Depois que tiver registrado um domínio do Active Directory com seu ambiente do Horizon Cloud e tiver integrado o ambiente ao VMware Workspace ONE, você poderá configurar o True SSO para ele. O True SSO é um recurso que se integra ao Workspace ONE Accesspara permitir que os usuários executem o Single Sign-On em aplicativos e áreas de trabalho virtuais do Windows atendidos pelo Horizon Cloud, sem a necessidade de também digitar suas credenciais do Active Directory no sistema operacional Windows. Quando o True SSO é configurado para seu ambiente, os usuários finais são autenticados na URL do Workspace ONE que você lhes fornece para acessar suas áreas de trabalho e aplicativos autorizados. Após essa autenticação, os usuários podem inicializar seus aplicativos e áreas de trabalho permitidos sem uma solicitação de credenciais do Active Directory.

Importante: A configuração do True SSO é um tipo de configuração em todo o tenant. A configuração do True SSO será aplicada a todos os pods do Horizon Cloud da sua frota de pods no Microsoft Azure. Como resultado, após você configurar o True SSO com êxito no seu tenant do Horizon Cloud pela primeira vez e depois implantar pods adicionais do Horizon Cloud em suas assinaturas do Microsoft Azure usando o assistente de implantação de pod automatizada, o sistema enviará a mesma configuração do True SSO para todos esses pods e tentará validar a mesma configuração de True SSO nesses pods.

A configuração do True SSO para uso com seu ambiente é um processo em várias etapas. Em um alto nível, as etapas são:

  1. Configurar a infraestrutura necessária para que o True SSO opere, o que envolve:
    1. Instalar e configurar uma Autoridade de Certificação (CA) do Microsoft Windows Server para ser uma autoridade de certificação corporativa. Os procedimentos nesta seção destinam-se ao Microsoft Windows Server 2012 R2. Etapas muito semelhantes podem ser seguidas nas outras versões do Microsoft Windows Server com suporte para uso com esse recurso.
    2. Configurar um modelo de certificado na autoridade de certificação.
      Importante: Use apenas caracteres ASCII nos nomes de seus modelos True SSO. Devido a um problema conhecido, se os nomes dos modelos True SSO incluírem caracteres não ASCII ou ASCII superiores, você não poderá configurar o True SSO em seu ambiente Horizon Cloud.
    3. Baixar o pacote de emparelhamento do Horizon Cloud na página Active Directory do Horizon Universal Console. O pacote de emparelhamento é usado ao configurar o Servidor de Registro.
    4. Configurar o Servidor de Registro.
      Importante: Depois de configurar o Servidor de Registro, verifique se você atende aos requisitos de porta para o Servidor de Registro, conforme descrito em Tenants de primeira geração: Implantações do Horizon Cloud on Microsoft Azure: requisitos de resolução de nomes de host e nomes DNS.
  2. Adicionar as informações do Servidor de Inscrição à página Active Directory do Horizon Universal Console.

Quando a configuração for concluída, a autoridade de certificação corporativa e o Servidor de Registro trabalham juntos para emitir certificados de curta duração que são usados para fazer login dos usuários em seus aplicativos e áreas de trabalho permitidos. O pod do Horizon Cloud solicita ao Servidor de Registro um certificado para um usuário autorizado específico. O Servidor de Registro entra em contato com a autoridade de certificação para gerar o certificado solicitado e, em seguida, retorna o certificado para o pod do Horizon Cloud.

Pré-requisitos

Antes de configurar o True SSO, você deve ter pelo menos um ambiente do Workspace ONE Access configurado com seu ambiente do Horizon Cloud. Consulte o tópico de documentação Sobre o uso de um ambiente do Horizon Cloud com o VMware Workspace ONE e com o recurso opcional True SSO e siga o procedimento de integração apropriado à configuração de seu ambiente do Horizon Cloud.

Resultados

Depois de concluir as etapas, seu ambiente está configurado com o True SSO.

