Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Accès aux AWS applications et aux services depuis votre Simple AD
<a name="simple_ad_manage_apps_services"></a>

Vous pouvez autoriser les utilisateurs de Simple AD à accéder aux AWS applications et aux services. Certains de ces services et AWS applications incluent :
+ Amazon WorkDocs
+ AWS Management Console
+ Amazon WorkSpaces

Vous pouvez également utiliser l'accès URLs et l'authentification unique avec votre Simple AD.

**Topics**
+ [Politique de compatibilité des applications pour Simple AD](simple_ad_app_compatibility.md)
+ [Permettre l'accès aux AWS applications et aux services pour votre Simple AD](simple_ad_enable_apps_services.md)
+ [Permettre l'accès à l' AWS Management Console aide des informations d'identification Simple AD](simple_ad_management_console_access.md)
+ [Création d'une URL d'accès pour Simple AD](simple_ad_create_access_url.md)
+ [Activation de l'authentification unique](simple_ad_single_sign_on.md)

# Politique de compatibilité des applications pour Simple AD
<a name="simple_ad_app_compatibility"></a>

Simple AD est une implémentation de Samba qui fournit la plupart des fonctionnalités de base d'Active Directory. En raison de l'ampleur des off-the-shelf applications personnalisées et commerciales qui utilisent Active Directory, AWS Active Directory n'effectue pas et ne peut pas effectuer de vérification formelle ou étendue de la compatibilité des applications tierces avec Simple AD. Bien que AWS nous travaillons avec les clients pour tenter de surmonter les éventuels problèmes d'installation d'applications qu'ils pourraient rencontrer, nous ne sommes pas en mesure de garantir qu'une application est ou restera compatible avec Simple AD.

Les applications tierces suivantes sont compatibles avec Simple AD :
+ Microsoft Internet Information Services (IIS) sur les plateformes suivantes :
  + Windows Server 2003 R2
  + Windows Server 2008 R1
  + Windows Server 2008 R2
  + Windows Server 2012
  + Windows Server 2012 R2
+ Microsoft SQL Server:
  + SQL Server 2005 R2 (éditions Express, Web et Standard)
  + SQL Server 2008 R2 (éditions Express, Web et Standard)
  + SQL Server 2012 (éditions Express, Web et Standard)
  + SQL Server 2014 (éditions Express, Web et Standard)
+ Microsoft SharePoint :
  + SharePoint Fondation 2010
  + SharePoint Entreprise 2010
  + SharePoint Entreprise 2013

Les clients peuvent choisir d'utiliser AWS Directory Service pour Microsoft Active Directory ([AWS Microsoft AD géré](directory_microsoft_ad.md)) pour bénéficier d'un niveau de compatibilité supérieur basé sur Active Directory réel.

# Permettre l'accès aux AWS applications et aux services pour votre Simple AD
<a name="simple_ad_enable_apps_services"></a>

Les utilisateurs peuvent autoriser Simple AD à autoriser AWS des applications et des services, tels qu'Amazon WorkSpaces, à accéder à votre Active Directory. Les AWS applications et services suivants peuvent être activés ou désactivés pour fonctionner avec Simple AD.


| AWS application/service | En savoir plus... | 
| --- | --- | 
| Amazon WorkDocs | Pour plus d'informations, consultez le [guide d' WorkDocs administration Amazon](https://docs.aws.amazon.com/workdocs/latest/adminguide/) | 
| Amazon WorkMail |  Pour plus d'informations, consultez le [guide de WorkMail l'administrateur Amazon](https://docs.aws.amazon.com/workmail/latest/adminguide/).  | 
| Amazon WorkSpaces |  Vous pouvez créer un Simple AD, AWS Managed Microsoft AD ou AD Connector directement à partir de WorkSpaces. Il vous suffit de lancer la **configuration avancée** lors de la création de votre Workspace. Pour plus d'informations, consultez le [guide d' WorkSpaces administration Amazon](https://docs.aws.amazon.com/workspaces/latest/adminguide/).  | 
| AWS Management Console | Pour de plus amples informations, veuillez consulter [Activation de AWS Management Console l'accès avec les informations d'identification Microsoft AD AWS gérées](ms_ad_management_console_access.md). | 

Une fois activé, vous gérez l'accès à vos annuaires dans la console de l'application ou du service auquel vous souhaitez donner accès à votre répertoire. Pour trouver les liens vers AWS les applications et les services décrits ci-dessus dans la Directory Service console, effectuez les opérations suivantes.

