在您的 Horizon Cloud 环境中注册了 Active Directory 域并将环境与 VMware Workspace ONE 集成之后,您可以为其配置 True SSOTrue SSO 是一项与 Workspace ONE Access 集成在一起的功能,用户可以通过该功能对 Horizon Cloud 提供的虚拟 Windows 桌面和应用程序执行单点登录,而无需在 Windows 操作系统中也输入其 Active Directory 凭据。在为您的环境配置 True SSO 时,最终用户会在您为其提供的 Workspace ONE URL 处(通过该 URL 可访问其授权的桌面和应用程序)进行身份验证。在进行该身份验证后,用户可以启动为其授权的桌面或应用程序,且不会收到要求输入 Active Directory 凭据的提示。

重要说明: True SSO 配置是租户范围的配置类型。True SSO 配置将应用于您的容器群中的所有 Microsoft Azure 中的 Horizon Cloud 容器。因此,当首次在 Horizon Cloud 租户中成功配置 True SSO,并且稍后使用自动容器部署向导将其他 Horizon Cloud 容器部署到 Microsoft Azure 订阅中之后,系统将向所有这些容器发送相同的 True SSO 配置,并尝试针对这些容器验证相同的 True SSO 配置。

配置 True SSO 以用于您的环境,这是一个包含多个步骤的过程。概要步骤如下所示:

  1. 设置 True SSO 正常工作所需的基础架构,其中包括:
    1. 安装并配置 Windows Server 证书颁发机构 (CA) 以作为企业 CA。本节中的步骤适用于 Microsoft Windows Server 2012 R2。在此功能支持的其他 Microsoft Windows Server 版本中,可以执行类似的步骤。
    2. 在 CA 上设置证书模板。
      重要说明: 在 True SSO 模板名称中仅使用 ASCII 字符。由于该已知问题,如果 True SSO 模板名称包含非 ASCII 字符或高位 ASCII 字符,则无法在 Horizon Cloud 环境中成功配置 True SSO。
    3. Horizon Universal Console 的 Active Directory 页面中下载 Horizon Cloud 配对包。在设置注册服务器时,将使用该配对包。
    4. 设置注册服务器。
      重要说明: 设置注册服务器后,请确保您满足 第一代租户 - Horizon Cloud on Microsoft Azure 部署 - 主机名解析要求、DNS 名称中所述的注册服务器端口要求。
  2. Horizon Universal Console 的 Active Directory 页面中添加注册服务器信息。

在配置完成后,企业 CA 和注册服务器配合使用以颁发短期证书,用户使用这些证书登录到为其授权的桌面和应用程序。Horizon Cloud 容器请求注册服务器为特定的授权用户生成证书。注册服务器连接到 CA 以生成请求的证书,然后将证书返回给 Horizon Cloud 容器。

前提条件

在配置 True SSO 之前,您必须通过您的 Horizon Cloud 环境至少配置了一个 Workspace ONE Access 环境。请参见文档主题 关于将 Horizon Cloud 环境与 VMware Workspace ONE 和可选的 True SSO 功能结合使用,并按照适用于 Horizon Cloud 环境配置的集成过程进行操作。

结果

在完成这些步骤后,您的环境将配置 True SSO。

Horizon Cloud - True SSO - 使用 Microsoft Windows Server 系统设置企业证书颁发机构

使用 True SSO 功能的一个必需元素是 Microsoft 证书颁发机构 (CA)。如果尚未设置证书颁发机构 (CA),则必须将 Active Directory 证书服务 (Active Directory Certificate Service, AD CS) 角色添加到 Microsoft Windows Server,并将该服务器配置为企业 CA。您可以使用 Service Manager 向导执行此过程。

以下是设置 Microsoft CA 的标准步骤。本主题采用适用于实验室环境的简单形式对这些步骤进行了详细说明,但对于实际的生产系统,建议您遵循 CA 配置的行业最佳做法。

如果您需要有关设置 CA 的进一步指导,请查阅标准的 Microsoft 技术参考:《Active Directory 证书服务分步指南》和《安装根证书颁发机构》。