Horizon Cloud - True SSO: configurar uma autoridade de certificação corporativa usando um sistema do Microsoft Windows Server

Um elemento obrigatório para usar o recurso True SSO é uma autoridade de certificação (CA) da Microsoft. Se não tiver uma autoridade de certificação (CA) configurada, você deverá adicionar a função de serviços de certificados do Active Directory (AD CS) a um servidor Microsoft Windows e configurar o servidor como uma autoridade de certificação corporativa. Você pode usar o assistente do Service Manager para executar esse procedimento.

Estas são as etapas padrão para configurar uma autoridade de certificação da Microsoft. Elas são detalhadas neste tópico em um formato simples adequado para utilização em um ambiente de laboratório, mas, para um sistema de produção real, é recomendável que você siga as práticas recomendadas do setor para a configuração da autoridade de certificação.

Se você precisar de mais orientações sobre como configurar uma autoridade de certificação, consulte as referências técnicas padrão da Microsoft: Guia Passo a Passo dos Serviços de Certificados do Windows Server Active Directory e Instalar uma Autoridade de Certificação Raiz.

Observação: Para ilustrar o processo, as etapas específicas neste tópico são baseadas no uso do Windows Server 2012 R2. Etapas muito semelhantes podem ser seguidas em outros sistemas de servidor Windows. Se você quiser instalar o Servidor de Registro no mesmo sistema que hospeda essa autoridade de certificação, use uma das versões do Windows Server compatíveis com o Servidor de Registro. Consulte Horizon Cloud de primeira geração - True SSO: configurar o Servidor de Inscrição.

Procedimento

  1. No Painel do Gerenciador de Servidores, clique em Adicionar Funções e Recursos para abrir o assistente e clique em Avançar.
  2. Na página Selecionar Tipo de Instalação, selecione Instalação baseada em função ou recurso e clique em Avançar.
  3. Na página Seleção de Servidor, mantenha os padrões e clique em Avançar.
  4. Na página Funções de Servidor:
    1. Selecione Serviços de Certificados do Active Directory.
    2. Na caixa de diálogo, selecione Incluir ferramenta de gerenciamento (se aplicável) e clique em Adicionar Recursos.
    3. Clique em Avançar.
  5. Na página Recursos, clique em Avançar.
  6. Na página AD CS, clique em Avançar.
  7. Na página Serviços de Função, selecione Autoridade de Certificação e clique em Avançar.
  8. Na página Confirmação, selecione Reiniciar cada servidor de destino automaticamente, se necessário e clique em Instalar.
    É exibido o Progresso da Instalação. Quando a instalação estiver concluída, um link de URL será exibido, permitindo que você configure a autoridade de certificação recém-instalada como "Configurar Serviços de Certificados do Active Directory" no servidor de destino.
  9. Clique no link de configuração para iniciar o assistente de configuração.
  10. Na página Credenciais, insira as credenciais do usuário do grupo Admin Corporativo e clique em Avançar.
  11. Na página Serviços de Função, selecione CA e clique em Avançar.
  12. Na página Tipo de Instalação, selecione CA Corporativa e clique em Avançar.
  13. Na página Tipo de CA, selecione CA Raiz ou Subordinada conforme apropriado (neste exemplo, é uma CA Raiz) e clique em Avançar.
  14. Na página Chave Privada, selecione Criar uma nova chave privada e clique em Avançar.
  15. Na página Criptografia, insira as seguintes informações.
    Campo Descrição
    Provedor de Criptografia RSA#Provedor do Armazenamento de Chaves do Software Microsoft
    Comprimento da Chave 4096 (ou outro prazo se preferir)
    Algoritmo de Hash SHA256 (ou outro algoritmo SHA se preferir)
  16. Na página Nome da Autoridade de Certificação, configure como desejar ou aceite os padrões e clique em Avançar.
  17. Na página Período de Validade, configure como desejar e clique em Avançar.
  18. Na página Bancos de Dados de Certificados, clique em Avançar.
  19. Na página Confirmação, revise as informações e clique em Configurar.
  20. Conclua o processo de configuração realizando as seguintes tarefas (execute todos os comandos no prompt de comando).
    1. Configurar a autoridade de certificação para processamento de certificado não persistente 
      certutil –setreg DBFlags 
+DBFLAGS_ENABLEVOLATILEREQUESTS
    2. Configurar a autoridade de certificação para ignorar erros de CRL offline 
      certutil –setreg ca\CRLFlags 
+CRLF_REVCHECK_IGNORE_OFFLINE
    3. Reiniciar o serviço da autoridade de certificação 
      net stop certsvc
net start certsvc
  21. Configure um modelo de certificado na autoridade de certificação seguindo as etapas em Horizon Cloud - True SSO: configuração de um modelo de certificado na autoridade de certificação.