**Pour afficher les applications et les services d'un annuaire**

1. Dans le panneau de navigation de la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), choisissez **Annuaires**.

1. Sur la page **Directories (Annuaires)**, choisissez l'ID de votre annuaire.

1. Sur la page **Directory details (Détails de l'annuaire)**, sélectionnez l'onglet **Application management (Gestion d'applications)**.

1. Consultez la liste dans la section **Applications et services AWS **.

Pour plus d'informations sur la manière d'autoriser ou d'annuler l'autorisation d' AWS applications et de services utilisant Directory Service, consultez[Autorisation pour AWS les applications et les services utilisant Directory Service](ad_manage_apps_services_authorization.md).

# Permettre l'accès à l' AWS Management Console aide des informations d'identification Simple AD
<a name="simple_ad_management_console_access"></a>

Directory Service vous permet d'accorder aux membres de votre annuaire l'accès au AWS Management Console. Par défaut, les membres de votre répertoire n'ont accès à aucune AWS ressource. Vous attribuez des rôles IAM aux membres de votre annuaire pour leur donner accès aux différents AWS services et ressources. Le rôle IAM définit les services, les ressources et le niveau d'accès des membres de votre annuaire.

Avant que vous puissiez accorder l'accès à la console aux membres de votre annuaire, celui-ci doit disposer d'une URL d'accès. Pour plus d'informations sur la manière d'afficher les détails de l'annuaire et d'obtenir votre URL d'accès, veuillez consulter [Affichage des informations de l'annuaire Microsoft AD AWS géré](ms_ad_view_directory_info.md). Pour plus d'informations sur la création d'une URL d'accès, veuillez consulter [Création d'une URL d'accès pour AWS Managed Microsoft AD](ms_ad_create_access_url.md).

Pour plus d'informations sur la façon de créer et d'attribuer des rôles IAM aux membres de votre annuaire, veuillez consulter [Octroi aux utilisateurs et aux groupes de AWS Managed Microsoft AD d'accéder aux AWS ressources avec des rôles IAM](ms_ad_manage_roles.md).

**Topics**
+ [Permettre AWS Management Console l'accès](#simple_ad_console_enable)
+ [Désactivation AWS Management Console de l'accès](#simple_ad_console_disable)
+ [Configuration de la durée de la session de connexion](#simple_ad_console_session)

**Article AWS de blog sur la sécurité connexe**
+ [Comment accéder à l' AWS Management Console aide de AWS Managed Microsoft AD et de vos informations d'identification locales](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)

** AWS re:Post Article connexe**
+ [Comment puis-je accorder l'accès au AWS Management Console pour les utilisateurs d'Active Directory locaux ?](https://repost.aws/knowledge-center/enable-active-directory-console-access)

## Permettre AWS Management Console l'accès
<a name="simple_ad_console_enable"></a>

Par défaut, l'accès à la console n'est activé pour aucun annuaire. Pour activer l'accès à la console pour les utilisateurs et les groupes de votre annuaire, effectuez les opérations suivantes :

**Pour activer l'accès à la console**

1. Dans le panneau de navigation de la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), choisissez **Annuaires**.

1. Sur la page **Directories (Annuaires)**, choisissez l'ID de votre annuaire.

1. Sur la page **Directory details (Détails de l'annuaire)**, sélectionnez l'onglet **Application management (Gestion d'applications)**.