注: 为了说明该过程,本主题中的特定步骤基于使用 Windows Server 2012 R2。在其他 Windows Server 系统上,可采用非常相似的步骤。如果要在托管该 CA 的同一系统上安装注册服务器,请确保使用的是注册服务器支持的 Windows Server 版本之一。请参阅 第一代 Horizon Cloud - True SSO - 设置注册服务器

过程

  1. 在服务器管理器仪表板中,单击添加角色和功能以打开向导,然后单击下一步
  2. 在“选择安装类型”页面上,选择基于角色或基于功能的安装,然后单击下一步
  3. 在“服务器选择”页面上,保留默认设置,然后单击下一步
  4. 在“服务器角色”页面上:
    1. 选择“Active Directory 证书服务”。
    2. 在出现的对话框中,选择“包括管理工具”(如果适用),然后单击添加功能
    3. 单击下一步
  5. 在“功能”页面上,单击下一步
  6. 在“AD CS”页面上,单击下一步
  7. 在“角色服务”页面上,选择“证书颁发机构”,然后单击下一步
  8. 在“确认”页面上,选择“如果需要,自动重新启动目标服务器”,然后单击安装
    此时会显示安装进度。安装完成后,系统会显示一个 URL 链接,允许您将新安装的 CA 配置为在目标服务器上“配置 Active Directory 证书服务”。
  9. 单击配置链接以启动配置向导。
  10. 在“凭据”页面上,输入企业管理员组的用户凭据,然后单击下一步
  11. 在“角色服务”页面上,选择“CA”,然后单击下一步
  12. 在“设置类型”页面上,选择“企业 CA”,然后单击下一步
  13. 在“CA 类型”页面上,根据相应情况选择“根 CA”或“从属 CA”(在该示例中,它为根 CA),然后单击下一步
  14. 在“私钥”页面上,选择“新建私钥”,然后单击下一步
  15. 在“加密”页面上,输入如下信息。
    字段 说明
    加密提供程序 RSA#Microsoft 软件密钥存储提供程序
    密钥长度 4096(如果愿意,也可以选择其他长度)
    哈希算法 SHA256(如果愿意,也可以选择其他 SHA 算法)
  16. 在“CA 名称”页面上,配置为首选设置或接受默认设置,然后单击下一步
  17. 在“有效期”页面上,配置为首选设置,然后单击下一步
  18. 在“证书数据库”页面上,单击下一步
  19. 在“确认”页面上,查看相应的信息并单击配置
  20. 通过执行以下任务来完成配置过程(从命令提示符运行所有命令)。
    1. 配置 CA 以进行非永久证书处理
      certutil –setreg DBFlags 
      +DBFLAGS_ENABLEVOLATILEREQUESTS
    2. 配置 CA 以忽略脱机 CRL 错误
      certutil –setreg ca\CRLFlags 
      +CRLF_REVCHECK_IGNORE_OFFLINE
    3. 重新启动 CA 服务
      net stop certsvc
      net start certsvc
  21. 按照Horizon Cloud - True SSO - 在 CA 上设置证书模板中的步骤在 CA 上设置一个证书模板。

