• Activate Pass-through authentication on Azure AD Connect. Also, verify if the Single sign-on and the Pass-through options work on the Azure portal. For more information, see Azure Active Directory Pass-through Authentication: Quickstart.

Configuration

Do the following steps to configure SSO on your device:

1. Install the Citrix Workspace app using the Windows command line with the option:

1. Reboot your device.

2. Open the Citrix Workspace app Group Policy Object administrative template by running .

3. Go to Administrative Templates > Citrix Components > Citrix Workspace > User Authentication > Local user name and password.

4. Select Enable pass-through authentication. Depending on the configuration and security settings, select the Allow pass-through authentication for all ICA option for pass-through authentication to work.

5. Modify the User Authentication settings in Internet Explorer. To modify the settings:

   • Open Internet Properties from the Control panel.

   • Navigate to General Properties > Local Intranet and click Sites.

   • In the Local Intanet window, click Advanced, add trusted sites, add the following trusted sites, and click Close:

6. Disable extra authentication prompts by disabling the attribute in your tenant. For more information, see User Prompted for Additional Credentials on Workspace URLs When Using Federated Authentication Providers. You can contact Citrix technical support to disable the attribute in your tenant to successfully configure Single sign-on.

7. Enable domain pass-through authentication on the Citrix Workspace app client. For more information, see .

8. Restart the Citrix Workspace app for the changes to take effect.