Horizon Cloud - True SSO: configuração de um modelo de certificado na autoridade de certificação

Você deve configurar o modelo de certificado na autoridade de certificação. O modelo de certificado é a base para os certificados gerados pela autoridade de certificação.

Pré-requisitos

Conclua as etapas descritas em Horizon Cloud - True SSO: configurar uma autoridade de certificação corporativa usando um sistema do Microsoft Windows Server.

Procedimento

  1. Crie um novo Grupo de Segurança Universal.
    Criar esse grupo permite que você tenha um único Grupo de Segurança ao qual você pode atribuir as permissões necessárias para emitir certificados em nome dos usuários. Todos os computadores nos quais os Servidores de Registro da VMware estão instalados podem herdar as permissões quando se tornam um membro desse grupo.
    1. Clique em Iniciar e digite dsa.msc.
      É exibida a janela Usuários e Computadores do Active Directory.
    2. Na árvore, clique na pasta Usuários do controlador de domínio e selecione Novo > Grupo.
      É exibida a janela Novo Objeto - Grupo.
    3. No campo Nome do Grupo, insira um nome para o novo grupo. Por exemplo, Servidores de Inscrição de True SSO.
    4. Defina os seguintes valores.
      Configuração Valor
      Escopo do grupo Universal
      Tipo de grupo Segurança
    5. Clique em OK.
      O novo grupo é exibido na árvore da janela Usuários e Computadores do Active Directory.
    6. Clique com botão direito do mouse no grupo e selecione Propriedades.
    7. Na guia Membro de, adicione todos os computadores nos quais você instalará um Servidor de Registro e, em seguida, clique em OK.
    8. Reinicie todos os computadores nos quais você instalará um Servidor de Registro.
  2. Configure o modelo de certificado.
    1. Selecione Painel de Controle > Ferramentas Administrativas > Autoridade de Certificação.
    2. Na árvore, expanda o nome da autoridade de certificação local.
    3. Clique com botão direito do mouse na pasta Modelos de Certificado e selecione Gerenciar.
      É exibido o Console de Modelos de Certificado.
    4. Clique com botão direito do mouse no modelo de Logon de Cartão Inteligente e selecione Duplicar Modelo.
      É exibida a janela Propriedades do Novo Modelo.
    5. Insira as informações nas guias da janela, conforme descrito abaixo.
      Guia Configurações
      Compatibilidade
      • Marque a caixa de seleção Mostrar alterações resultantes.
      • Autoridade de certificação: selecione o sistema operacional Windows
      • Destinatário do certificado: selecione o sistema operacional Windows
      Geral
      Importante: Use apenas caracteres ASCII nos nomes de seus modelos True SSO. Devido a um problema conhecido, se os nomes dos modelos True SSO incluírem caracteres não ASCII ou ASCII superiores, você não poderá configurar o True SSO em seu ambiente Horizon Cloud.
      • Nome de exibição do modelo - Nome de sua preferência. Por exemplo, Modelo do True SSO.
      • Nome do modelo - Nome de sua preferência. Por exemplo, Modelo do True SSO.
      • Período de validade - 1 hora
      • Período de renovação - 0 semanas
      Tratamento de Solicitação
      • Objetivo - Assinatura e logon de cartão inteligente
      • Marque a caixa de seleção Para renovação automática de certificados de cartão inteligente.
      • Selecione o botão de opção Pedir a confirmação do usuário durante o registro
      Criptografia
      • Categoria do Provedor - Provedor de Armazenamento de Chaves
      • Nome do algoritmo - RSA
      • Tamanho mínimo da chave - 2048
      • Selecione o botão de opção Solicitações podem usar qualquer provedor disponível.
      • Solicitar hash - SHA256
      Nome da Entidade
      • Selecione o botão de opção Criar com base nas informações do Active Directory.
      • Formato de nome da entidade - Nome totalmente diferenciado
      • Marque a caixa de seleção Nome UPN.
      Servidor Marque a caixa de seleção Não armazenar certificados e solicitações no banco de dados da autoridade de certificação.
      Requisitos de Emissão
      • Exija o seguinte para a inscrição - Selecione Número de assinaturas autorizadas e insira 1.
      • Tipo de política necessária na assinatura - Política de aplicativo
      • Política de aplicativo - Agente de Solicitação de Certificado
      • Exija o seguinte para a inscrição - Certificado existente válido
      Segurança Na parte superior da guia, selecione o novo grupo que você criou. Em seguida, na parte inferior da guia, selecione Permitir para permissões de Leitura e Registro.
    6. Clique em OK.
  3. Emita o modelo para True SSO.
    1. Clique com o botão direito do mouse novamente na pasta Modelos de Certificado e selecione Novo > Modelo de Certificado a Ser Emitido.
      É exibida a janela Ativar Modelos de Certificado.
    2. Selecione TrueSsoTemplate e clique em OK.
  4. Emita o modelo de Agente de Inscrição.
    1. Clique com o botão direito do mouse novamente na pasta Modelos de Certificado e selecione Novo > Modelo de Certificado a Ser Emitido.
      É exibida a janela Ativar Modelos de Certificado.
    2. Selecione o computador do Agente de Inscrição e clique em OK.
      Observação: Esse modelo deve ter as mesmas configurações de segurança que o modelo emitido na etapa anterior.
    A autoridade de certificação agora está configurada com um modelo de certificado adequado para uso com True SSO.
  5. Baixe o pacote de emparelhamento do Horizon Cloud seguindo as etapas em Horizon Cloud - True SSO: download do pacote de emparelhamento do Horizon Cloud.