Horizon Cloud - True SSO - 在 CA 上设置证书模板

您必须在 CA 上配置证书模板。证书模板是 CA 生成的证书的基础。

前提条件

完成Horizon Cloud - True SSO - 使用 Microsoft Windows Server 系统设置企业证书颁发机构中介绍的步骤。

过程

  1. 创建新的通用安全组。
    创建此组允许您创建单个安全组,以便您能够向该组分配代表用户颁发证书所需的权限。安装了 VMware 注册服务器的所有计算机都可以通过成为该组的成员来继承这些权限。
    1. 单击开始,然后键入 dsa.msc
      此时会显示“Active Directory 用户和计算机”窗口。
    2. 在树中,右键单击域控制器的用户文件夹,然后选择新建 > 组
      此时会显示“新建对象 - 组”窗口。
    3. 组名称字段中,输入新组的名称。例如,True SSO 注册服务器。
    4. 设置以下值。
      设置
      组范围 通用
      组类型 安全
    5. 单击确定
      新组会出现在“Active Directory 用户和计算机”窗口内的树中。
    6. 右键单击该组,然后选择属性
    7. 在“属于”选项卡中,添加将要安装注册服务器的每台计算机,然后单击确定
    8. 重新启动将要安装注册服务器的每台计算机。
  2. 配置证书模板。
    1. 选择控制面板 > 管理工具 > 证书颁发机构
    2. 在树中,展开本地 CA 名称。
    3. 右键单击“证书模板”文件夹,然后选择管理
      此时会显示证书模板控制台。
    4. 右键单击“智能卡登录”模板,然后选择复制模板
      此时会显示“新模板的属性”窗口。
    5. 按照以下所述在该窗口的选项卡中输入相应信息。
      选项卡 设置
      兼容性
      • 选中显示产生的变化复选框。
      • 证书颁发机构 - 选择 Windows 操作系统
      • 证书接收人 - 选择 Windows 操作系统
      常规
      重要说明: 在 True SSO 模板名称中仅使用 ASCII 字符。由于该已知问题,如果 True SSO 模板名称包含非 ASCII 字符或高位 ASCII 字符,则无法在 Horizon Cloud 环境中成功配置 True SSO。
      • 模板显示名称 - 您选择的名称。例如,“True SSO 模板”。
      • 模板名称 - 您选择的名称。例如,“True SSO 模板”。
      • 有效期 - 1 小时
      • 续订期 - 0 周
      请求处理
      • 用途 - 签名和智能卡登录
      • 选中对于智能卡证书的自动续订...复选框
      • 选中注册时提示用户单选按钮
      加密
      • 提供程序类别 - 密钥存储提供程序
      • 算法名称 - RSA
      • 最小密钥大小 - 2048
      • 选中请求可以使用...可用的任何提供程序单选按钮
      • 请求哈希 - SHA256
      使用者名称
      • 选中用 Active Directory 中的信息生成单选按钮。
      • 使用者名称格式 - 完全可分辨名称
      • 选中用户主体名称(UPN) 复选框。
      服务器 选中不在 CA 数据库中存储证书和请求复选框
      颁发要求
      • 要注册,要求下列项目 - 选择授权签名的数量,然后输入 1
      • 签名中要求的策略类型 - 应用程序策略
      • 应用程序策略 - 证书申请代理
      • 要注册,要求下列项目 - 有效的现存证书
      安全 在该选项卡的上面部分,选择您所创建的新组。然后,在该选项卡的下面部分,为“读取”和“注册”权限选择允许
    6. 单击确定
  3. 颁发用于 True SSO 的模板。
    1. 再次右键单击“证书模板”文件夹,然后选择新建 > 要颁发的证书模板
      此时会显示“启用证书模板”窗口。
    2. 选择“TrueSsoTemplate”,然后单击确定
  4. 颁发注册代理模板。
    1. 再次右键单击“证书模板”文件夹,然后选择新建 > 要颁发的证书模板
      此时会显示“启用证书模板”窗口。
    2. 选择“注册代理计算机”,然后单击确定
      注: 此模板的安全设置必须与在上一步骤中颁发的模板的安全设置相同。
    此时已设置 CA 并为其配置了适用于 True SSO 的证书模板。
  5. 按照Horizon Cloud - True SSO - 下载 Horizon Cloud 配对包中的步骤下载 Horizon Cloud 配对包。

Horizon Cloud - True SSO - 下载 Horizon Cloud 配对包

在为您的 Horizon Cloud 环境配置 True SSO 时,您需要使用该配对包完成注册服务器设置步骤。您可以从 Horizon Universal Console 的“Active Directory”页面中下载该配对包。

