配置 Horizon 连接服务器以使用 True SSO

您可以使用 vdmutil 命令行界面进行配置，以启用或禁用 True SSO。

只需在集群中的一个连接服务器上执行此过程。

重要说明：此过程仅使用启用 True SSO 时所必需的命令。有关可用于管理 True SSO 配置的所有配置选项列表以及每个选项的描述，请参阅用于配置 True SSO 的命令行参考。

前提条件

确认您能够以具有管理员角色的用户身份运行命令。您可以使用 Horizon Console 为用户分配管理员角色。请参阅配置基于角色的委派管理。
确认您拥有以下服务器的完全限定域名 (Fully Qualified Domain Name, FQDN)：
- 连接服务器
- 注册服务器
  有关更多信息，请参阅安装并设置注册服务器。
- 企业证书颁发机构
  有关更多信息，请参阅设置企业证书颁发机构。
确认您拥有域的 Netbios 名称或 FQDN。
确认您已创建证书模板。请参阅创建用于 True SSO 的证书模板。
确认您已创建 SAML 身份验证器，以将身份验证委派给 VMware Workspace ONE Access。请参阅配置 SAML 身份验证以使用 True SSO。

过程

在集群中的某个连接服务器上，打开命令提示符，然后输入相应命令以添加注册服务器。
```
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --environment --add --enrollmentServer enroll-server-fqdn
```
此时已将注册服务器添加到全局列表中。
输入相应命令，以列出该注册服务器的信息。
```
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --environment --list --enrollmentServer enroll-server-fqdn --domain domain-fqdn
```
输出会显示林名称，注册服务器的证书是否有效，您可使用的证书模板的名称和详细信息，以及证书颁发机构的公用名。要配置注册服务器可连接到哪些域，您可以在注册服务器上使用 Windows 注册表设置。默认为连接到所有信任域。
重要说明：您将需要在下一步中指定证书颁发机构的公用名。
输入相应命令以创建一个用于保存配置信息的 True SSO 连接器，并启用该连接器。
```
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --create --connector --domain domain-fqdn --template TrueSSO-template-name --primaryEnrollmentServer enroll-server-fqdn --certificateServer ca-common-name --mode enabled
```
在此命令中，TrueSSO-template-name 是在上一步的输出中显示的模板名称，ca-common-name 是在该输出中显示的企业证书颁发机构的公用名。
将在指定的域的池或集群上启用 True SSO 连接器。要在池级别禁用 True SSO，请运行 vdmUtil --certsso --edit --connector <domain> --mode disabled。要为单个虚拟机禁用 True SSO，您可以使用 GPO (vdm_agent.adm)。
输入相应命令，以发现有哪些 SAML 身份验证器可用。
```
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --list --authenticator
```
身份验证器是在您使用 Horizon Console 配置 VMware Workspace ONE Access 和连接服务器之间的 SAML 身份验证时创建的。
输出会显示身份验证器的名称以及是否已启用 True SSO。
重要说明：您将需要在下一步中指定身份验证器名称。
输入相应命令，以允许身份验证器使用 True SSO 模式。
```
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --authenticator --edit --name authenticator-fqdn --truessoMode {ENABLED|ALWAYS}
```
对于 --truessoMode，如果您希望仅当用户不提供任何密码便登录到 VMware Workspace ONE Access 时使用 True SSO，请使用 ENABLED。在这种情况下，如果使用并缓存了密码，则系统将使用该密码。如果您希望使用 True SSO，即使用户在登录到 VMware Workspace ONE Access 时提供了密码也是如此，请将 --truessoMode 设置为 ALWAYS。

下一步做什么

在 Horizon Console 中，验证 True SSO 配置的运行状况。有关更多信息，请参阅使用仪表板对与 True SSO 相关的问题进行故障排除。

要配置高级选项，请使用相应系统中的 Windows 高级设置。请参阅True SSO 的高级配置设置。