通过 True SSO 功能,用户可以使用智能卡、RADIUS 或 RSA SecurID 身份验证登录到 VMware Workspace ONE Access,并且系统将不再提示他们输入 Active Directory 凭据,即使他们首次启动远程桌面或应用程序时也是如此。
在早期的版本中,用户首次启动远程桌面或已发布的应用程序时,如果他们之前没有通过其 Active Directory 凭据进行身份验证,则 SSO(单点登录)会提示用户输入其 Active Directory 凭据。随后凭据会被缓存,这样,后续的启动就不需要用户重新输入其凭据。通过 True SSO,系统会创建并使用短期证书,而不是 AD 凭据。
尽管为 VMware Workspace ONE Access 配置 SAML 身份验证的过程并未更改,但为 True SSO 添加了一个额外步骤。您必须配置 VMware Workspace ONE Access,以便启用 True SSO。
注: 如果您的部署包括多个连接服务器实例,则必须将 SAML 身份验证器与每个实例都进行关联。
前提条件
- 确认已将单点登录作为全局设置启用。在 Horizon Console 中,选择设置 > 全局设置,并确认已将单点登录 (SSO) 设置为已启用。
-
确认已安装并配置了 VMware Workspace ONE Access。请参阅 VMware Workspace ONE Access 文档,网址为 https://docs.vmware.com/cn/VMware-Workspace-ONE-Access/index.html。
- 确认连接服务器主机上安装了 SAML 服务器证书的签名 CA 的根证书。VMware 建议不要配置 SAML 身份验证器使用自签名证书。请参阅《Horizon 8 安装和升级》文档中“为 Horizon Server 配置 SSL 证书”一章的“将根证书和中间证书导入 Windows 证书存储区”主题。
- 记下 VMware Workspace ONE Access 服务器实例的 FQDN。
过程
下一步做什么
- 延长连接服务器元数据的过期时间,以免远程会话在 24 小时后就终止。请参阅在连接服务器上更改服务提供程序元数据的过期时间。
- 使用 vdmutil 命令行界面配置连接服务器上的 True SSO。请参阅配置 Horizon 连接服务器以使用 True SSO。
有关 SAML 身份验证的工作原理的更多信息,请参阅使用 SAML 身份验证。