重要说明: True SSO 配置是租户范围的配置类型。True SSO 配置将应用于您的容器群中的所有 Microsoft Azure 中的 Horizon Cloud 容器。因此,当首次在 Horizon Cloud 租户中成功配置 True SSO,并且稍后使用自动容器部署向导将其他 Horizon Cloud 容器部署到 Microsoft Azure 订阅中之后,系统将向所有这些容器发送相同的 True SSO 配置,并尝试针对这些容器验证相同的 True SSO 配置。
该配对包中包含在 Microsoft Azure 中为您的 Horizon Cloud 环境部署的每个 Horizon Cloud 容器的证书文件。对于要配置 True SSO 的容器,您可以将这些容器的证书文件上载到注册服务器中。如果具有一个容器,该包将包含一个 CRT 格式的证书文件。如果具有多个容器,该包将包含多个 CRT 文件,每个容器一个文件。每个 CRT 文件的名称采用以下模式:
podID_truesso.crt
其中 podID 是容器的 ID,它显示在容器的摘要页面中。

过程

  1. 在控制台中,导航到设置 > Active Directory
  2. 在“True SSO 配置”区域中,单击下载配对令牌以获取 pairing_bundle.7z 文件。
  3. 将该文件保存到可提取其内容的位置。
  4. 对于要配置 True SSO 的容器,将该配对包中的容器 CRT 文件提取到一个位置,您可以在设置注册服务器时从该位置中检索这些文件。
    该配对包包含您的环境中的每个容器的证书文件。每个 CRT 文件名称采用 podID_truesso.crt 模式,其中 podID 是容器的 ID 值。
  5. 按照第一代 Horizon Cloud - True SSO - 设置注册服务器中的步骤设置注册服务器。

第一代 Horizon Cloud - True SSO - 设置注册服务器

此文档页面介绍了如何设置注册服务器以将其用于第一代 Horizon Cloud on Microsoft Azure 部署。

注册服务器 (ES) 是一个 Horizon Cloud on Microsoft Azure 组件,它是在设置 True SSO 基础架构的最后一步中在 Windows Server 计算机上安装的。通过将注册代理(计算机)证书部署到服务器上,您可以授权该 ES 作为注册代理并代表用户生成证书。

注意: 如果第一代租户的容器群包含多个 Horizon Cloud on Microsoft Azure 部署,则在设置注册服务器时,您必须确保所有这些部署的容器管理器实例均可访问这些注册服务器。否则,最后的配对步骤将失败( 完成步骤将失败)。

配置 True SSO 以用于 Horizon Cloud 环境页面的“重要”说明中所述,True SSO 配置是租户范围的配置类型。系统会向租户容器群中的所有容器发送相同的 True SSO 配置,并尝试验证所有容器上的相同 True SSO 配置。如果启动一个注册服务器以用于 Pod-A,并启动另一个注册服务器以用于 Pod-B,那么 Pod-A 和 Pod-B 必须都能访问这两个注册服务器。

前提条件

确认您已完成Horizon Cloud - True SSO - 使用 Microsoft Windows Server 系统设置企业证书颁发机构Horizon Cloud - True SSO - 在 CA 上设置证书模板Horizon Cloud - True SSO - 下载 Horizon Cloud 配对包中的步骤。

注: 必须按照此页面中记录的步骤设置企业版 CA,才能在“证书注册”向导中看到相应的项目。

确认要在其上安装注册服务器软件的系统正在运行此安装支持的以下操作系统之一:Windows Server 2012 R2、Windows Server 2016、Windows Server 2019。系统应至少具有 4 GB 内存。

注: 使用的 Windows Server 2022 不符合条件,因而不支持在第一代 Horizon Cloud on Microsoft Azure 部署中使用注册服务器。