1. Dans la section **AWS Management Console**, choisissez **Activer**. L'accès à la console est désormais activé pour votre annuaire.
**Important**  
Avant que les utilisateurs puissent se connecter à la console avec votre URL d'accès, vous devez d'abord les ajouter au rôle IAM. Pour des informations générales sur l'attribution d'utilisateurs à des rôles IAM, veuillez consulter [Affectation d'utilisateurs ou de groupes à un rôle IAM existant](assign_role.md). Une fois les rôles IAM attribués, les utilisateurs peuvent accéder à la console à l'aide de votre URL d'accès. Par exemple, si l'URL d'accès à votre répertoire est example-corp.awsapps.com, l'URL permettant d'accéder à la console est. https://example-corp.awsapps.com/console/ 

## Désactivation AWS Management Console de l'accès
<a name="simple_ad_console_disable"></a>

Pour désactiver l'accès à la console pour les utilisateurs et les groupes de votre annuaire, effectuez les opérations suivantes :

**Pour désactiver l'accès à la console**

1. Dans le panneau de navigation de la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), choisissez **Annuaires**.

1. Sur la page **Directories (Annuaires)**, choisissez l'ID de votre annuaire.

1. Sur la page **Directory details (Détails de l'annuaire)**, sélectionnez l'onglet **Application management (Gestion d'applications)**.

1. Dans la section **AWS Management Console**, choisissez **Désactiver**. L'accès à la console est désormais désactivé pour votre annuaire.

1. Si des rôles IAM ont été attribués à des utilisateurs ou à des groupes dans l'annuaire, le bouton **Désactiver** n'est peut-être pas disponible. Dans ce cas, vous devez supprimer toutes les affectations de rôles IAM correspondant à l'annuaire avant de continuer, y compris les affectations d'utilisateurs ou de groupes de votre annuaire qui ont été supprimées et qui apparaissent sous le libellé **Utilisateur supprimé** ou **Groupe supprimé**.

   Une fois que toutes les affectations de rôles IAM ont été supprimées, répétez les étapes ci-dessus.

## Configuration de la durée de la session de connexion
<a name="simple_ad_console_session"></a>

Par défaut, les utilisateurs disposent d'une heure pour utiliser leur session après s'être correctement connectés à la console avant d'être déconnectés. Ensuite, les utilisateurs doivent se reconnecter pour démarrer la prochaine session d'une heure avant d'être à nouveau déconnectés. Vous pouvez utiliser la procédure suivante pour modifier la durée jusqu'à 12 heures par session.

**Définir la durée de la session de connexion**

1. Dans le panneau de navigation de la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), choisissez **Annuaires**.

1. Sur la page **Directories (Annuaires)**, choisissez l'ID de votre annuaire.

1. Sur la page **Directory details (Détails de l'annuaire)**, sélectionnez l'onglet **Application management (Gestion d'applications)**.

1. Sous la section **Applications et services AWS **, choisissez **AWS Management Console**. 

1. Dans la boîte de dialogue **Gérer l'accès aux AWS ressources**, choisissez **Continuer**.

1. Sur la page **Affecter des utilisateurs et des groupes à des rôles IAM**, sous **Définir la durée de la session de connexion**, modifiez la valeur numérotée, puis choisissez **Enregistrer**.

# Création d'une URL d'accès pour Simple AD
<a name="simple_ad_create_access_url"></a>

Une URL d'accès est utilisée avec AWS des applications et des services, tels qu'Amazon WorkDocs, pour accéder à une page de connexion associée à votre annuaire. L'URL doit être globalement unique. Vous pouvez créer une URL d'accès pour votre annuaire en effectuant les étapes suivantes.

**Avertissement**  
Une fois que vous avez créé une URL d'accès à l'application pour ce répertoire, elle ne peut pas être modifiée. Une fois votre URL d'accès créée, personne d'autre que vous ne pourra l'utiliser. Si vous supprimez votre annuaire, l'URL d'accès sera également supprimée et pourra alors être utilisée par un autre compte.

**Pour créer une URL d'accès**

1. Dans le volet de navigation de la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), sélectionnez **Directories** (Annuaires).

1. Sur la page **Directories (Annuaires)**, choisissez l'ID de votre annuaire.

1. Sur la page **Directory details (Détails de l'annuaire)**, sélectionnez l'onglet **Application management (Gestion d'applications)**.

1. Dans la section **Application access URL (URL d'accès à l'application)**, si aucune URL d'accès n'a été attribuée à l'annuaire, le bouton **Créer** s'affiche. Entrez un alias d'annuaire, puis choisissez **Créer**. Si l'erreur **Entity Already Exists** (entité déjà existante) est renvoyée, cela veut dire que l'alias de l'annuaire spécifié a déjà été alloué. Choisissez un autre alias et répétez cette procédure. 

