Para o Horizon Cloud Service - next-gen, esta página descreve os elementos necessários para usar o recurso True SSO com um Horizon Edge no Microsoft Azure.

Talvez você já esteja familiarizado com o uso do True SSO em suas implantações anteriores do Horizon, como o Horizon 8 local ou uma implantação do Horizon Cloud on Microsoft Azure de primeira geração.

Para um ambiente do Horizon Cloud Service - next-gen, os elementos necessários para usar o recurso True SSO para fornecer acesso SSO (single sign-on) aos seus desktops e aplicativos para os usuários finais são uma Autoridade de certificação Empresarial da Microsoft e modelos de certificado especificamente configurados nessa Autoridade de Certificação Empresarial da Microsoft.

Autoridade de Certificação Empresarial da Microsoft

O uso do True SSO requer a Autoridade de Certificação do Microsoft Enterprise.

O termo Autoridade de Certificação Empresarial da Microsoft refere-se a uma Autoridade de Certificação da Microsoft (CA da Microsoft) em execução no modo Empresarial. Como o True SSO requer a configuração corporativa, a documentação do True SSO usa a frase Autoridade de Certificação Empresarial da Microsoft.

Dica: Em ambientes de produção, uma prática recomendada é ter no mínimo duas (2) dessas autoridades de certificação para fornecer redundância e balanceamento de carga.

Se você ainda não tiver uma autoridade de certificação configurada, deverá adicionar a função do Active Directory Certificate Services (AD CS) a um Microsoft Windows Server e configurá-la como uma CA empresarial.

No procedimento da Microsoft para configurar uma Autoridade de Certificação Empresarial da Microsoft, você instala a função do Active Directory Certificate Services (AD CS). O processo de configuração do AD CS dá a opção de executar a CA como uma CA empresarial ou uma CA autônoma.

Configuração dos modelos de certificado necessários para o True SSO com o Horizon Cloud

Especifique as seguintes configurações, incluindo o tamanho mínimo da chave para o certificado de assinatura Windows Server para o modelo True SSO. Para um certificado de assinatura Windows Server, o tamanho mínimo necessário da chave é 2048. A especificação de um tamanho de chave mínimo inferior a 2048 causa falha na autenticação.

Para o modelo True SSO, especifique as configurações a seguir na guia Criptografia.

  1. Para Categoria do Provedor, selecione Provedor de Armazenamento de Chaves.
  2. Para Nome do algoritmo, selecione RSA.
  3. Para Tamanho mínimo da chave, especifique 2048.
  4. Para Escolha quais provedores criptográficos podem ser usados para solicitações, selecione As solicitações podem usar qualquer provedor disponível no computador da entidade.
  5. Para Hash da solicitação, especifique SHA384.
  6. Clique em Salvar.

Uma captura de tela parcial é mostrada abaixo, que ilustra o valor mínimo do tamanho da chave de 2048.

Exibição de Tamanho mínimo da chave de 2048 na guia Criptografia, conforme descrito no texto.

Ativar o processamento de certificados não persistentes

Para cada Autoridade de Certificação Empresarial da Microsoft usada pelo True SSO, uma prática recomendada é ativar o processamento de certificados não persistentes.

Sem o processamento de certificados não persistentes ativado na Autoridade de Certificação Empresarial da Microsoft, os certificados True SSO permanecem armazenados no banco de dados da CA empresarial, resultando no seguinte:

  • O banco de dados da CA empresarial cresce muito rápido desnecessariamente. O True SSO solicita um novo certificado para cada nova conexão.
  • Desempenho afetado, pois a CA empresarial ficará sem espaço em disco à medida que seu banco de dados crescer.

Conforme descrito no artigo da base de conhecimento VMware KB 2149312, para evitar os problemas acima, a recomendação é habilitar a configuração DBFLAGS_ENABLEVOLATILEREQUESTS. Consulte esse artigo da base de conhecimento para conhecer as etapas.

Observação: Além de descrever a recomendação para ativar DBFLAGS_ENABLEVOLATILEREQUESTS, esse artigo da base de conhecimento também descreve o uso de outra configuração, CRLF_REVCHECK_IGNORE_OFFLINE. A ativação da configuração CRLF_REVCHECK_IGNORE_OFFLINE depende da sua arquitetura de PKI. A ativação da configuração CRLF_REVCHECK_IGNORE_OFFLINE não é um requisito rigoroso ou fixo para o True SSO e o Horizon Cloud.

