none
Server 2012R2 - RDG mit ADFS Trust RRS feed

  • Allgemeine Diskussion

  • Hallo Zusammen,

    ich bin momentan etwas am verzweifeln, da ich einfach keine Quelle finde die mir Zusammenhänge und Beispielkonfig für mein Vorhaben bieten kann. 

    Wir bieten eine Applikation an, welche per Remotedesktop ausgeführt wird. Zu diesem Zweck betreiben wir auch ein RDG bzw RDWeb.

    Wir möchten nun einem Kunden ermöglichen, dass dessen User (am besten SSO) mit deren Unternehmensaccounts auf unsere Termianls zugreifen können.

    Ich dachte mir nun das müsse per ADFS realisierbar sein, verstehe aber absolut nicht wie das angepackt werden muss.

    Ich habe bisher nur Erklärungen bzgl. SSO aus dem eigenen Netz usw gefunden. 

    Kann mir da jemand weiterhelfen oder kennt einen guten Link zum Thema?

    Freitag, 1. Juli 2016 10:02

Alle Antworten

  • Moin,

    ich bin mir ziemlich sicher, dass es über einen ADFS-Trust nicht geht, denn ADFS bietet ja nur Authentifizierung und keine Authorisierung. Die Authorisierung und der anschließende Aufbau der RDS-Session geschehen aber mit Windows-Accounts. Und an diese kommt der Connection Broker oder die Session Hosts über einen ADFS-Trust nicht ran, wenn sie aus einem fremden Forest stammen.

    Über einen normalen Trust geht das schon, auch mit SSO, aber das ist wohl in Deinem Anwendungsfall nicht vorgesehen. Und falls doch, dann funktioniert es mehr oder weniger von alleine, Du musst lediglich mit den Gruppen aufpassen, auf die Du die RemoteApp berechtigst.


    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Samstag, 2. Juli 2016 19:03
  • Wie funktioniert die Autorisierung denn dann im Fall einer Web-Anwendung?

    Bzw. wäre es möglich das Token, welches vom ADFS kommt so zu modifizieren, dass ein AD-User des lokalen AD heraus kommt?

    D.h.:

    Anmeldung AD-B\User -> ADFS -> Token -> AD-A\User -> RDWeb

    Donnerstag, 7. Juli 2016 13:21
  • Hmm. Mit einem UPN based Claim könnte es gerade so gehen. Du müsstest die User im Resource Forest (also in Deinem) irgendwie generieren, im Zweifel hänfidsch. Ob der so erstellte Token bereits für RDWeb und vor allem für die Gateway-Anmeldung reicht, wird man sehen müssen. Gerade am Gateway ist SSO ja immer sehr fragil...

    Ich kann es mir mal im Labor angucken, wird aber vor Sonntag nichts.


    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 7. Juli 2016 13:57
  • Hi Evgenij,

    die Generierung der User habe ich schon befürchtet. Wir denken auch darüber nach per Script die jeweiligen User über einen separaten Web-Service von einem AD ins andere zu "kopieren". D.h. wird in AD A ein User angelegt oder geändert, wird er in AD B automatisch generiert.

    Anders wäre wohl auch die Gruppenzugehörigkeit wohl nicht möglich. Ist aber alles in allem keine schlechte Lösung, da wir so auch die Berechtigungen für unsere Windows-Applikation gleich mit generieren.

    Wenn du das im Labor testen kannst, wäre das natürlich extrem gut! Ich versuche hier momentan auch eine Teststellung zu installieren, komme aber noch nicht wirklich weit.

    Beste Grüße

    Daniel

    Donnerstag, 7. Juli 2016 15:40