Authentification intégrée Windows

Configuration Trustelem

L’option « Authentification Intégrée Windows » dans l’onglet sécurité doit être activée. En cas de difficultés il faut s’assurer que les conditions suivantes sont bien remplies:

  • La plage des IP internes doit être renseignée et l’accès doit être fait depuis cette zone (l’authentification intégrée Windows n’étant active que sur la zone interne).
  • L’accès se fait sur le site https://masociete.trustelem.com (la console d’administration Trustelem ne supporte pas l’authentification intégrée).
  • L’utilisateur dont la session Windows est ouverte doit avoir été préalablement importé depuis un annuaire Active Directory. D’autre part il faut qu’au moins un connecteur pour cet annuaire soit connecté et activé pour que l’authentification puisse s’effectuer.
  • A noter: le journal inscrit un échec de connexion avec l’identité de l’utilisateur si un utilisateur du domaine non enregistré dans Trustelem est identifié par l’authentification intégrée.


Configuration serveur

  • Se connecter à l’un de vos serveurs en tant qu’administrateur de domaine
  • Ouvrir une fenêtre d’invite de commandes et copier la commande suivante :

    setspn -s HTTP/masociete.trustelem.com trustelem-user
    remplacer le nom ‘trustelem-user’ par celui de l’utilisateur exécutant le connecteur Trustelem


Configuration des postes clients

L’activation de l’authentification intégrée Windows est une opération spécifique à chaque navigateur.

  • Se connecter sur un contrôleur de domaine en tant qu’administrateur du domaine
  • Télécharger le fichier à l’adresse https://support.google.com/chrome/a/answer/187202
  • Extraire le dossier
  • Ouvrir la console de gestion des Group Policies (gpmc.msc)
  • Choisir un GPO existant ou en créer un nouveau

    gpo chome

  • Editer la policy (Clic droit > Edit)
  • Naviguer jusqu’à User Configuration/Policies/Administrative Template, faire clic droit > “Add/Remove a template”

    gpo chome

  • Cliquer sur “Add” et sélectionner le fichier dans le dossier extrait précédemment (policy_template/windows/adm/{langue}/chrome.adm)

    gpo chome

  • Naviguer jusqu’à User Configuration/Policies/Administrative Template/Classic Administrative Templates(ADM)/Google/Google Chrome/Policies for HTTP Authentication/Authentication server whitelist, faire clic droit > “Edit”
  • Cliquer sur “Enabled” et entrer “*.trustelem.com” comme valeur

    gpo chome

  • Naviguer jusqu’à User Configuration/Policies/Administrative Template/Classic Administrative Templates(ADM)/Google/Google Chrome/Policies for HTTP Authentication/Supported authentication schemes, faire clic droit > “Edit”
  • Cliquer sur “Enabled” et entrer “negotiate” comme valeur

    gpo chome

  • S’assurer ensuite que la politique est bien activée et liée à un domaine

  • Se connecter sur un contrôleur de domaine en tant qu’administrateur du domaine
  • Ouvrir la console de gestion des Group Policies (gpmc.msc)
  • Choisir un GPO existant ou en créer un nouveau

    gpo ie

  • Editer la policy (Clic droit > Edit)
  • Naviguer jusqu’à User Configuration/Policies/Administrative Template/Windows Components/Internet Explorer/Internet Control Panel/Security Page/Site to Zone Assignment List, faire clic droit > “Edit”
  • Cliquer sur “Enabled” et entrer “*.trustelem.com” comme valeur et “1” (Intranet zone) dans le champ de droite

    gpo ie

  • Naviguer jusqu’à User Configuration/Policies/Administrative Template/Windows Components/Internet Explorer/Internet Control Panel/Security Page/Intranet Zone/Logon Options, faire clic droit > “Edit”
  • Cliquer sur “Enabled” et choisir “Automatic logon with current username and password”

    gpo ie

  • S’assurer ensuite que la politique est bien activé et liée à un domaine

  • Dans le menu démarrer Windows, recherchez : Options Internet > Sécurité
  • Sélectionnez l’icône Intranet local, puis cliquez sur Sites
  • Dans la fenêtre Intranet local, s’assurer que la case Inclure tous les sites locaux (intranet) non mentionnés dans d’autres zones soit sélectionnée, puis cliquer sur Avancé
  • Dans la fenêtre Intranet local, remplir la zone Ajouter ce site Web à la zone en indiquant le nom d’hôte *.trustelem.com de sorte que la connexion unique (SSO) soit activée pour les sites Web figurant dans la liste de la zone Sites Web. Cliquer sur OK, puis fermer la fenêtre Intranet local
  • Dans la fenêtre Options Internet > Sécurité > Intranet local, cliquer sur Personnaliser le niveau… > Authentification utilisateur et sélectionner Connexion automatique avec le nom d’utilisateur et le mot de passe actuel
  • Cliquer sur OK. Redémarrer Microsoft Internet Explorer / Edge pour activer cette configuration

  • Sur le poste de travail, ouvrir une session Active Directory
  • Lancer Firefox
  • Dans la zone d’adresse, entrer about:config
  • Sélectionner le paramètre network.negotiate-auth.trusted-uris
  • Entrer votre nom d’hôte Trustelem personnalisée masociete.trustelem.com ou l’ajouter à la liste, séparée par des virgules
  • Cliquer sur OK
  • Redémarrer Firefox