在您的 Horizon Cloud 环境中注册了 Active Directory 域并将环境与 VMware Workspace ONE 集成之后,您可以为其配置 True SSO。True SSO 是一项与 Workspace ONE Access 集成在一起的功能,用户可以通过该功能对 Horizon Cloud 提供的虚拟 Windows 桌面和应用程序执行单点登录,而无需在 Windows 操作系统中也输入其 Active Directory 凭据。在为您的环境配置 True SSO 时,最终用户会在您为其提供的 Workspace ONE URL 处(通过该 URL 可访问其授权的桌面和应用程序)进行身份验证。在进行该身份验证后,用户可以启动为其授权的桌面或应用程序,且不会收到要求输入 Active Directory 凭据的提示。
配置 True SSO 以用于您的环境,这是一个包含多个步骤的过程。概要步骤如下所示:
- 设置 True SSO 正常工作所需的基础架构,其中包括:
- 安装并配置 Windows Server 证书颁发机构 (CA) 以作为企业 CA。本节中的步骤适用于 Microsoft Windows Server 2012 R2。在此功能支持的其他 Microsoft Windows Server 版本中,可以执行类似的步骤。
- 在 CA 上设置证书模板。
重要说明: 在 True SSO 模板名称中仅使用 ASCII 字符。由于该已知问题,如果 True SSO 模板名称包含非 ASCII 字符或高位 ASCII 字符,则无法在 Horizon Cloud 环境中成功配置 True SSO。
- 从 Horizon Universal Console 的 Active Directory 页面中下载 Horizon Cloud 配对包。在设置注册服务器时,将使用该配对包。
- 设置注册服务器。
重要说明: 设置注册服务器后,请确保您满足 第一代租户 - Horizon Cloud on Microsoft Azure 部署 - 主机名解析要求、DNS 名称中所述的注册服务器端口要求。
- 在 Horizon Universal Console 的 Active Directory 页面中添加注册服务器信息。
在配置完成后,企业 CA 和注册服务器配合使用以颁发短期证书,用户使用这些证书登录到为其授权的桌面和应用程序。Horizon Cloud 容器请求注册服务器为特定的授权用户生成证书。注册服务器连接到 CA 以生成请求的证书,然后将证书返回给 Horizon Cloud 容器。
前提条件
在配置 True SSO 之前,您必须通过您的 Horizon Cloud 环境至少配置了一个 Workspace ONE Access 环境。请参见文档主题 关于将 Horizon Cloud 环境与 VMware Workspace ONE 和可选的 True SSO 功能结合使用,并按照适用于 Horizon Cloud 环境配置的集成过程进行操作。
结果
在完成这些步骤后,您的环境将配置 True SSO。
Horizon Cloud - True SSO - 使用 Microsoft Windows Server 系统设置企业证书颁发机构
使用 True SSO 功能的一个必需元素是 Microsoft 证书颁发机构 (CA)。如果尚未设置证书颁发机构 (CA),则必须将 Active Directory 证书服务 (Active Directory Certificate Service, AD CS) 角色添加到 Microsoft Windows Server,并将该服务器配置为企业 CA。您可以使用 Service Manager 向导执行此过程。
以下是设置 Microsoft CA 的标准步骤。本主题采用适用于实验室环境的简单形式对这些步骤进行了详细说明,但对于实际的生产系统,建议您遵循 CA 配置的行业最佳做法。
如果您需要有关设置 CA 的进一步指导,请查阅标准的 Microsoft 技术参考:《Active Directory 证书服务分步指南》和《安装根证书颁发机构》。
过程
Horizon Cloud - True SSO - 在 CA 上设置证书模板
您必须在 CA 上配置证书模板。证书模板是 CA 生成的证书的基础。
前提条件
完成Horizon Cloud - True SSO - 使用 Microsoft Windows Server 系统设置企业证书颁发机构中介绍的步骤。
过程
Horizon Cloud - True SSO - 下载 Horizon Cloud 配对包
在为您的 Horizon Cloud 环境配置 True SSO 时,您需要使用该配对包完成注册服务器设置步骤。您可以从 Horizon Universal Console 的“Active Directory”页面中下载该配对包。
podID_truesso.crt其中 podID 是容器的 ID,它显示在容器的摘要页面中。
过程
第一代 Horizon Cloud - True SSO - 设置注册服务器
此文档页面介绍了如何设置注册服务器以将其用于第一代 Horizon Cloud on Microsoft Azure 部署。
注册服务器 (ES) 是一个 Horizon Cloud on Microsoft Azure 组件,它是在设置 True SSO 基础架构的最后一步中在 Windows Server 计算机上安装的。通过将注册代理(计算机)证书部署到服务器上,您可以授权该 ES 作为注册代理并代表用户生成证书。
如配置 True SSO 以用于 Horizon Cloud 环境页面的“重要”说明中所述,True SSO 配置是租户范围的配置类型。系统会向租户容器群中的所有容器发送相同的 True SSO 配置,并尝试验证所有容器上的相同 True SSO 配置。如果启动一个注册服务器以用于 Pod-A,并启动另一个注册服务器以用于 Pod-B,那么 Pod-A 和 Pod-B 必须都能访问这两个注册服务器。
前提条件
确认您已完成Horizon Cloud - True SSO - 使用 Microsoft Windows Server 系统设置企业证书颁发机构、Horizon Cloud - True SSO - 在 CA 上设置证书模板和Horizon Cloud - True SSO - 下载 Horizon Cloud 配对包中的步骤。
确认要在其上安装注册服务器软件的系统正在运行此安装支持的以下操作系统之一:Windows Server 2012 R2、Windows Server 2016、Windows Server 2019。系统应至少具有 4 GB 内存。
以下步骤中的标签反映了是在 Windows Server 2016 系统上运行这些步骤。
过程
Horizon Cloud - True SSO - 完成 Horizon Cloud 环境的 True SSO 配置
在设置注册服务器后,您可以在 Horizon Universal Console 的 Active Directory 页面中输入该信息。
前提条件
完成上一步“第一代 Horizon Cloud - True SSO - 设置注册服务器”。
确认您符合 第一代租户 - Horizon Cloud on Microsoft Azure 部署 - 主机名解析要求、DNS 名称中所述的容器管理器虚拟机和注册服务器网络流量的端口和协议要求。如果相应端口不允许通信,则注册服务器的配对将失败。
过程
结果
此时配置信息会显示在“Active Directory”页面上的“True SSO 配置”下。