以下步骤中的标签反映了是在 Windows Server 2016 系统上运行这些步骤。

过程

  1. 在系统上安装注册服务器。
    1. 从 My VMware 站点中下载注册服务器 .exe 文件。文件名应类似于 VMware-HorizonCloud-TruessoEnrollmentServer-x86_64-7.3.0-xxxxx.exe
    2. 确认系统满足之前所述的必备条件。
    3. 运行安装程序,然后按照向导执行操作。
  2. 在注册服务器上,将证书管理单元添加到 MMC(Microsoft 管理控制台)。
    1. 打开 MMC,然后选择文件 > 添加/删除管理单元
    2. 可用的管理单元下,选择证书并单击添加
    3. 在“证书管理单元”窗口中,选择计算机帐户,然后单击下一步
    4. 在“选择计算机”窗口中,保留默认设置(本地计算机),然后单击完成
    5. 返回“添加或删除管理单元”窗口,单击确定以完成证书管理单元的添加。
  3. 在此注册服务器上部署注册代理证书。
    1. 在 MMC 中,展开您在上一步中添加的证书(本地计算机),右键单击个人文件夹,然后选择所有任务 > 请求新证书
      此时将启动“证书注册”向导。
    2. 继续完成“证书注册”向导,接受默认设置,直至到达请求证书步骤。
    3. 在向导的请求证书步骤中,选中注册代理(计算机)复选框,然后单击注册
    4. 继续完成向导,在其余步骤中保留默认设置,并在最后一步中单击完成
  4. 导入从 pairing_bundle.7z 文件中提取的容器证书 CRT 文件,以用于要配置 True SSO 的容器。
    该配对包包含您的环境中的每个容器的证书文件。每个 CRT 文件名称采用 podID_truesso.crt 模式,其中 podID 是容器的 ID 值。
    1. 在 MMC 中,右键单击 VMware Horizon View 注册服务器受信任的根文件夹下的证书子文件夹,然后选择所有任务 > 导入
    2. 在“证书导入”向导中,按照提示浏览至已将 pairing_bundle.7z 包中证书文件提取到的位置。
      如果只有一个容器,则该包仅包含一个 CRT 文件。如果具有多个容器,该包将为每个容器包含一个 CRT 文件。
    3. 根据配置的容器数,导入一个或多个证书文件。
    4. 单击下一步,然后单击完成
  5. 完成其余配置步骤,如Horizon Cloud - True SSO - 完成 Horizon Cloud 环境的 True SSO 配置中所述。

Horizon Cloud - True SSO - 完成 Horizon Cloud 环境的 True SSO 配置

在设置注册服务器后,您可以在 Horizon Universal Console 的 Active Directory 页面中输入该信息。

前提条件

完成上一步“第一代 Horizon Cloud - True SSO - 设置注册服务器”。

确认您符合 第一代租户 - Horizon Cloud on Microsoft Azure 部署 - 主机名解析要求、DNS 名称中所述的容器管理器虚拟机和注册服务器网络流量的端口和协议要求。如果相应端口不允许通信,则注册服务器的配对将失败。

过程

  1. 在控制台中,导航到设置 > Active Directory
  2. 单击“True SSO 配置”旁边的添加

    此时会显示“True SSO 配置”对话框。

    注: 由于您已配置注册服务器,您可以忽略该对话框中的 下载配对令牌链接。
  3. 主注册服务器字段中输入注册服务器的完全限定域名 (FQDN),然后单击该字段旁边的测试配对按钮。
    其他必填字段会自动填充内容。
  4. 单击保存
  5. 要配置辅助注册服务器以实现高可用性,请执行以下操作。
    1. 在第二台计算机上重复第一代 Horizon Cloud - True SSO - 设置注册服务器中介绍的过程。
    2. 编辑 True SSO 配置并在“辅助注册服务器”字段中添加第二个 ES 地址,然后测试配对。
    3. 再次保存配置。

结果

此时配置信息会显示在“Active Directory”页面上的“True SSO 配置”下。

重要说明: True SSO 配置是租户范围的配置类型。True SSO 配置将应用于您的容器群中的所有 Microsoft Azure 中的 Horizon Cloud 容器。因此,当首次在 Horizon Cloud 租户中成功配置 True SSO,并且稍后使用自动容器部署向导将其他 Horizon Cloud 容器部署到 Microsoft Azure 订阅中之后,系统将向所有这些容器发送相同的 True SSO 配置,并尝试针对这些容器验证相同的 True SSO 配置。