Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Activation de l'authentification unique pour AWS Managed Microsoft AD
<a name="ms_ad_single_sign_on"></a>

AWS Directory Service permet à vos utilisateurs d'accéder à l'annuaire à WorkDocs partir d'un ordinateur connecté à l'annuaire sans avoir à saisir leurs informations d'identification séparément. 

Avant d'activer l'authentification unique, vous devez prendre des mesures supplémentaires pour permettre aux navigateurs Web de vos utilisateurs de prendre en charge l'authentification unique. Les utilisateurs peuvent avoir besoin de modifier les paramètres de leur navigateur Web pour activer l'authentification unique. 

**Note**  
L'authentification unique fonctionne uniquement lorsqu'elle est utilisée sur un ordinateur qui est associé à l'annuaire Directory Service . Elle ne peut pas être utilisée sur les ordinateurs qui ne sont pas joints à l'annuaire.

Si votre annuaire est un annuaire AD Connector et que le compte de service AD Connector ne dispose pas de l'autorisation d'ajouter ou de supprimer son attribut de nom principal de service, vous disposez de deux options pour les étapes 5 et 6 ci-dessous :

1. Vous pouvez continuer et vous serez invité à saisir le nom d'utilisateur et le mot de passe d'un utilisateur d'annuaire qui dispose de cette autorisation pour ajouter ou supprimer l'attribut de nom principal de service sur le compte de service AD Connector. Ces informations d'identification servent uniquement à activer l'authentification unique et ne sont pas stockées par le service. Les autorisations du compte de service AD Connector ne sont pas modifiées.

1. Vous pouvez déléguer des autorisations pour permettre au compte de service AD Connector d'ajouter ou de supprimer l'attribut du nom principal du service sur lui-même. Vous pouvez exécuter les PowerShell commandes ci-dessous à partir d'un ordinateur joint au domaine à l'aide d'un compte autorisé à modifier les autorisations sur le compte de service AD Connector. La commande ci-dessous donnera au compte de service AD Connector la possibilité d'ajouter et de supprimer un attribut de nom principal de service uniquement pour lui-même.

```
$AccountName = 'ConnectorAccountName'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$RootDse = Get-ADRootDSE
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting AD Connector service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AclPath = $AccountProperties.DistinguishedName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for AD Connector service account.
$ObjectAcl = Get-ACL -Path "AD:\$AclPath"
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
```

**Pour activer ou désactiver l'authentification unique avec WorkDocs**

1. Dans le volet de navigation de la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), sélectionnez **Directories** (Annuaires).

1. Sur la page **Directories (Annuaires)**, choisissez l'ID de votre annuaire.

1. Sur la page **Directory details (Détails de l'annuaire)**, sélectionnez l'onglet **Application management (Gestion d'applications)**.

1. Dans la section **URL d'accès à l'application**, choisissez **Activer** pour activer l'authentification unique pour WorkDocs. 

   Si vous ne voyez pas le bouton **Activer**, vous devez d'abord créer une URL d'accès pour pouvoir afficher cette option. Pour plus d'informations sur la création d'une URL d'accès, veuillez consulter [Création d'une URL d'accès pour AWS Managed Microsoft AD](ms_ad_create_access_url.md). 

1. Dans la boîte de dialogue **Activer l'authentification unique pour cet annuaire**, choisissez **Activer**. L'authentification unique est activée pour l'annuaire. 

1. Si vous souhaitez désactiver ultérieurement l'authentification unique avec WorkDocs, choisissez **Désactiver**, puis dans la boîte de dialogue **Désactiver l'authentification unique pour ce répertoire**, sélectionnez à nouveau **Désactiver**. 

**Topics**
+ [Authentification unique pour IE et Chrome](#ie_sso)
+ [Authentification unique pour Firefox](#firefox_sso)

## Authentification unique pour IE et Chrome
<a name="ie_sso"></a>

Pour permettre aux navigateurs Microsoft Internet Explorer (IE) et Google Chrome de prendre en charge l'authentification unique, les tâches suivantes doivent être effectuées sur l'ordinateur client :
+ Ajoutez votre URL d'accès (par exemple, https ://*<alias>*.awsapps.com) à la liste des sites approuvés pour l'authentification unique.
+ Activez le script actif (JavaScript).
+ Autorisez l'ouverture de session automatique.
+ Activez l'authentification intégrée.