Configurar os modelos de certificado necessários para o True SSO com o Horizon Cloud

O recurso True SSO requer a configuração dos modelos de certificado na Autoridade de Certificação Empresarial da Microsoft que você está fornecendo para uso com o True SSO e seu Horizon Edge.

Os modelos de certificado são a base para os certificados gerados pela Autoridade de Certificação Empresarial da Microsoft para uso com o True SSO.

As contas de serviço de inscrição exigem as permissões Ler e Inscrever em ambos os modelos: TrueSsoEnrollmentAgent e TrueSso.

Pré-requisitos

  • Verifique se você tem as instâncias da Autoridade de Certificação Empresarial da Microsoft (AD CS) exigidas pelo recurso True SSO, conforme descrito em Tipos de autoridade de certificação compatíveis para o uso de SSO com um Horizon Edge no Microsoft Azure.
  • Configure seu firewall para permitir que os Horizon Edges implantados se comuniquem com as instâncias da Autoridade de Certificação com a combinação necessária de protocolo e portas, conforme descrito em Requisitos de porta e protocolo para sua implantação do Horizon Cloud no Microsoft Azure.

    A comunicação usa o Active Directory Certificate Services (AD CS) das instâncias. O protocolo necessário é RPC/TCP (RPC sobre TPC). A primeira porta é a porta 135 e a segunda está dentro do intervalo de 49152 -65535.

  • Para uma configuração mais simplificada para firewall, você pode configurar suas instâncias da Autoridade de Certificação Empresarial da Microsoft (AD CS) para usar uma porta DCOM estática e configurar o firewall para permitir que a porta 135 e sua porta DCOM estática escolhida, definindo essa porta estática para ser a mesma em todas as instâncias. Essa configuração está descrita no Microsoft TechNet Como configurar uma porta DCOM estática para o AD CS.
Observação: As etapas a seguir foram realizadas usando uma Autoridade de Certificação Empresarial da Microsoft executando o sistema operacional Microsoft Windows Server 2016 Standard. As capturas de tela nas etapas foram tiradas desse sistema. Como resultado, os rótulos mencionados nas etapas e nas capturas de tela refletem esse sistema operacional. Se a sua Autoridade de Certificação Empresarial da Microsoft estiver executando uma versão diferente do sistema operacional Windows Server, talvez você veja pequenas diferenças no seu sistema em comparação com os rótulos e as capturas de tela abaixo.

Procedimento

  1. Crie um novo Grupo de Segurança Universal no Active Directory.
    Criar esse grupo permite que você tenha um único Grupo de Segurança ao qual você pode atribuir as permissões necessárias para emitir certificados em nome dos usuários. Em seguida, todas as contas de serviço de inscrição podem herdar essas permissões necessárias se tornando um membro desse grupo.
    1. Abra a ferramenta Usuários e Computadores do Active Directory, no menu Ferramentas do Gerenciador do Servidor ou executando o comando dsa.msc.
    2. Na ferramenta Usuários e Computadores do Active Directory, crie um novo grupo para as contas de inscrição de domínio exigidas pelo True SSO.
      Dê ao grupo um nome de sua escolha, como Contas de Inscrição do True SSO. Defina também:
      Configuração Valor
      Escopo do grupo Universal
      Tipo de grupo Segurança
    3. Clique em OK para salvar o novo grupo.
    4. Em seguida, adicione as contas de inscrição de domínio como membros desse novo grupo.
      Adicione todas as contas de serviço de inscrição de domínio que você usará para usar o True SSO.

      Essas contas seriam as mesmas que você adicionou no fluxo de UI de Registro de Domínio usando o Horizon Universal Console, conforme descrito em Configurar seu domínio do Active Directory.

