Para fornecer aos usuários finais acesso de single sign-on (SSO) a suas áreas de trabalho e aplicativos, administre o SSO na instância do Horizon Edge Gateway correspondente.

Esse procedimento permite que os usuários finais acessem suas áreas de trabalho e aplicativos depois de digitarem suas credenciais uma vez.

Para obter informações sobre como configurar a CA da VMware, consulte Uso de um VMware CA para SSO com o Horizon Cloud Service - next-gen.

Consulte a documentação da Microsoft conforme necessário para concluir este procedimento. Por exemplo, para instalar uma CA empresarial, consulte Instalar a autoridade de certificação.

Pré-requisitos

  • Use o Horizon Universal Console para criar e baixar um pacote de autoridade de certificação (CA). Consulte Adicionar uma configuração de SSO ao Horizon Cloud Service - next-gen para uma VMware CA.
  • Para executar o script do PowerShell extraído da CA da VMware, conforme descrito neste procedimento, confirme se você tem as permissões apropriadas.

    Esse procedimento requer que você execute o script VMware PowerShell. Você tem algumas opções disponíveis para executar o script VMware PowerShell, incluindo a execução do script como um membro do grupo Administradores de Empresa. A orientação a seguir sugere que você use permissões menos poderosas, mas a execução do script como membro do grupo Administradores de Empresa está disponível para você. A sugestão é confirmar se você tem as permissões a seguir.

    • Permissões de Controle Total no contêiner "Serviços de Chave Pública" no Active Directory.
    • Inscreva permissões no modelo de certificado "SubCA" no Active Directory.

Procedimento

  1. Conecte-se a uma máquina membro do domínio, carregue o arquivo do pacote da autoridade de certificação no servidor e descompacte o conteúdo do arquivo.
    "Para que você tenha as permissões adequadas, você pode executar o script do PowerShell de qualquer máquina membro do domínio."
  2. Abra o PowerShell, execute os comandos e responda aos prompts conforme descrito nas subetapas a seguir.
    Importante: Se a sua implantação consistir em vários controladores de domínio ou se você instalar o pacote de uma máquina remota, a propagação do certificado da CA para todos os controladores de domínio poderá levar várias horas. Você pode reduzir o tempo de execução executando o 'gpupdate.exe /Target:Computer /Force' em todas as instâncias do controlador de domínio.
    1. Execute o comando a seguir. 
      Unblock-File -Path Path to ps1 file
    2. Execute o script ps1 do PowerShell extraído do pacote da autoridade de certificação e responda aos prompts.
      Por exemplo, PS C:\ca\VmwAuthEngine-CA_1> .\VmwAuthEngine-CA_1.ps1

      Se você adicionou sua configuração de SSO como uma CA intermediária, será solicitado a selecionar uma CA corporativa MSFT para assinar o VMware CA CSR. Você pode escolher uma CA corporativa MSFT raiz ou intermediária para processar o VMware CA CSR. Se aplicável, selecione a CA corporativa apropriada. Você deve ativar o modelo Autoridade de Certificação Subordinada para a CA corporativa selecionada.

      Responda ao prompt de confirmação necessário a seguir com Y, conforme ilustrado.

      Confirmação necessária: você deseja publicar no AD?
      N] Não [Y] Sim [?] Ajuda (o padrão é "N"): Y

Resultados

O resultado esperado é que o script seja executado sem erros. No entanto, se você encontrar o seguinte tipo de erro, realize a sugestão de solução de problemas fornecida. 
2022-03-22T15:35:39 [INFO ] [VmwAuthEngine-CA-62351bb62ff3dd5966ad3575-1.ps1,67] certutil.exe -dspublish -f C:\SSO-C\Vmw
AuthEngine-CA-62351bb62ff3dd5966ad3575-1.crl
error : 2022-03-22T15:35:39 [ERROR][-2147016563][] Failed to publish base CRL
At C:\SSO-C\VmwAuthEngine-CA-62351bb62ff3dd5966ad3575-1.ps1:303 char:5
+     error $retCode "Failed to publish base CRL"
+     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Write-Error], WriteErrorException
    + FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,error

Execute o seguinte comando Get-ADRootDSE e confira a saída para ver se o nome de domínio de configuração da CA usado para criar a configuração do SSO corresponde ao que a seguinte propriedade retorna: configurationNamingContext.

C:\>
        Get-ADRootDSE -Server dnsDomainName

Por exemplo, C:\> Get-ADRootDSE -Server horizonv2.local

Saída: 
configurationNamingContext       :  "CN=Configuration,DC=horizonv2,DC=local"
        ...other
        output fields...

Se o nome de domínio de configuração da CA não corresponder à saída, você poderá usar o Horizon Universal Console para editar a configuração do SSO, especificamente para corrigir o nome de domínio de configuração da CA. Consulte Adicionar uma configuração de SSO ao Horizon Cloud Service - next-gen para uma VMware CA para obter informações sobre como acessar a configuração do SSO. Para editar uma configuração do SSO, clique nos três pontos verticais ao lado da configuração do SSO e selecione Editar. Depois de corrigir o nome de domínio, você pode baixar e publicar o pacote de CA atualizado.

O que Fazer Depois

Depois de implantar o Horizon Edge Gateway, verifique se o status de configuração do SSO está definido corretamente. No Horizon Universal Console, selecione Recursos > Capacidade, clique no nome da instância do Horizon Edge Gateway que você configurou e edite a configuração para ativar a opção Usar SSO. Selecione a Configuração de SSO para associá-la ao Horizon Edge Gateway. Salve e verifique se o status está definido como READY_TO_SERVE, o que indica que o SSO é funcional para usuários finais.