Vous ou vos utilisateurs pouvez effectuer ces tâches manuellement, ou vous pouvez modifier ces paramètres à l'aide des paramètres de politique de groupe.

**Topics**
+ [Mise à jour manuelle pour authentification unique sous Windows](#ie_sso_manual_windows)
+ [Mise à jour manuelle pour authentification unique sous OS X](#chrome_sso_manual_mac)
+ [Paramètres de stratégie de groupe pour authentification unique](#ie_sso_gpo)

### Mise à jour manuelle pour authentification unique sous Windows
<a name="ie_sso_manual_windows"></a>

Pour activer manuellement l'authentification unique sur un ordinateur Windows, effectuez les étapes suivantes sur l'ordinateur client. Certains de ces paramètres sont peut-être déjà définis correctement.

**Pour activer manuellement l'authentification unique pour Internet Explorer et Chrome sous Windows**

1. Pour ouvrir la boîte de dialogue **Propriétés Internet**, sélectionnez le menu **Démarrer**, tapez `Internet Options` dans la zone de recherche, puis sélectionnez **Options Internet**.

1. Ajoutez votre URL d'accès à la liste des sites approuvés pour l'authentification unique en effectuant les étapes suivantes :

   1. Dans la boîte de dialogue **Propriétés Internet**, sélectionnez l'onglet **Sécurité**.

   1. Sélectionnez **Intranet local**, puis **Sites**.

   1. Dans la boîte de dialogue **Intranet local**, sélectionnez **Avancé**.

   1. Ajoutez votre URL d'accès à la liste des sites Web et choisissez **Fermer**.

   1. Dans la boîte de dialogue **Intranet local**, sélectionnez **OK**.

1. Pour activer les scripts actifs, effectuez les opérations suivantes :

   1. Dans l'onglet **Sécurité** de la boîte de dialogue **Propriétés Internet**, sélectionnez **Personnaliser le niveau**.

   1. Dans la boîte de dialogue **Paramètres de sécurité - Zone intranet locale**, faites défiler la page jusqu'à **Scripts** et sélectionnez **Activer** sous **Scripts actifs**.

   1. Dans la boîte de dialogue **Paramètres de sécurité - Zone intranet locale**, cliquez **sur OK**.

1. Pour activer la connexion automatique, effectuez les opérations suivantes :

   1. Dans l'onglet **Sécurité** de la boîte de dialogue **Propriétés Internet**, sélectionnez **Personnaliser le niveau**.

   1. Dans la boîte de dialogue **Paramètres de sécurité - Zone intranet locale**, faites défiler l'écran jusqu'à **Authentification utilisateur** et sélectionnez **Connexion automatique uniquement dans la zone Intranet** sous **Connexion**. 

   1. Dans la boîte de dialogue **Paramètres de sécurité - Zone intranet locale**, cliquez **sur OK**.

   1. Dans la boîte de dialogue **Paramètres de sécurité - Zone intranet locale**, cliquez **sur OK**.

1. Pour activer l'authentification intégrée, effectuez les opérations suivantes :

   1. Dans la boîte de dialogue **Propriétés Internet**, sélectionnez l'onglet **Avancé**.

   1. Faites défiler la page jusqu'à **Sécurité** et sélectionnez **Activer l'authentification Windows intégrée**.

   1. Dans la boîte de dialogue **Propriétés Internet**, choisissez **OK**.

1. Fermez puis rouvrez votre navigateur pour que ces modifications prennent effet.

### Mise à jour manuelle pour authentification unique sous OS X
<a name="chrome_sso_manual_mac"></a>

Pour activer manuellement l'authentification unique pour Chrome sous OS X, effectuez les étapes suivantes sur l'ordinateur client. Vous devez disposer des droits d'administrateur sur votre ordinateur pour effectuer ces opérations.

**Pour activer manuellement l'authentification unique pour Chrome sous OS X**

1. Ajoutez votre URL d'accès à la [AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist)politique en exécutant la commande suivante :

   ```
   defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com"
   ```

1. Ouvrez les **Préférences système**, accédez au panneau **Profils** et supprimez le profil `Chrome Kerberos Configuration`. 