Horizon Cloud - True SSO: download do pacote de emparelhamento do Horizon Cloud

Você precisa deste pacote de emparelhamento para concluir as etapas de instalação do Servidor de Registro quando está configurando seu ambiente do Horizon Cloud para True SSO. Você pode baixar o pacote de emparelhamento da página Active Directory do Horizon Universal Console.

Importante: A configuração do True SSO é um tipo de configuração em todo o tenant. A configuração do True SSO será aplicada a todos os pods do Horizon Cloud da sua frota de pods no Microsoft Azure. Como resultado, após você configurar o True SSO com êxito no seu tenant do Horizon Cloud pela primeira vez e depois implantar pods adicionais do Horizon Cloud em suas assinaturas do Microsoft Azure usando o assistente de implantação de pod automatizada, o sistema enviará a mesma configuração do True SSO para todos esses pods e tentará validar a mesma configuração de True SSO nesses pods.
O pacote de emparelhamento contém um arquivo de certificado para cada um dos pods Horizon Cloud implantados no Microsoft Azure para o seu ambiente Horizon Cloud. Para os pods para os quais você deseja configurar o True SSO, é possível carregar arquivos de certificado nesses pods para o Servidor de Registro. Quando você tem um pod, o pacote contém um arquivo de certificado no formato CRT. Quando você tem mais de um pod, o pacote contém vários arquivos CRT, um por pod. O nome de cada arquivo CRT segue o padrão: 
podID_truesso.crt
onde podID é o ID do pod que é exibido na página de resumo do pod.

Procedimento

  1. No console, navegue até Configurações > Active Directory.
  2. Na área de Configuração do True SSO, obtenha o arquivo pairing_bundle.7z clicando em Baixar Token de Emparelhamento.
  3. Salve o arquivo em um local na qual você pode extrair seu conteúdo.
  4. Para os pods para os quais você deseja configurar o True SSO, extraia os arquivos CRT de pods do pacote de emparelhamento em um local onde você pode recuperá-los quando você estiver configurando o Servidor de Registro.
    O pacote de emparelhamento contém um arquivo de certificado para cada pod do no seu ambiente. Cada nome de arquivo CRT segue o padrão podID_truesso.crt, em que podID é o valor de ID do pod.
  5. Configure o Servidor de Registro seguindo as etapas em Horizon Cloud de primeira geração - True SSO: configurar o Servidor de Inscrição.