  2. Configure o modelo de certificado Agente de Inscrição True SSO usando a ferramenta Autoridade de Certificação e seu Console de Modelos de Certificado.
    1. Abra a ferramenta Autoridade de Certificação.
      Algumas maneiras de abrir essa ferramenta incluem usar o menu Ferramentas do Gerenciador do Servidor, as Ferramentas Administrativas do Windows do menu Iniciar ou executando certsrv.msc.
    2. Na árvore esquerda da ferramenta Autoridade de Certificação, expanda o nome da CA local até ver a pasta Modelos de Certificado.
    3. Abra o Console de Modelos de Certificado clicando com o botão direito do mouse na pasta Modelos de Certificado e selecionando Gerenciar.
      A captura de tela a seguir ilustra essa etapa em um sistema que executa o Window Server 2016.
      Captura de tela do menu Gerenciar na pasta Modelos de Certificado na ferramenta Autoridade de Certificação
      É exibido o Console de Modelos de Certificado.
    4. Clique com botão direito do mouse no modelo Agente de Inscrição listado e selecione Duplicar Modelo.
      A captura de tela a seguir ilustra essa etapa em um sistema que executa o Window Server 2016.
      Captura de tela do menu ativado com o botão direito do mouse em Agente de Inscrição e a opção de menu Duplicar Modelo
      É exibida a janela Propriedades do Novo Modelo.
    5. Insira as informações nas guias da janela, conforme descrito nas seções a seguir.
      Observação: As capturas de tela abaixo foram obtidas usando uma Autoridade de Certificação Empresarial da Microsoft executando o sistema operacional Microsoft Windows Server 2016 Standard. Se a sua Autoridade de Certificação Empresarial da Microsoft estiver executando uma versão diferente do sistema operacional Windows Server, talvez você veja pequenas diferenças na UI do seu sistema Windows.
      Guia Geral
      Importante: Use apenas caracteres ASCII nos nomes de seus modelos True SSO. Devido a um problema conhecido, se os nomes dos modelos True SSO incluírem caracteres não ASCII ou ASCII superiores, você não poderá configurar o True SSO em seu ambiente Horizon Cloud.
      Nome de exibição do modelo
      Digite um nome que indique que esse novo modelo é para o Agente de Inscrição True SSO, por exemplo, Agente de Inscrição True SSO.
      Nome do modelo
      Conforme você digita o Nome de exibição do modelo anterior, a ferramenta insere automaticamente esse nome aqui para corresponder à sua entrada de Nome de exibição do modelo sem espaços.

      Por exemplo, se você digitar Agente de Inscrição True SSO em Nome de exibição do modelo, a ferramenta definirá automaticamente esse Nome do modelo como TrueSsoEnrollmentAgent.

      A captura de tela a seguir ilustra essa guia depois de digitar o Nome de exibição do modelo como Agente de Inscrição True SSO.


      Captura de tela da guia Geral com o Agente de Inscrição True SSO inserido para o Nome de exibição do modelo
      Guia Segurança
      Na guia Segurança, forneça as permissões Read e Enroll para o novo Grupo de Segurança Universal que você criou para as contas de inscrição do True SSO.
      1. Na seção Nomes de grupo ou usuário, adicione o grupo que você criou para as contas de inscrição do True SSO.
      2. Selecione esse grupo e, na seção Permissões, escolha Permitir para as permissões Read e Enroll.

      Captura de tela ilustrando a guia Segurança depois que o Grupo de Segurança Universal é adicionado e as permissões são definidas.
    6. Salve o novo modelo Agente de Inscrição True SSO clicando em OK na janela Propriedades do Novo Modelo.
    O novo modelo Agente de Inscrição True SSO é listado no Console de Modelos de Certificado, exibido usando o Nome de exibição do modelo que você deu a ele e com a finalidade exibida de agente de solicitação de certificado.

    A captura de tela a seguir ilustra o novo modelo listado.


    Captura de tela do novo modelo Agente de Inscrição True SSO na lista e uma seta verde apontando para ele.
  3. No mesmo Console de Modelos de Certificado, configure o modelo de Logon com Cartão Inteligente True SSO.
    1. No Console de Modelos de Certificado, clique com o botão direito do mouse no modelo listado Logon com Cartão Inteligente e selecione Duplicar Modelo.
      A captura de tela a seguir ilustra essa etapa em um sistema que executa o Window Server 2016.
      Captura de tela ilustrando o menu no modelo Logon com Cartão Inteligente e na opção Duplicar Modelo.
      É exibida a janela Propriedades do Novo Modelo.
    2. Insira as informações nas guias da janela, conforme descrito nas seções a seguir.
      Cuidado:

      Certifique-se de seguir esses pontos. Caso contrário, o sistema impedirá a configuração dos valores necessários, forçando você a cancelar e refazer suas etapas. Esse requisito é um comportamento Windows do sistema.