   Votre URL d'accès est affichée au format *<alias>* .awsapps.com.

# Activation de l'authentification unique
<a name="simple_ad_single_sign_on"></a>

AWS Directory Service permet à vos utilisateurs d'accéder à l'annuaire à WorkDocs partir d'un ordinateur connecté à l'annuaire sans avoir à saisir leurs informations d'identification séparément. 

Avant d'activer l'authentification unique, vous devez prendre des mesures supplémentaires pour permettre aux navigateurs Web de vos utilisateurs de prendre en charge l'authentification unique. Les utilisateurs peuvent avoir besoin de modifier les paramètres de leur navigateur Web pour activer l'authentification unique. 

**Note**  
L'authentification unique fonctionne uniquement lorsqu'elle est utilisée sur un ordinateur qui est associé à l'annuaire Directory Service . Elle ne peut pas être utilisée sur les ordinateurs qui ne sont pas joints à l'annuaire.

Si votre annuaire est un annuaire AD Connector et que le compte de service AD Connector ne dispose pas de l'autorisation d'ajouter ou de supprimer son attribut de nom principal de service, vous disposez de deux options pour les étapes 5 et 6 ci-dessous :

1. Vous pouvez continuer et vous serez invité à saisir le nom d'utilisateur et le mot de passe d'un utilisateur d'annuaire qui dispose de cette autorisation pour ajouter ou supprimer l'attribut de nom principal de service sur le compte de service AD Connector. Ces informations d'identification servent uniquement à activer l'authentification unique et ne sont pas stockées par le service. Les autorisations du compte de service AD Connector ne sont pas modifiées.

1. Vous pouvez déléguer des autorisations pour permettre au compte de service AD Connector d'ajouter ou de supprimer l'attribut du nom principal du service sur lui-même. Vous pouvez exécuter les PowerShell commandes ci-dessous à partir d'un ordinateur joint au domaine à l'aide d'un compte autorisé à modifier les autorisations sur le compte de service AD Connector. La commande ci-dessous donnera au compte de service AD Connector la possibilité d'ajouter et de supprimer un attribut de nom principal de service uniquement pour lui-même.

```
$AccountName = 'ConnectorAccountName'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$RootDse = Get-ADRootDSE
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting AD Connector service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AclPath = $AccountProperties.DistinguishedName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for AD Connector service account.
$ObjectAcl = Get-ACL -Path "AD:\$AclPath"
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
```

**Pour activer ou désactiver l'authentification unique avec WorkDocs**

1. Dans le volet de navigation de la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), sélectionnez **Directories** (Annuaires).

1. Sur la page **Directories (Annuaires)**, choisissez l'ID de votre annuaire.

1. Sur la page **Directory details (Détails de l'annuaire)**, sélectionnez l'onglet **Application management (Gestion d'applications)**.

1. Dans la section **URL d'accès à l'application**, choisissez **Activer** pour activer l'authentification unique pour WorkDocs. 

   Si vous ne voyez pas le bouton **Activer**, vous devez d'abord créer une URL d'accès pour pouvoir afficher cette option. Pour plus d'informations sur la création d'une URL d'accès, veuillez consulter [Création d'une URL d'accès pour AWS Managed Microsoft AD](ms_ad_create_access_url.md). 

1. Dans la boîte de dialogue **Activer l'authentification unique pour cet annuaire**, choisissez **Activer**. L'authentification unique est activée pour l'annuaire. 

1. Si vous souhaitez désactiver ultérieurement l'authentification unique avec WorkDocs, choisissez **Désactiver**, puis dans la boîte de dialogue **Désactiver l'authentification unique pour ce répertoire**, sélectionnez à nouveau **Désactiver**. 

**Topics**
+ [Authentification unique pour IE et Chrome](#ie_sso)
+ [Authentification unique pour Firefox](#firefox_sso)

## Authentification unique pour IE et Chrome
<a name="ie_sso"></a>

Pour permettre aux navigateurs Microsoft Internet Explorer (IE) et Google Chrome de prendre en charge l'authentification unique, les tâches suivantes doivent être effectuées sur l'ordinateur client :
+ Ajoutez votre URL d'accès (par exemple, https ://*<alias>*.awsapps.com) à la liste des sites approuvés pour l'authentification unique.
+ Activez le script actif (JavaScript).
+ Autorisez l'ouverture de session automatique.
+ Activez l'authentification intégrée.