Horizon Cloud de primeira geração - True SSO: configurar o Servidor de Inscrição

Esta página de documentação descreve como configurar o Servidor de Inscrição para uso com implantações do Horizon Cloud on Microsoft Azure de primeira geração.

O Servidor de Registro (ES) é um componente do Horizon Cloud on Microsoft Azure que você instala em uma máquina com Windows Server como a última etapa da configuração da infraestrutura para True SSO. Ao implementar o certificado do Agente de Inscrição (Computador) no servidor, você autoriza esse ES para agir como um Agente de Inscrição e gerar os certificados em nome dos usuários.

Atenção: Se o seu tenant de primeira geração tiver várias implantações do Horizon Cloud on Microsoft Azure em sua frota, quando você estiver configurando Servidores de Inscrição, deverá garantir que estes sejam acessíveis por todas as instâncias do gerenciador de pods dessas implantações. Caso contrário, a etapa final de emparelhamento falhará (a etapa de conclusão falhará).

Conforme descrito na Observação importante da página Configurar o True SSO para uso com seu ambiente do Horizon Cloud, a configuração do True SSO é um tipo de configuração no âmbito do tenant. O sistema envia a mesma configuração de True SSO para todos os pods na frota do tenant e tenta validar a mesma configuração do True SSO em todos eles. Se você criar um Servidor de Inscrição para trabalhar com o Pod-A e também configurar um Servidor de Inscrição separado para trabalhar com o Pod-B, ambos deverão ser acessíveis tanto pelo Pod-B quanto pelo Pod-B.

Pré-requisitos

Verifique se você concluiu as etapas em Horizon Cloud - True SSO: configurar uma autoridade de certificação corporativa usando um sistema do Microsoft Windows Server, Horizon Cloud - True SSO: configuração de um modelo de certificado na autoridade de certificação, e Horizon Cloud - True SSO: download do pacote de emparelhamento do Horizon Cloud.

Observação: A CA Empresarial deve estar configurada para que você veja os itens apropriados no assistente para Inscrição de Certificado nas etapas documentadas nesta página.

Verifique se o sistema no qual você instalará o software do Servidor de Registro está executando um destes sistemas operacionais compatíveis com essa instalação: Windows Server 2012 R2, Windows Server 2016, Windows Server 2019. O sistema deve ter um mínimo de 4 GB de memória.

Observação: O uso do Windows Server 2022 não foi qualificado para suporte ao uso do Servidor de Inscrição com implantações do Horizon Cloud on Microsoft Azure de primeira geração.

Os rótulos nas etapas a seguir refletem a execução das etapas em um sistema Windows Server 2016.

