Mit der Befehlszeilenschnittstelle vdmutil können Sie die True SSO-Funktion konfigurieren sowie aktivieren und deaktivieren.

Warum und wann dieser Vorgang ausgeführt wird

Dieser Vorgang darf nur auf einem einzigen Verbindungsserver im Cluster ausgeführt werden.

Wichtig:

In dieser Vorgehensweise werden nur die für die Aktivierung von True SSO erforderlichen Befehle verwendet. Eine Liste aller für die Verwaltung von True SSO-Konfigurationen verfügbaren Konfigurationsoptionen und Beschreibungen der einzelnen Optionen finden Sie unter Befehlszeilenreferenz für die True SSO-Konfiguration.

Voraussetzungen

Prozedur

  1. Öffnen Sie auf einem Verbindungsserver im Cluster eine Eingabeaufforderung und geben Sie den Befehl zum Hinzufügen eines Registrierungsservers ein.
    vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --environment --add --enrollmentServer enroll-server-fqdn

    Der Registrierungsserver wird der globalen Liste hinzugefügt.

  2. Geben Sie den Befehl zum Auflisten der Informationen für diesen Registrierungsserver ein.
    vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --environment --list --enrollmentServer enroll-server-fqdn --domain domain-fqdn

    Die Ausgabe enthält den Namen der Gesamtstruktur, die Angabe, ob das Zertifikat des Registrierungsservers gültig ist, den Namen und die Details der Zertifikatvorlage, die verwendet werden kann, und den allgemeinen Namen der Zertifizierungsstelle. Zur Konfiguration der Domänen, mit denen der Registrierungsserver eine Verbindung herstellen kann, können Sie die Windows-Registrierungseinstellung auf dem Registrierungsserver verwenden. Standardmäßig können Verbindungen mit allen vertrauenswürdigen Domänen hergestellt werden.

    Wichtig:

    Sie müssen im nächsten Schritt den allgemeinen Namen (CN) der Zertifizierungsstelle angeben.

  3. Geben Sie den Befehl zum Erstellen eines True SSO-Connectors mit den Konfigurationsinformationen ein, und aktivieren Sie den Connector.
    vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --create --connector --domain domain-fqdn --template TrueSSO-template-name --primaryEnrollmentServer enroll-server-fqdn --certificateServer ca-common-name --mode enabled

    In diesem Befehl steht TrueSSO-template-name für den Namen der Vorlage, der im vorherigen Schritt ausgegeben wurde, und ca-common-name steht für den allgemeinen Namen der Zertifizierungsstelle des Unternehmens, der ebenfalls dieser Ausgabe zu entnehmen ist.

    Der True SSO-Konnektor wird in einem Pool oder Cluster für die angegebene Domäne aktiviert. Um True SSO auf der Poolebene zu deaktivieren, führen Sie vdmUtil --certsso --edit --connector <domain> --mode disabled aus. Mit einem Gruppenrichtlinienobjekt (vdm_agent.adm) können Sie die True SSO-Funktion für eine einzelne virtuelle Maschine deaktivieren.

  4. Geben Sie den Befehl ein, um zu ermitteln, welche SAML-Authentifikatoren verfügbar sind.
    vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --list --authenticator

    Authentifikatoren werden erstellt, wenn Sie mit View Administrator die SAML-Authentifizierung zwischen VMware Identity Manager und einem Verbindungsserver konfigurieren.

    Die Ausgabe enthält den Namen des Authentifikators und die Angabe, ob True SSO aktiviert ist.

    Wichtig:

    Sie müssen im nächsten Schritt den Namen des Authentifikators angeben.

  5. Geben Sie den Befehl ein, um den Authentifikator für die Verwendung des True SSO-Modus zu aktivieren.
    vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --authenticator --edit --name authenticator-fqdn --truessoMode {ENABLED|ALWAYS}

    Geben Sie für --truessoMode die Option ENABLED an, wenn True SSO nur dann verwendet werden soll, wenn bei der Anmeldung des Benutzers bei VMware Identity Manager kein Kennwort angegeben wurde. Wenn in diesem Fall ein Kennwort verwendet und zwischengespeichert wurde, benutzt das System das Kennwort. Legen Sie --truessoMode auf ALWAYS fest, wenn True SSO selbst dann verwendet werden soll, wenn bei der Anmeldung des Benutzers bei VMware Identity ein Kennwort angegeben wurde.

Nächste Maßnahme

Überprüfen Sie in View Administrator den Integritätsstatus der True SSO-Konfiguration. Weitere Informationen finden Sie unter Verwenden des Systemzustand-Dashboards zur Behebung von Fehlern im Zusammenhang mit True SSO.

Zum Konfigurieren erweiterter Optionen verwenden Sie die erweiterten Windows-Einstellungen auf dem betreffenden System. Siehe Erweiterte Konfigurationseinstellungen für True SSO.