要使最终用户能够通过单点登录 (SSO) 访问其桌面和应用程序,请管理相应 Horizon Edge 网关实例上的 SSO。

此过程允许最终用户仅输入一次凭据,即可访问其桌面和应用程序。

有关配置 VMware CA 的背景信息,请参阅使用 VMware CA 在 Horizon Cloud Service - next-gen 中进行 SSO

请根据需要参阅 Microsoft 文档以完成此过程。例如,要安装企业 CA,请参阅安装证书颁发机构

前提条件

  • 使用 Horizon Universal Console 创建并下载证书颁发机构 (CA) 包。请参阅为 VMware CA 将 SSO 配置添加到 Horizon Cloud Service - next-gen
  • 要按照此过程中所述运行从 VMware CA 包中提取的 PowerShell 脚本,请确认您具有相应的权限。

    此过程要求您运行 VMware PowerShell 脚本。您可以使用几个选项来运行 VMware PowerShell 脚本,包括以企业管理员组成员的身份运行该脚本。下面的指导建议您使用较小的权限,但是您可以作为企业管理员组的成员来运行脚本。这里的建议旨在确认您具有以下权限。

    • 对 Active Directory 中的“公钥服务”容器具有完全控制权限。
    • 对 Active Directory 中的“SubCA”证书模板具有注册权限。

过程

  1. 连接到域成员计算机,将 CA 包文件上载到服务器,然后解压缩文件内容。
    只要您具有适当的权限,就可以从任何域成员计算机中运行 PowerShell 脚本。
  2. 打开 PowerShell,运行命令,然后按照以下子步骤中所述响应提示。
    重要说明: 如果您的部署包含多个域控制器,或者您从远程计算机中安装包,则将 CA 证书传播到所有域控制器的过程可能需要几个小时。您可以通过在所有域控制器实例上运行 'gpupdate.exe /Target:Computer /Force' 来缩短运行时间。
    1. 运行以下命令。 
      Unblock-File -Path Path to ps1 file
    2. 运行从 CA 包中提取的 ps1 PowerShell 脚本,并对提示做出响应。
      例如, PS C:\ca\VmwAuthEngine-CA_1> .\VmwAuthEngine-CA_1.ps1

      如果将 SSO 配置添加为中间 CA,系统会提示您选择 MSFT 企业 CA 以签署 VMware CA CSR。您可以选择根或中间 MSFT 企业 CA 来处理 VMware CA CSR。如果适用,请选择相应的企业 CA。您必须为选定的企业 CA 启用从属证书颁发机构模板。

      使用 Y 对以下所需的确认提示做出响应,如图所示。

      Confirmation required Do you want to publish to AD?
      N] No [Y] Yes [?] Help (default is "N"): Y

结果

预期结果是脚本运行时不会出错。但是,如果遇到以下类型的错误,请执行所提供的故障排除建议。 
2022-03-22T15:35:39 [INFO ] [VmwAuthEngine-CA-62351bb62ff3dd5966ad3575-1.ps1,67] certutil.exe -dspublish -f C:\SSO-C\Vmw
AuthEngine-CA-62351bb62ff3dd5966ad3575-1.crl
error : 2022-03-22T15:35:39 [ERROR][-2147016563][] Failed to publish base CRL
At C:\SSO-C\VmwAuthEngine-CA-62351bb62ff3dd5966ad3575-1.ps1:303 char:5
+     error $retCode "Failed to publish base CRL"
+     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Write-Error], WriteErrorException
    + FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,error

运行以下 Get-ADRootDSE 命令并检查输出,以确定用于创建 SSO 配置的 CA 配置域名是否与以下属性返回的内容相匹配:configurationNamingContext

C:\>
        Get-ADRootDSE -Server dnsDomainName

例如,C:\> Get-ADRootDSE -Server horizonv2.local

输出: 
configurationNamingContext       :  "CN=Configuration,DC=horizonv2,DC=local"
        ...other
        output fields...

如果 CA 配置域名与输出不匹配,您可以使用 Horizon Universal Console 来编辑 SSO 配置,特别是更正 CA 配置域名。有关访问 SSO 配置的信息,请参阅为 VMware CA 将 SSO 配置添加到 Horizon Cloud Service - next-gen。要编辑 SSO 配置,请单击 SSO 配置旁边的三个垂直点,然后选择编辑。更正域名后,您可以下载并发布更新的 CA 包。

下一步做什么

部署 Horizon Edge 网关后,确认 SSO 配置状态已正确设置。在 Horizon Universal Console 中,选择资源 > 容量,单击您配置的 Horizon Edge 网关实例的名称,然后编辑配置以激活使用 SSO 选项。选择 SSO 配置以将其与 Horizon Edge 网关相关联。保存并确认状态设置为 READY_TO_SERVE,这表示 SSO 对最终用户有效。