Procedimento

  1. Instale o Servidor de Registro no sistema.
    1. Baixe o arquivo .exe do Servidor de Registro do site do My VMware. O nome do arquivo deve ser semelhante a VMware-HorizonCloud-TruessoEnrollmentServer-x86_64-7.3.0-xxxxx.exe.
    2. Confirme se o sistema atende aos pré-requisitos conforme indicado anteriormente.
    3. Execute o instalador e siga o assistente.
  2. No Servidor de Inscrição, adicione o snap-in de Certificado ao MMC (Console de Gerenciamento da Microsoft).
    1. Abra o MMC e selecione Arquivo > Adicionar/Remover Snap-in.
    2. Em Snap-ins disponíveis, selecione Certificados e clique em Adicionar.
    3. Na janela do snap-in Certificados, selecione Conta do computador e clique em Avançar .
    4. Na janela Selecionar Computador, mantenha o padrão de Computador local e clique em Concluir.
    5. De volta à janela Adicionar ou Remover Snap-ins, clique em OK para concluir a adição do snap-in Certificado.
  3. Implante o certificado do Agente de Inscrição nesse Servidor de Inscrição.
    1. No MMC, expanda Certificados (Computador Local) que você adicionou na etapa anterior, clique com o botão direito na pasta Pessoal e selecione Todas as Tarefas > Solicitar Novo Certificado.
      O assistente para Inscrição de Certificado é iniciado.
    2. Continue com o assistente para Inscrição de Certificado, aceitando os padrões até chegar à etapa Solicitar Certificados.
    3. Na etapa Solicitar Certificados do assistente, marque a caixa de seleção Agente de Inscrição (Computador) e clique em Inscrever.
    4. Continue com o assistente, aceitando os padrões nas etapas restantes e, na etapa final, clique em Concluir.
  4. Importe os arquivos CRT de certificado dos pods extraídos do arquivo pairing_bundle.7z, para esses pods com os quais você deseja configurar o True SSO.
    O pacote de emparelhamento contém um arquivo de certificado para cada pod do no seu ambiente. Cada nome de arquivo CRT segue o padrão podID_truesso.crt, em que podID é o valor de ID do pod.
    1. No MMC, clique com botão direito do mouse na subpasta Certificados da pasta Raízes Confiáveis do Servidor de Inscrição do VMware Horizon View e selecione Todas as Tarefas > Importar.
    2. No assistente para Importar Certificado, siga as instruções para navegar até o local em que você extraiu os arquivos de certificado do pacote pairing_bundle.7z.
      Quando você tiver apenas um pod, o pacote conterá apenas um arquivo CRT. Quando você tiver mais de um pod, o pacote conterá um arquivo CRT para cada pod.
    3. Importe o(s) arquivo(s) de certificado, dependendo de quantos pods que você está configurando.
    4. Clique em Avançar e em Concluir.
  5. Conclua as etapas de configuração restantes conforme descrito em Horizon Cloud - True SSO: conclusão da configuração do True SSO para o ambiente do Horizon Cloud.

Horizon Cloud - True SSO: conclusão da configuração do True SSO para o ambiente do Horizon Cloud

Depois que o Servidor de Inscrição é configurado, insira as informações na página Active Directory do Horizon Universal Console.

Pré-requisitos

Conclua a etapa anterior Horizon Cloud de primeira geração - True SSO: configurar o Servidor de Inscrição.

Confirme que você cumpriu com os requisitos de porta e de protocolo para o tráfego de rede do Servidor de Registro e as VMs do gerenciador de pods, conforme descrito em Tenants de primeira geração: Implantações do Horizon Cloud on Microsoft Azure: requisitos de resolução de nomes de host e nomes DNS. Se as portas apropriadas não estiverem permitindo tráfego, o emparelhamento do Servidor de Registro não funcionará.

Procedimento

  1. No console, navegue até Configurações > Active Directory.
  2. Clique em Adicionar ao lado da configuração do True SSO.

    É exibida a caixa de diálogo Configuração do True SSO.

    Observação: Como você já configurou o Servidor de Registro, pode ignorar o link de Baixar Token de Emparelhamento nessa caixa de diálogo.
  3. Insira o nome de domínio completo (FQDN) do seu servidor de inscrição no campo Servidor de Inscrição Primário e clique no botão Teste de Emparelhamento ao lado do campo.
    Os outros campos obrigatórios são preenchidos automaticamente.
  4. Clique em Salvar
  5. Para configurar um Servidor de Registro Secundário para alta disponibilidade, siga este procedimento.
    1. Repita o processo descrito em Horizon Cloud de primeira geração - True SSO: configurar o Servidor de Inscrição em uma segunda máquina.
    2. Edite a configuração do True SSO, adicione o segundo endereço de ES no campo Servidor de Registro Secundário e, em seguida, teste o emparelhamento.
    3. Salve a configuração novamente.

Resultados

As informações de configuração agora são exibidas na página Active Directory em Configuração do True SSO.

Importante: A configuração do True SSO é um tipo de configuração em todo o tenant. A configuração do True SSO será aplicada a todos os pods do Horizon Cloud da sua frota de pods no Microsoft Azure. Como resultado, após você configurar o True SSO com êxito no seu tenant do Horizon Cloud pela primeira vez e depois implantar pods adicionais do Horizon Cloud em suas assinaturas do Microsoft Azure usando o assistente de implantação de pod automatizada, o sistema enviará a mesma configuração do True SSO para todos esses pods e tentará validar a mesma configuração de True SSO nesses pods.