1. Redémarrez Chrome et ouvrez chrome://policy dans Chrome pour vérifier que les nouveaux paramètres sont en place.

### Paramètres de stratégie de groupe pour authentification unique
<a name="ie_sso_gpo"></a>

L'administrateur de domaine peut implémenter des paramètres de stratégie de groupe pour apporter les modifications d'authentification unique sur les ordinateurs clients joints au domaine.

**Note**  
Si vous gérez les navigateurs Web Chrome sur les ordinateurs de votre domaine à l'aide des politiques Chrome, vous devez y ajouter votre URL d'[AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist)accès. Pour plus d'informations sur la définition des politiques de Chrome, veuillez consulter la section [Policy Settings in Chrome](https://source.chromium.org/chromium/chromium/src/+/main:docs/enterprise/add_new_policy.md) (français non garanti).

**Pour activer l'authentification unique pour Internet Explorer et Chrome à l'aide des paramètres de stratégie de groupe**

1. Créez un nouvel objet de stratégie de groupe en procédant comme suit :

   1. Ouvrez l'outil de gestion des stratégies de groupe, accédez à votre domaine et sélectionnez **Objets de stratégie de groupe**.

   1. Dans le menu principal, choisissez **Action**, puis **Nouveau**.

   1. Dans la boîte de dialogue **New GPO**, entrez un nom descriptif pour l'objet de stratégie de groupe, tel que `IAM Identity Center Policy` et laissez **Source Starter GPO** défini sur **(none)**. Cliquez sur **OK**.

1. Ajoutez l'URL d'accès à la liste des sites approuvés pour l'authentification unique en effectuant les étapes suivantes :

   1. Dans l'outil de gestion des politiques de groupe, accédez à votre domaine, sélectionnez **Objets de stratégie de groupe**, ouvrez le menu contextuel (clic droit) de votre politique IAM Identity Center, puis choisissez **Modifier**.

   1. Dans l'arborescence des politiques, accédez à **Configuration utilisateur** > **Préférences** > **Paramètres Windows**.

   1. Dans la liste **Paramètres Windows**, ouvrez le menu contextuel (clic droit) pour **Registre** et choisissez **Nouvel élément de Registre**.

   1. Dans la boîte de dialogue **Propriétés du nouveau registre**, entrez les paramètres suivants et cliquez **sur OK** :  
**Action**  
`Update`  
**Hive**  
`HKEY_CURRENT_USER`  
**Chemin**  
`Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>`  
La valeur de *<alias>* est dérivée de votre URL d'accès. Si votre URL d'accès est `https://examplecorp.awsapps.com`, l'alias est `examplecorp` et la clé de registre sera `Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp`.  
**Nom de la valeur**  
`https`  
**Type de la valeur**  
`REG_DWORD`  
**Données de valeur**  
`1`

1. Pour activer les scripts actifs, effectuez les opérations suivantes :

   1. Dans l'outil de gestion des politiques de groupe, accédez à votre domaine, sélectionnez **Objets de stratégie de groupe**, ouvrez le menu contextuel (clic droit) de votre politique IAM Identity Center, puis choisissez **Modifier**.

   1. Dans l'arborescence des politiques, accédez à **Configuration informatique** > **Politiques** > **Modèles d'administration** > **Composants Windows** > **Internet Explorer** > **Panneau de configuration Internet** > **Page de sécurité** > **Zone intranet**.

   1. Dans la liste **Zone Intranet**, ouvrez le menu contextuel (clic droit) pour **Autoriser les scripts actifs** et choisissez **Modifier**.

   1. Dans la boîte de dialogue **Autoriser les scripts actifs**, entrez les paramètres suivants et cliquez sur **OK** :
      + Sélectionnez le bouton radio **Activé**.
      + Sous **Options**, définissez **Autoriser les scripts actifs** sur **Activer**.

1. Pour activer la connexion automatique, effectuez les opérations suivantes :

   1. Dans l'outil de gestion des politiques de groupe, accédez à votre domaine, sélectionnez Objets de stratégie de groupe, ouvrez le menu contextuel (clic droit) de votre politique SSO (authentification unique), puis choisissez **Modifier**.

