本文档页面介绍了添加 SSO 配置以将 True SSO 功能与 Horizon Edge 结合使用的步骤。您可以使用 Horizon Universal Console 添加 SSO 配置,并将该 SSO 配置与 Horizon Edge 相关联。

为用户将从中启动使用 SSO 的桌面的每个域林添加 SSO 配置。

您可以使用 Horizon Universal Console执行以下步骤。

您可以为同一个林创建多个 True SSO 配置。一个域只能与一个 True SSO 配置相关联(或者换句话说,只能添加到一个 True SSO 配置)。

在此场景中,当用户启动桌面或远程应用程序时,系统会根据以下按优先顺序排列的条件选择要使用的 True SSO 配置:

  1. 包含用户域的 True SSO 配置。
  2. 用户域所在的同一林中的 True SSO 配置。
注:用于将 SSO 与 Horizon Edge 结合使用的受支持 CA 类型中所述,对于 True SSO 功能, Horizon Universal Console 将使用标签 Microsoft CA。当您看到标签 Microsoft CA 时,请注意该标签与 True SSO 功能相关联。

前提条件

确认您或您的团队已完成以下任务。

  • 在要在此 SSO 配置中选择的 Active Directory 域中创建域注册帐户。如设置 Active Directory 域页面中所述,域注册帐户是一个注册服务帐户,True SSO 功能使用该帐户从 Microsoft AD CS(Active Directory 证书服务)获取短期证书。True SSO 使用证书进行身份验证,以避免提示用户输入 Active Directory 凭据。您可能会看到控制台互换使用术语“域注册帐户”、“注册服务帐户”和“域注册服务帐户”。
  • 确保您至少配置了两个加入域的企业 CA,并且它们可用于 True SSO。
  • 按照为 True SSO 和 Horizon Cloud 设置所需的证书模板中所述,在 Active Directory 域中创建一个通用安全组,并将这些域注册帐户添加到该组。
  • 按照为 True SSO 和 Horizon Cloud 设置所需的证书模板中所述,完成在 Microsoft 企业证书颁发机构中创建所需模板的步骤。
  • 对于要在此 SSO 配置中选择的 Active Directory 域,按照设置 Active Directory 域中所述,在 Active Directory 域注册的域注册服务帐户部分中指定注册帐户。
  • 确定要将此 True SSO 配置应用到的 Horizon Edge。您将在控制台的添加 SSO 配置 UI 流程中选择 Horizon Edge,如以下步骤中所述。

过程

  1. 单击导航栏中的集成
  2. 单击身份和访问图块上的管理
  3. 单击 SSO 配置,然后选择添加 > Microsoft CA 以导航到添加 SSO 配置页面。
    选择了 Microsoft CA 类型的“添加 SSO 配置”对话框
  4. 为 SSO 配置添加唯一的名称
  5. 选择 Horizon Edge 下拉菜单中选择 Horizon Edge
    您必须至少选择一个 Horizon Edge。
  6. 选择域下拉菜单中选择要进行 SSO 配置的域,然后单击添加
    您可以为 SSO 配置添加多个域。域必须属于同一个 AD 林。

    在此菜单中,控制台列出了已注册到环境中的所有域(显示在控制台“身份和访问”页面的选项卡中)。

    但是,您为此新的 SSO 配置记录选择的每个域不能在已保存到系统的其他 SSO 配置中使用。

    您必须选择尚未在其他 SSO 配置中指定的域。单击发现时,UI 将对这一情况进行验证,如以下屏幕截图中所示。在撰写本文时,验证消息如图所示。


    屏幕截图显示了选择正在使用的域时,单击“发现”后出现的控制台验证消息
  7. 单击发现以验证您的选择。
    单击 发现时,系统会验证此页面顶部所述的一些必备条件,例如:
    • 是否有任何选定的域已在其他 SSO 配置中使用?
    • 选定的域是否在其域注册(控制台“身份和访问”页面的选项卡中列出的注册)中指定了注册服务帐户?
    • 系统是否可以在您或您的团队根据 True SSO 要求配置的 Microsoft 企业证书颁发机构中找到所需的证书模板?
    如果系统成功验证了所有域,则 UI 会提供以下菜单供您选择。
  8. 对于 TrueSSO 模板注册代理模板下拉菜单,可以接受默认选择,也可以从一个或两个菜单中选择其他模板。
    注: 如果所选的两个模板具有任何共用的证书颁发机构实例,则会在 证书颁发机构下拉菜单中列出这些实例。
  9. 单击添加以完成在系统中保存新 SSO 配置的过程。

结果

系统会将该 SSO 配置发送到选定的 Horizon Edge。

注: 对于“SSO 配置”页面,在页面上列出了 True SSO 配置,并将“Microsoft CA”作为“类型”列的值。此外,对于 Microsoft CA 配置,证书颁发机构模式和证书到期时间不适用,因此,“证书颁发机构模式”和“证书到期时间”列保留空白。

下一步做什么

SSO 配置现已完成,您可以将该 SSO 配置与特定的 Horizon Edge 相关联。选择容量 > Horizon Edge,选择一个要与新添加的 SSO 配置关联的 Horizon Edge,然后单击编辑。在编辑 Horizon Edge 向导中,对于向导的每个步骤,单击下一步,直至到达 Horizon Edge 网关部分,然后选择使用 SSO 开关以将其激活。选择新添加的 SSO 配置的名称,然后根据需要单击下一步以完成向导。

您可以指定将 True SSO 用于最终用户桌面以及这些 Horizon Edge 提供的远程应用程序。指定对桌面和远程应用程序使用 SSO 是在池组级别设置的。使用 Horizon Universal Console 资源导航菜单,导航到相关池组,然后编辑相关池组以在每个池组上启用 SSO。

要使用控制台验证在特定 Horizon Edge 上设置的 SSO 配置,请导航到容量 > Horizon Edge,然后选择该 Horizon Edge 的名称以查看其详细信息页面。