Vous ou vos utilisateurs pouvez effectuer ces tâches manuellement, ou vous pouvez modifier ces paramètres à l'aide des paramètres de politique de groupe.

**Topics**
+ [Mise à jour manuelle pour authentification unique sous Windows](#ie_sso_manual_windows)
+ [Mise à jour manuelle pour authentification unique sous OS X](#chrome_sso_manual_mac)
+ [Paramètres de stratégie de groupe pour authentification unique](#ie_sso_gpo)

### Mise à jour manuelle pour authentification unique sous Windows
<a name="ie_sso_manual_windows"></a>

Pour activer manuellement l'authentification unique sur un ordinateur Windows, effectuez les étapes suivantes sur l'ordinateur client. Certains de ces paramètres sont peut-être déjà définis correctement.

**Pour activer manuellement l'authentification unique pour Internet Explorer et Chrome sous Windows**

1. Pour ouvrir la boîte de dialogue **Propriétés Internet**, sélectionnez le menu **Démarrer**, tapez `Internet Options` dans la zone de recherche, puis sélectionnez **Options Internet**.

1. Ajoutez votre URL d'accès à la liste des sites approuvés pour l'authentification unique en effectuant les étapes suivantes :

   1. Dans la boîte de dialogue **Propriétés Internet**, sélectionnez l'onglet **Sécurité**.

   1. Sélectionnez **Intranet local**, puis **Sites**.

   1. Dans la boîte de dialogue **Intranet local**, sélectionnez **Avancé**.

   1. Ajoutez votre URL d'accès à la liste des sites Web et choisissez **Fermer**.

   1. Dans la boîte de dialogue **Intranet local**, sélectionnez **OK**.

1. Pour activer les scripts actifs, effectuez les opérations suivantes :

   1. Dans l'onglet **Sécurité** de la boîte de dialogue **Propriétés Internet**, sélectionnez **Personnaliser le niveau**.

   1. Dans la boîte de dialogue **Paramètres de sécurité - Zone intranet locale**, faites défiler la page jusqu'à **Scripts** et sélectionnez **Activer** sous **Scripts actifs**.

   1. Dans la boîte de dialogue **Paramètres de sécurité - Zone intranet locale**, cliquez **sur OK**.

1. Pour activer la connexion automatique, effectuez les opérations suivantes :

   1. Dans l'onglet **Sécurité** de la boîte de dialogue **Propriétés Internet**, sélectionnez **Personnaliser le niveau**.

   1. Dans la boîte de dialogue **Paramètres de sécurité - Zone intranet locale**, faites défiler l'écran jusqu'à **Authentification utilisateur** et sélectionnez **Connexion automatique uniquement dans la zone Intranet** sous **Connexion**. 

   1. Dans la boîte de dialogue **Paramètres de sécurité - Zone intranet locale**, cliquez **sur OK**.

   1. Dans la boîte de dialogue **Paramètres de sécurité - Zone intranet locale**, cliquez **sur OK**.

1. Pour activer l'authentification intégrée, effectuez les opérations suivantes :

   1. Dans la boîte de dialogue **Propriétés Internet**, sélectionnez l'onglet **Avancé**.

   1. Faites défiler la page jusqu'à **Sécurité** et sélectionnez **Activer l'authentification Windows intégrée**.

   1. Dans la boîte de dialogue **Propriétés Internet**, choisissez **OK**.

1. Fermez puis rouvrez votre navigateur pour que ces modifications prennent effet.

### Mise à jour manuelle pour authentification unique sous OS X
<a name="chrome_sso_manual_mac"></a>

Pour activer manuellement l'authentification unique pour Chrome sous OS X, effectuez les étapes suivantes sur l'ordinateur client. Vous devez disposer des droits d'administrateur sur votre ordinateur pour effectuer ces opérations.

**Pour activer manuellement l'authentification unique pour Chrome sous OS X**

1. Ajoutez votre URL d'accès à la [AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist)politique en exécutant la commande suivante :

   ```
   defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com"
   ```

1. Ouvrez les **Préférences système**, accédez au panneau **Profils** et supprimez le profil `Chrome Kerberos Configuration`. 