      • Evite Aplicar e OK na janela Propriedades até que você tenha feito as configurações necessárias nas três guias, conforme descrito no seguinte marcador, na ordem específica prescrita.

        Se você deixar de seguir essa orientação de definir as configurações nas três guias conforme descrito abaixo antes de aplicar ou salvar na janela, o Windows forçará a configuração Categoria do Provedor da guia Criptografia como somente leitura, e ela não poderá ser alterada posteriormente para a configuração Provedor de Armazenamento de Chaves exigida pelo True SSO.

        Portanto, você deve garantir que concluiu a configuração nas três guias a seguir precisamente na ordem correta fornecida abaixo antes de aplicar ou salvar na janela.

      • Configure as guias como as primeiras que você definir, seguindo esta ordem específica:
        1. Guia Compatibilidade
        2. Guia Geral
        3. Guia Criptografia

      O motivo para essa ordem prescrita é que, à medida que você altera as configurações na guia Compatibilidade, o sistema disponibiliza dinamicamente opções relevantes nas outras guias. Se você aplicar ou salvar na janela antes de atualizar a guia Criptografia, não poderá definir a configuração exigida pelo True SSO. Portanto, certifique-se de definir as configurações nas guias na ordem listada acima e abaixo antes de aplicar ou salvar na janela.

      Guia Compatibilidade
      Observação: Você deve fazer essas seleções na guia Compatibilidade para que as opções apropriadas fiquem disponíveis na guia Criptografia.
      • Marque a caixa de seleção Mostrar alterações resultantes.
      • Autoridade de Certificação - O sistema apresenta as escolhas que o Microsoft Windows disponibiliza para essa configuração. Para atender aos requisitos do True SSO, selecione a opção Windows Server 2008 R2 ou uma das versões posteriores apresentadas no menu.
      • Destinatário do certificado - O sistema apresenta as escolhas que o Microsoft Windows disponibiliza para essa configuração. Para atender aos requisitos do True SSO, selecione a opção Windows 7 / Server 2008 R2 ou uma das versões mais recentes apresentadas no menu.

      Captura de tela da guia Compatibilidade.
      Guia Geral
      Importante: Use apenas caracteres ASCII nos nomes de seus modelos True SSO. Devido a um problema conhecido, se os nomes dos modelos True SSO incluírem caracteres não ASCII ou ASCII superiores, você não poderá configurar o True SSO em seu ambiente Horizon Cloud.
      Nome de exibição do modelo
      Digite um nome que indique que esse novo modelo deve ser usado pelo True SSO, por exemplo, True SSO.
      Nome do modelo
      Conforme você digita o Nome de exibição do modelo anterior, a ferramenta insere automaticamente esse nome aqui para corresponder à sua entrada de Nome de exibição do modelo sem espaços.

      Por exemplo, se você digitar True SSO em Nome de exibição do modelo, a ferramenta definirá automaticamente esse Nome do modelo como TrueSSO.

      Período de validade
      1 hora (uma hora)
      Período de renovação
      0 semanas (zero semanas)

      A captura de tela a seguir ilustra essa guia depois de digitar o Nome de exibição do modelo como True SSO.


      Captura de tela da guia Geral após digitar True SSO no campo Nome de exibição do modelo.
      Guia Criptografia
      • Categoria do Provedor - Provedor de Armazenamento de Chaves
      • Nome do algoritmo - RSA
      • Tamanho mínimo da chave - 2048
      • Selecione o botão de opção Solicitações podem usar qualquer provedor disponível no computador do requerente
      • Hash da solicitação - SHA384

      Captura de tela da guia Criptografia
      Guia Tratamento de Solicitação
      • Objetivo - Assinatura e logon de cartão inteligente
      • Marque a caixa de seleção Para renovação automática de certificados com cartão inteligente, usar a chave existente se uma nova chave não puder ser criada
      • Selecione o botão de opção Pedir a confirmação do usuário durante o registro.

      Captura de tela da guia Tratamento de Solicitação
      Guia Nome da Entidade
      • Selecione o botão de opção Criar com base nas informações do Active Directory.
      • Formato de nome da entidade - Nome totalmente diferenciado
      • Marque a caixa de seleção Nome UPN.

