Accès à un serveur RDS depuis l'application Royal TS avec enregistrement et coffre-fort¶
Cet article décrit la procédure pour utiliser directement l’application Royal TS installée localement sur le poste d’un utilisateur, tout en ayant la session enregistrée et en utilisant le coffre-fort de mots de passe.
De cette façon, l’utilisateur, qu’il soit en interne à l’organisation ou à distance pourra continuer d’utiliser cette application sans avoir à passer obligatoirement par le portail web utilisateur.
Le principe de fonctionnement est le suivant : depuis l’application Royal TS locale au poste de l’utilisateur, une connexion RDP sera initiée directement vers la Edge Gateway cyberelements qui, suivant les autorisations et paramétrages en place, permettra d’accéder à un serveur RDP cible.
Un utilisateur à distance devra au préalable disposer d’une connexion VPN.
Prérequis¶
Attention
A ce stade, certains MFA ne sont pas supportés en accès direct sans agent.
Il s'agit des MFA de type : FIDO2, certificat utilisateur ou encore l'e-CPS.
Il faut donc dupliquer le domaine d'authentification. Laissez le champ Jeton d'authentification vide pour les utilisateurs internes réalisant des accès directs :
Il est nécessaire d'activer le service cleanroom-xdrp-direct présent par défaut sur les serveurs cyberelements Edge Gateway pour les accès directs RDP sans agent.
Commencez par ouvrir une session SSH en root sur le serveur Edge Gateway concerné.
Puis exécutez la commande suivante pour activer :
1 | |
Utilisez ensuite la commande suivante pour démarrer le service :
1 | |
Information
Il est possible de contrôler le statut du service en exécutant la commande :
1 | |
Configuration des applications accessibles¶
Commencez par configurer les applications RDP cibles.
La case Mode sans agent doit obligatoirement être cochée.
Exemple
Configuration d'un contrat sans agent¶
Il faut ensuite configurer un contrat d'accès pour permettre aux utilisateurs d'accéder directement à la ressource.
Ouvrez le menu contrat d'accès RDP direct sans agent :
Dans l'onglet Groupes, sélectionnez les groupes d'utilisateurs concernés par le contrat par un simple glisser-déposer dans la liste de droite :
Dans l'onglet Sites, sélectionnez le site concerné :
Dans l'onglet Applications, sélectionnez les applications auxquelles les utilisateurs pourront accédées. Les applications sont organisées par catégories. Il est possible de sélectionner une catégorie entière en cliquant dessus ou de seulement sélectionner certaines applications en cliquant sur le pour dérouler la catégorie :
Syntaxe du login dans l'application Royal TS¶
Il est nécessaire d'utiliser une syntaxe particulière pour le login au niveau de l'application Royal TS sur le poste.
La syntaxe est de la forme : USERNAME/CYBERELEMENTS_DOMAIN_NAME:APPLICATION_NAME
Attention !
La syntaxe est sensible à la casse !
Personnalisez votre login selon vos paramètres d'authentification :
| Valeur personnalisée | Variable | Description |
|---|---|---|
USERNAME |
Nom de l'utilisateur cyberelements.io ou cyberelements Cleanroom | |
CYBERELEMENTS_DOMAIN_NAME |
Nom du fournisseur d'identités cyberelements.io ou du domaine cyberelements Cleanroom de connexion de l'utilisateur | |
APPLICATION_NAME |
Nom de l'application RDP sans agent à accéder |
1 | |
Exemple
Remarque
- Le mot de passe est à laisser vide.
- L'IP cible est celle de la passerelle Edge Gateway cyberelements du site concerné
Au lancement de la connexion, le mot de passe du compte indiqué dans l'identifiant précédent est demandé :
Après saisie du mot de passe, la connexion au serveur s'effectue et un message rappelle que la session est enregistrée :