   1. Dans l'arborescence des politiques, accédez à **Configuration informatique** > **Politiques** > **Modèles d'administration** > **Composants Windows** > **Internet Explorer** > **Panneau de configuration Internet** > **Page de sécurité** > **Zone intranet**.

   1. Dans la liste **Zone Intranet**, ouvrez le menu contextuel (clic droit) pour **Options de connexion** et choisissez **Modifier**.

   1. Dans la boîte de dialogue **Options de connexion**, entrez les paramètres suivants et cliquez sur **OK** :
      + Sélectionnez le bouton radio **Activé**.
      + Sous **Options**, définissez les **options de connexion** sur **Connexion automatique uniquement dans la zone Intranet**.

1. Pour activer l'authentification intégrée, effectuez les opérations suivantes :

   1. Dans l'outil de gestion des politiques de groupe, accédez à votre domaine, sélectionnez **Objets de stratégie de groupe**, ouvrez le menu contextuel (clic droit) de votre politique IAM Identity Center, puis choisissez **Modifier**.

   1. Dans l'arborescence des politiques, accédez à **Configuration utilisateur** > **Préférences** > **Paramètres Windows**.

   1. Dans la liste **Paramètres Windows**, ouvrez le menu contextuel (clic droit) pour **Registre** et choisissez **Nouvel élément de Registre**.

   1. Dans la boîte de dialogue **Propriétés du nouveau registre**, entrez les paramètres suivants et cliquez **sur OK** :  
**Action**  
`Update`  
**Hive**  
`HKEY_CURRENT_USER`  
**Chemin**  
`Software\Microsoft\Windows\CurrentVersion\Internet Settings`  
**Nom de la valeur**  
`EnableNegotiate`  
**Type de la valeur**  
`REG_DWORD`  
**Données de valeur**  
`1`

1. Fermez la fenêtre de l'**éditeur de gestion des politiques de groupe** si elle est toujours ouverte.

1. Attribuez la nouvelle politique à votre domaine en procédant comme suit :

   1. Dans l'arborescence Gestion des politiques de groupe, ouvrez le menu contextuel (clic droit) de votre domaine et choisissez **Lier un GPO existant**.

   1. Dans la liste **Objets de politique de groupe**, sélectionnez votre politique IAM Identity Center et cliquez sur **OK**.

Ces modifications prendront effet après la prochaine mise à jour de la politique de groupe sur le client, ou la prochaine fois que l'utilisateur se connectera.

## Authentification unique pour Firefox
<a name="firefox_sso"></a>

Pour autoriser le navigateur Mozilla Firefox à prendre en charge l'authentification unique, ajoutez votre URL d'accès (par exemple, https ://*<alias>*.awsapps.com) à la liste des sites approuvés pour l'authentification unique. Cela peut être fait manuellement ou automatiquement à l'aide d'un script.

**Topics**
+ [Mise à jour manuelle pour authentification unique](#firefox_sso_manual)
+ [Mise à jour automatique pour authentification unique](#firefox_sso_script)

### Mise à jour manuelle pour authentification unique
<a name="firefox_sso_manual"></a>

Pour ajouter manuellement votre URL d'accès à la liste des sites approuvés dans Firefox, effectuez les étapes suivantes sur l'ordinateur client.

**Pour ajouter manuellement votre URL d'accès à la liste des sites approuvés dans Firefox**

1. Ouvrez Firefox et ouvrez la page `about:config`.

1. Ouvrez la préférence `network.negotiate-auth.trusted-uris` et ajoutez votre URL d'accès à la liste des sites. Utilisez une virgule (,) pour séparer plusieurs entrées.

### Mise à jour automatique pour authentification unique
<a name="firefox_sso_script"></a>

En tant qu'administrateur de domaine, vous pouvez utiliser un script pour ajouter votre URL d'accès aux préférences utilisateur de Firefox `network.negotiate-auth.trusted-uris` sur tous les ordinateurs de votre réseau. Pour plus d'informations, rendez-vous sur [https://support.mozilla. org/en-US/questions/939037](https://support.mozilla.org/en-US/questions/939037).