1. Redémarrez Chrome et ouvrez chrome://policy dans Chrome pour vérifier que les nouveaux paramètres sont en place.

### Paramètres de stratégie de groupe pour authentification unique
<a name="ie_sso_gpo"></a>

L'administrateur de domaine peut implémenter des paramètres de stratégie de groupe pour apporter les modifications d'authentification unique sur les ordinateurs clients joints au domaine.

**Note**  
Si vous gérez les navigateurs Web Chrome sur les ordinateurs de votre domaine à l'aide des politiques Chrome, vous devez y ajouter votre URL d'[AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist)accès. Pour plus d'informations sur la définition des politiques de Chrome, veuillez consulter la section [Policy Settings in Chrome](https://source.chromium.org/chromium/chromium/src/+/main:docs/enterprise/add_new_policy.md) (français non garanti).

**Pour activer l'authentification unique pour Internet Explorer et Chrome à l'aide des paramètres de stratégie de groupe**

1. Créez un nouvel objet de stratégie de groupe en procédant comme suit :

   1. Ouvrez l'outil de gestion des stratégies de groupe, accédez à votre domaine et sélectionnez **Objets de stratégie de groupe**.

   1. Dans le menu principal, choisissez **Action**, puis **Nouveau**.

   1. Dans la boîte de dialogue **New GPO**, entrez un nom descriptif pour l'objet de stratégie de groupe, tel que `IAM Identity Center Policy` et laissez **Source Starter GPO** défini sur **(none)**. Cliquez sur **OK**.

1. Ajoutez l'URL d'accès à la liste des sites approuvés pour l'authentification unique en effectuant les étapes suivantes :

   1. Dans l'outil de gestion des politiques de groupe, accédez à votre domaine, sélectionnez **Objets de stratégie de groupe**, ouvrez le menu contextuel (clic droit) de votre politique IAM Identity Center, puis choisissez **Modifier**.

   1. Dans l'arborescence des politiques, accédez à **Configuration utilisateur** > **Préférences** > **Paramètres Windows**.

   1. Dans la liste **Paramètres Windows**, ouvrez le menu contextuel (clic droit) pour **Registre** et choisissez **Nouvel élément de Registre**.

   1. Dans la boîte de dialogue **Propriétés du nouveau registre**, entrez les paramètres suivants et cliquez **sur OK** :  
**Action**  
`Update`  
**Hive**  
`HKEY_CURRENT_USER`  
**Chemin**  
`Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>`  
La valeur de *<alias>* est dérivée de votre URL d'accès. Si votre URL d'accès est `https://examplecorp.awsapps.com`, l'alias est `examplecorp` et la clé de registre sera `Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp`.  
**Nom de la valeur**  
`https`  
**Type de la valeur**  
`REG_DWORD`  
**Données de valeur**  
`1`

1. Pour activer les scripts actifs, effectuez les opérations suivantes :

   1. Dans l'outil de gestion des politiques de groupe, accédez à votre domaine, sélectionnez **Objets de stratégie de groupe**, ouvrez le menu contextuel (clic droit) de votre politique IAM Identity Center, puis choisissez **Modifier**.

   1. Dans l'arborescence des politiques, accédez à **Configuration informatique** > **Politiques** > **Modèles d'administration** > **Composants Windows** > **Internet Explorer** > **Panneau de configuration Internet** > **Page de sécurité** > **Zone intranet**.

   1. Dans la liste **Zone Intranet**, ouvrez le menu contextuel (clic droit) pour **Autoriser les scripts actifs** et choisissez **Modifier**.

   1. Dans la boîte de dialogue **Autoriser les scripts actifs**, entrez les paramètres suivants et cliquez sur **OK** :
      + Sélectionnez le bouton radio **Activé**.
      + Sous **Options**, définissez **Autoriser les scripts actifs** sur **Activer**.

1. Pour activer la connexion automatique, effectuez les opérations suivantes :

   1. Dans l'outil de gestion des politiques de groupe, accédez à votre domaine, sélectionnez Objets de stratégie de groupe, ouvrez le menu contextuel (clic droit) de votre politique SSO (authentification unique), puis choisissez **Modifier**.

