Configurar a autenticação SAML para funcionar com o True SSO

Com o recurso True SSO, os usuários podem fazer login no VMware Workspace ONE Access usando a autenticação de cartão inteligente, RADIUS ou RSA SecurID e não serão mais solicitadas as credenciais do Active Directory, mesmo quando iniciarem uma área de trabalho remota ou um aplicativo pela primeira vez.

Com versões anteriores, o SSO (logon único) funcionava solicitando aos usuários suas credenciais Active Directory na primeira vez que eles inicializavam uma área de trabalho remota ou um aplicativo publicado, caso ainda não tivessem sido autenticados com suas credenciais Active Directory. Em seguida, as credenciais eram armazenadas em cache para que as inicializações subsequentes não exigissem que os usuários reinserissem suas credenciais. Com o True SSO, certificados de curto prazo são criados e usados em vez de credenciais do AD.

Embora o processo de configuração da autenticação SAML para VMware Workspace ONE Access não tenha sido alterado, uma etapa adicional foi adicionada para o True SSO. Você deve configurar o VMware Workspace ONE Access para que o True SSO seja ativado.

Observação: Se a sua implantação incluir mais de uma instância do Servidor de Conexão, você deverá associar o autenticador SAML a cada instância.

Pré-requisitos

Verifique se o single sign-on está habilitado como uma configuração global. Em Horizon Console, selecione Configurações > Configurações globais (Settings > Global Settings) e verifique se Single sign-on (SSO) está definido como Ativado (Enabled).
Verifique se o VMware Workspace ONE Access está instalado e configurado. Consulte a documentação do VMware Workspace ONE Access, disponível em https://docs.vmware.com/br/VMware-Workspace-ONE-Access/index.html.
Verifique se o certificado raiz da CA de assinatura do certificado do servidor SAML está instalado no host do servidor de conexão. VMware não recomenda que você configure autenticadores SAML para usar certificados autoassinados. Consulte o tópico "Importar um certificado raiz e certificados intermediários para um repositório de certificados Windows", no capítulo "Configurando certificados SSL para servidores Horizon", no documento Instalação e upgrade do Horizon 8.
Anote o FQDN da instância do servidor VMware Workspace ONE Access.

Procedimento

Em Horizon Console, selecione Configurações > Servidores (Settings > Servers).
Na guia Conexão Servidores (Connection Servers), selecione uma instância de servidor para associar ao autenticador SAML e clique em Editar (Edit).
Na guia Autenticação (Authentication), no menu suspenso Delegação de autenticação para VMware Horizon (SAML 2.0 Authenticator), selecione Permitido (Allowed) ou Obrigatório{ (Required).
Você pode configurar cada instância do Servidor de Conexão em sua implantação para ter diferentes configurações de autenticação SAML, dependendo dos seus requisitos.
Clique em Gerenciar autenticadores SAML (Manage SAML Authenticators) e clique em Adicionar (Add).

Configure o autenticador SAML na caixa de diálogo Adicionar Autenticador SAML 2.0.

Opção	Descrição
Etiqueta	Você pode usar o FQDN da instância do servidor VMware Workspace ONE Access.
Descrição	(Opcional) Você pode usar o FQDN da instância do servidor VMware Workspace ONE Access.
URL de metadados	URL para recuperar todas as informações necessárias para trocar informações SAML entre o provedor de identidade SAML e a instância Horizon Connection Server. Na URL https://<YOUR HORIZON SERVER NAME>/SAAS/API/1.0/GET/metadata/idp.xml, clique em <YOUR HORIZON SERVER NAME> e substitua-o com o FQDN da instância do servidor VMware Workspace ONE Access.
URL de administração	URL para acessar o console de administração do provedor de identidade SAML (instância VMware Workspace ONE Access). Essa URL tem o formato `https://<Identity-Manager-FQDN>:8443.`

Clique em OK para salvar a configuração do autenticador SAML.
Se você forneceu informações válidas, deve aceitar o certificado autoassinado (não recomendado) ou usar um certificado confiável para Horizon 8 e VMware Workspace ONE Access.
O menu suspenso SAML 2.0 Authenticator exibe o autenticador recém-criado, que agora está definido como o autenticador selecionado.
Na seção System Health no painel Horizon Console, clique em View e selecione Other components > SAML 2.0 Authenticators, selecione o autenticador SAML que você adicionou e verifique os detalhes.
Se a configuração for bem-sucedida, a integridade do autenticador ficará verde. A integridade de um autenticador poderá ser exibida em vermelho se o certificado não for confiável, se o serviço VMware Workspace ONE Access não estiver disponível ou se a URL de metadados for inválida. Se o certificado não for confiável, você poderá clicar em Verificar (Verify) para validar e aceitar o certificado.
Faça login no console de administração do VMware Workspace ONE Access, navegue até o pool de desktops na página Catálogo (Catalog) > Aplicativos virtuais (Virtual Apps) e selecione a opção True SSO Enabled{ (True SSO Enabled) caixa de seleção.

O que Fazer Depois

Estenda o período de expiração dos metadados do Servidor de Conexão para que as sessões remotas não sejam encerradas após apenas 24 horas. Consulte Alterar o período de expiração dos metadados do provedor de serviços no servidor de conexão.
Use a interface de linha de comando vdmutil para configurar o True SSO em um servidor de conexão. Consulte Configurar Horizon Connection Server para True SSO.

Para obter mais informações sobre como a autenticação SAML funciona, consulte Como usar a autenticação SAML.