Mit der in Horizon 7 eingeführten True SSO-Funktion können sich die Benutzer bei VMware Identity Manager 2.6 und höheren Versionen mithilfe einer Smartcard-, RADIUS- oder RSA SecurID-Authentifizierung anmelden. Sie werden dann nicht mehr zur Eingabe von Active Directory-Anmeldeinformationen aufgefordert, selbst wenn Sie einen Remote-Desktop oder eine Remoteanwendung zum ersten Mal starten.

Warum und wann dieser Vorgang ausgeführt wird

Bei früheren Versionen funktionierte die einmalige Anmeldung (SSO, Single Sign-On) so, dass die Benutzer zur Eingabe ihrer Active Directory-Anmeldedaten aufgefordert wurden, wenn sie zum ersten Mal einen Remote-Desktop oder eine veröffentlichte Anmeldung gestartet haben, sofern sie sich zuvor nicht mit ihren Active Directory-Anmeldedaten authentifiziert hatten. Diese Anmeldeinformationen wurden dann zwischengespeichert, sodass die Benutzer bei nachfolgenden Startvorgängen ihre Anmeldeinformationen nicht erneut eingeben mussten. Bei True SSO werden kurzlebige Zertifikate erstellt und statt der Active Directory-Anmeldeinformationen verwendet.

Das Vorgehen zum Konfigurieren der SAML-Authentifizierung für VMware Identity Manager hat sich nicht geändert, jedoch ist ein zusätzlicher Schritt für True SSO hinzugekommen. Sie müssen VMware Identity Manager so konfigurieren, dass Kennwort-Popups unterdrückt werden.

Anmerkung:

Wenn Ihre Bereitstellung mehr als eine View-Verbindungsserver-Instanz beinhaltet, müssen Sie den SAML-Authentifikator mit jeder Instanz verknüpfen.

Voraussetzungen

  • Stellen Sie sicher, dass die einmalige Anmeldung als globale Einstellung aktiviert ist. Wählen Sie in View Administrator Konfiguration > Globale Einstellungen aus und vergewissern Sie sich, dass Einmalige Anmeldung (Single Sign-On) auf Aktiviert festgelegt ist.

  • Stellen Sie sicher, dass VMware Identity Manager installiert und konfiguriert ist. Weitere Informationen finden Sie in der Dokumentation zu VMware Identity Manager unter https://www.vmware.com/support/pubs/vidm_pubs.html.

  • Stellen Sie sicher, dass das Stammzertifikat der signierenden Zertifizierungsstelle für das SAML-Serverzertifikat auf dem Verbindungsserver-Host installiert ist. VMware empfiehlt nicht, SAML-Authentifikatoren zur Verwendung selbstsignierter Zertifikate zu konfigurieren. Weitere Informationen enthält das Thema „Importieren eines Stamm- und Zwischenzertifikats in einen Windows-Zertifikatspeicher“ im Kapitel „Konfigurieren von SSL-Zertifikaten für View Server“ im Dokument View-Installation.

  • Notieren Sie sich den FQDN der VMware Identity Manager-Serverinstanz.

Prozedur

  1. Wählen Sie in Horizon Administrator Konfiguration > Server aus.
  2. Wählen Sie auf der Registerkarte Verbindungsserver eine Serverinstanz aus, die mit dem SAML-Authentifikator verknüpft werden soll, und klicken Sie auf Bearbeiten.
  3. Wählen Sie auf der Registerkarte Authentifizierung im Dropdown-Menü Delegierung von Authentifizierung an VMware Horizon (SAML 2.0-Authentifikator) die Option Zulässig oder Erforderlich aus.

    Sie können jede View-Verbindungsserver-Instanz in Ihrer Bereitstellung so konfigurieren, dass sie abhängig von Ihren Anforderungen unterschiedliche SAML-Authentifizierungseinstellungen haben.

  4. Klicken Sie auf SAML-Authentifikatoren verwalten und dann auf Hinzufügen.
  5. Konfigurieren Sie den SAML-Authentifikator im Dialogfeld zum Hinzufügen von SAML 2.0-Authentifikatoren.

    Option

    Beschreibung

    Bezeichnung

    Sie können den FQDN der VMware Identity Manager-Serverinstanz verwenden.

    Beschreibung

    (Optional) Sie können den FQDN der VMware Identity Manager-Serverinstanz verwenden.

    Metadaten-URL

    URL zum Abrufen aller Informationen, die für den Austausch von SAML-Informationen zwischen dem SAML-Identitätsanbieter und der View-Verbindungsserver-Instanz erforderlich sind. Klicken Sie in der URL https://<IHR HORIZON SERVER-NAME>/SAAS/API/1.0/GET/metadata/idp.xml auf <IHR HORIZON SERVER-NAME> und ersetzen diese Zeichenfolge durch den FQDN der VMware Identity Manager-Serverinstanz.

    Verwaltungs-URL

    URL für den Zugriff auf die Verwaltungskonsole des SAML-Identitätsanbieters (VMware Identity Manager-Instanz). Diese URL hat das Format https://<Identity-Manager-FQDN>:8443.

  6. Klicken Sie auf OK, um die SAML-Authentifikatorkonfiguration zu speichern.

    Sofern Sie gültige Informationen angegeben haben, müssen Sie entweder das selbstsignierte Zertifikat akzeptieren (nicht empfohlen) oder ein vertrauenswürdiges Zertifikat für View und VMware Identity Manager verwenden.

    Das Dropdown-Menü SAML 2.0-Authentifikator zeigt den neu erstellten Authentifikator an, der nun als ausgewählter Authentifikator festgelegt ist.

  7. Wählen Sie im Abschnitt „Systemzustand“ auf dem View Administrator-Dashboard Andere Komponenten > SAML 2.0-Authentifikatoren aus, wählen Sie den von Ihnen hinzugefügten SAML-Authentifikator aus und prüfen Sie die Details.

    Falls die Konfiguration erfolgreich ist, steht der Systemzustand des Authentifikators auf grün. Der Systemzustand eines Authentifikators wird rot dargestellt, wenn das Zertifikat nicht vertrauenswürdig ist, wenn der VMware Identity Manager-Dienst nicht verfügbar ist oder wenn die Metadaten-URL ungültig ist. Falls das Zertifikat nicht vertrauenswürdig ist, sind Sie möglicherweise nicht in der Lage, auf Überprüfen zu klicken, um das Zertifikat zu validieren und anzunehmen.

  8. Melden Sie sich bei der VMware Identity Manager-Verwaltungskonsole an, wechseln Sie zur Seite „View Pools“, und aktivieren Sie das Kontrollkästchen Kennwort-Popup unterdrücken.

Nächste Maßnahme

Weitere Informationen zur Funktionsweise der SAML-Authentifizierung finden Sie unter Verwenden der SAML-Authentifizierung.