Para fornecer aos usuários finais acesso SSO (single sign-on) a seus desktops e aplicativos usando uma Autoridades de Certificação (CA) da VMware, use o VMware CA para emitir certificados de cartão inteligente de curta duração para SSO. Para transparência e segurança, o processo inclui um script PowerShell que usa utilitários estabelecidos da Microsoft.
A lista a seguir fornece informações sobre como configurar a VMware CA. Ao configurar o SSO, conforme descrito nos tópicos a seguir, você encontrará muitos desses mesmos detalhes no contexto. Por exemplo, Adicionar uma configuração de SSO ao Horizon Cloud Service - next-gen para uma VMware CA fornece instruções para baixar o pacote da CA da VMware. Esse pacote contém o script do VMware PowerShell que você executará para configurar o SSO conforme instruído em Publicar o pacote de CA do VMware SSO na floresta do Active Directory.
- Para ativar a funcionalidade exigida pelo SSO com uma CA da VMware, qualquer uma das seguintes situações deve se aplicar à sua floresta do Active Directory:
- O Active Directory tem pelo menos uma CA do Microsoft Enterprise online configurada e, nesse caso, ocorrem os resultados a seguir.
- A Autoridade de Certificação Empresarial da Microsoft publica automaticamente seus certificados de CA e listas de certificados revogados (CRLs) na floresta.
- Os controladores de domínio se inscrevem automaticamente para certificados.
- A floresta do Active Directory usa uma autoridade de certificação de terceiros ou uma autoridade de certificação autônoma da Microsoft e, nesse caso, os itens a seguir devem ser aplicáveis.
- Todos os certificados de CA devem ser publicados manualmente na floresta usando um utilitário como o certutil.
- As informações de revogação devem estar sempre disponíveis sobre HTTP.
- Controladores de Domínio devem ser emitidos com certificados que permitam a autenticação do cliente, a autenticação do servidor, o logon de cartão inteligente e a autenticação KDC.
- O Active Directory tem pelo menos uma CA do Microsoft Enterprise online configurada e, nesse caso, ocorrem os resultados a seguir.
- Você pode configurar a CA da VMware como uma CA raiz ou uma CA intermediária. No entanto, a prática recomendada da Infraestrutura de Chave Pública (PKI) é selecionar uma CA intermediária.
- Se você usar uma CA raiz, o certificado da CA da VMware será válido por cinco anos.
- Se você usar uma CA intermediária, a CA de emissão determinará o período de validade do certificado da CA da VMware.
- Se você usar uma autoridade de certificação intermediária, o certificado da CA da VMware poderá ser assinado por uma autoridade de certificação da Microsoft ou por qualquer CA de terceiros.
- Se você usar uma CA de terceiros, certifique-se de que as máquinas membros do domínio tenham acesso a todos os certificados e informações de revogação necessários para validar o certificado da CA da VMware.
- Para que a VMware CA seja confiável, você deve publicar o pacote da VMware CA em várias localizações na floresta do Active Directory local.
- Publique o pacote da VMware CA executando o script VMware PowerShell como administrador com permissões adequadas em uma máquina membro do domínio.
- Você só precisa executar o script VMware PowerShell uma vez. O Active Directory replica os dados de PKI publicados para todos os controladores de domínio e áreas de trabalho em todos os domínios no domínio do Active Directory. Você pode usar um utilitário como o Repadmin em implantações complexas do Active Directory para garantir a replicação oportuna do contexto de nomenclatura de configuração entre controladores de domínio em diferentes domínios ou sites antes de tentar o SSO.
- O script do PowerShell usa os utilitários da Microsoft certreq e certutil para transparência completa. Antes de executar o script do PowerShell, você pode ler o script para ver exatamente o que ele faz.