      Captura de tela da guia Nome da Entidade
      Guia Servidor
      Marque a caixa de seleção Não armazenar certificados e solicitações no banco de dados da autoridade de certificação.
      Importante: Certifique-se de desmarcar a segunda caixa de seleção Não incluir informações de revogação em certificados emitidos.

      Quando você marca a primeira caixa de seleção, o sistema seleciona Não incluir informações de revogação em certificados emitidos automaticamente.

      Certifique-se de desmarcar essa segunda caixa de seleção Não incluir informações de revogação em certificados emitidos.


      Captura de tela da guia Servidor
      Guia Requisitos de Emissão
      • Exija o seguinte para a inscrição - Selecione Número de assinaturas autorizadas e insira 1.
      • Tipo de política necessária na assinatura - Política de aplicativo
      • Política de aplicativo - Agente de Solicitação de Certificado
      • Exija o seguinte para a nova inscrição - Certificado existente válido

      Captura de tela da guia Requisitos de Emissão com setas verdes apontando para as configurações-chave.
      Guia Segurança
      Na guia Segurança, forneça as permissões Read e Enroll para o novo Grupo de Segurança Universal que você criou para as contas de inscrição do True SSO.
      1. Na seção Nomes de grupo ou usuário, adicione o grupo que você criou para as contas de inscrição do True SSO.
      2. Selecione esse grupo e, na seção Permissões, escolha Permitir para as permissões Read e Enroll.

      Captura de tela ilustrando a guia Segurança depois que o Grupo de Segurança Universal é adicionado e as permissões são definidas.
    3. Conclua o salvamento desse novo modelo True SSO clicando em OK na janela Propriedades do Novo Modelo.
    O novo modelo True SSO é listado no Console de Modelos de Certificado, exibido com o uso do Nome de exibição do modelo que você deu a ele e com a finalidade exibida de autenticação do cliente: logon com cartão inteligente.

    A captura de tela a seguir ilustra o novo modelo listado.


    Captura de tela ilustrando o modelo True SSO exibido na lista
  4. Agora, você pode fechar o Console de Modelos de Certificado e retornar à ferramenta Autoridade de Certificação.
  5. Emita o modelo para True SSO.
    1. Na ferramenta Autoridade de Certificação, clique com o botão direito do mouse na pasta Modelos de Certificado e selecione Novo > Modelo de Certificado para Emissão.
      A captura de tela a seguir ilustra essa etapa em um sistema que executa o Window Server 2016.
      Captura de tela ilustrando a opção de menu Modelo de Certificado para Emissão e setas verdes apontando para a pasta Modelos de Certificado e o menu Novo.
      É exibida a janela Ativar Modelos de Certificado.
    2. Selecione o modelo True SSO que você criou nas etapas anteriores e clique em OK.
      A captura de tela a seguir ilustra essa etapa em um sistema que executa o Window Server 2016.
      Captura de tela da janela Ativar Modelos de Certificado, com uma seta verde apontando para o modelo True SSO selecionado na lista.
    Importante: Você deve realizar essas ações em cada instância da Autoridade de Certificação Empresarial da Microsoft que pretende usar para o recurso True SSO.
  6. Repita a mesma etapa de emissão para o modelo Agente de Inscrição True SSO.
    1. Na ferramenta Autoridade de Certificação, clique com o botão direito do mouse na pasta Modelos de Certificado e selecione Novo > Modelo de Certificado para Emissão.

      Captura de tela ilustrando a opção de menu Modelo de Certificado para Emissão e setas verdes apontando para a pasta Modelos de Certificado e o menu Novo.
      É exibida a janela Ativar Modelos de Certificado.
    2. Selecione o modelo Agente de Inscrição True SSO que você criou nas etapas anteriores e clique em OK.
      A captura de tela a seguir ilustra essa etapa em um sistema que executa o Window Server 2016.
      Captura de tela ilustrando a janela Ativar Modelos de Certificado e uma seta verde apontando para o modelo Agente de Inscrição True SSO na lista.
      Importante: Você deve realizar essas ações em cada instância da Autoridade de Certificação da Microsoft Enterprise que pretende usar para True SSO.
    A Autoridade de Certificação Empresarial da Microsoft agora está instalada e configurada com os modelos de certificado necessários para uso com o recurso True SSO.