   1. Dans l'arborescence des politiques, accédez à **Configuration informatique** > **Politiques** > **Modèles d'administration** > **Composants Windows** > **Internet Explorer** > **Panneau de configuration Internet** > **Page de sécurité** > **Zone intranet**.

   1. Dans la liste **Zone Intranet**, ouvrez le menu contextuel (clic droit) pour **Options de connexion** et choisissez **Modifier**.

   1. Dans la boîte de dialogue **Options de connexion**, entrez les paramètres suivants et cliquez sur **OK** :
      + Sélectionnez le bouton radio **Activé**.
      + Sous **Options**, définissez les **options de connexion** sur **Connexion automatique uniquement dans la zone Intranet**.

1. Pour activer l'authentification intégrée, effectuez les opérations suivantes :

   1. Dans l'outil de gestion des politiques de groupe, accédez à votre domaine, sélectionnez **Objets de stratégie de groupe**, ouvrez le menu contextuel (clic droit) de votre politique IAM Identity Center, puis choisissez **Modifier**.

   1. Dans l'arborescence des politiques, accédez à **Configuration utilisateur** > **Préférences** > **Paramètres Windows**.

   1. Dans la liste **Paramètres Windows**, ouvrez le menu contextuel (clic droit) pour **Registre** et choisissez **Nouvel élément de Registre**.

   1. Dans la boîte de dialogue **Propriétés du nouveau registre**, entrez les paramètres suivants et cliquez **sur OK** :  
**Action**  
`Update`  
**Hive**  
`HKEY_CURRENT_USER`  
**Chemin**  
`Software\Microsoft\Windows\CurrentVersion\Internet Settings`  
**Nom de la valeur**  
`EnableNegotiate`  
**Type de la valeur**  
`REG_DWORD`  
**Données de valeur**  
`1`

1. Fermez la fenêtre de l'**éditeur de gestion des politiques de groupe** si elle est toujours ouverte.

1. Attribuez la nouvelle politique à votre domaine en procédant comme suit :

   1. Dans l'arborescence Gestion des politiques de groupe, ouvrez le menu contextuel (clic droit) de votre domaine et choisissez **Lier un GPO existant**.

   1. Dans la liste **Objets de politique de groupe**, sélectionnez votre politique IAM Identity Center et cliquez sur **OK**.

Ces modifications prendront effet après la prochaine mise à jour de la politique de groupe sur le client, ou la prochaine fois que l'utilisateur se connectera.

## Authentification unique pour Firefox
<a name="firefox_sso"></a>

Pour autoriser le navigateur Mozilla Firefox à prendre en charge l'authentification unique, ajoutez votre URL d'accès (par exemple, https ://*<alias>*.awsapps.com) à la liste des sites approuvés pour l'authentification unique. Cela peut être fait manuellement ou automatiquement à l'aide d'un script.

**Topics**
+ [Mise à jour manuelle pour authentification unique](#firefox_sso_manual)
+ [Mise à jour automatique pour authentification unique](#firefox_sso_script)

### Mise à jour manuelle pour authentification unique
<a name="firefox_sso_manual"></a>

Pour ajouter manuellement votre URL d'accès à la liste des sites approuvés dans Firefox, effectuez les étapes suivantes sur l'ordinateur client.

**Pour ajouter manuellement votre URL d'accès à la liste des sites approuvés dans Firefox**

1. Ouvrez Firefox et ouvrez la page `about:config`.

1. Ouvrez la préférence `network.negotiate-auth.trusted-uris` et ajoutez votre URL d'accès à la liste des sites. Utilisez une virgule (,) pour séparer plusieurs entrées.

### Mise à jour automatique pour authentification unique
<a name="firefox_sso_script"></a>

En tant qu'administrateur de domaine, vous pouvez utiliser un script pour ajouter votre URL d'accès aux préférences utilisateur de Firefox `network.negotiate-auth.trusted-uris` sur tous les ordinateurs de votre réseau. Pour plus d'informations, rendez-vous sur [https://support.mozilla. org/en-US/questions/939037](https://support.mozilla.org/en-US/questions/939037).