Um Endbenutzern einen Single Sign-On (SSO)-Zugriff auf ihre Desktops und Anwendungen zu ermöglichen, verwalten Sie SSO auf der entsprechenden Horizon Edge Gateway-Instanz.

Dieses Verfahren ermöglicht den Endbenutzern den Zugriff auf ihre Desktops und Anwendungen, nachdem sie ihre Anmeldedaten einmal eingegeben haben.

Hintergrundinformationen zum Konfigurieren der VMware CA finden Sie unter Verwenden einer VMware CA für SSO mithilfe von Horizon Cloud Service - next-gen.

Informationen zum Abschließen dieses Vorgangs finden Sie in der Microsoft-Dokumentation. Informationen zum Installieren einer Unternehmenszertifizierungsstelle finden Sie unter Installieren der Zertifizierungsstelle.

Voraussetzungen

  • Verwenden Sie die Horizon Universal Console, um ein CA-Paket (Zertifizierungsstellenpaket) zu erstellen und herunterzuladen. Siehe Hinzufügen einer SSO-Konfiguration zum Horizon Cloud Service – next-gen für eine VMware CA.
  • Vergewissern Sie sich, dass Sie über die entsprechenden Berechtigungen verfügen, um das aus dem VMware-CA-Paket extrahierte PowerShell-Skript, wie in diesem Verfahren beschrieben, auszuführen.

    Für dieses Verfahren müssen Sie das VMware PowerShell-Skript ausführen. Für die Ausführung des VMware PowerShell-Skripts stehen Ihnen mehrere Optionen zur Verfügung, einschließlich der Ausführung des Skripts als Mitglied der Gruppe „Enterprise-Administratoren“. In der folgenden Anleitung wird empfohlen, weniger leistungsfähige Berechtigungen zu verwenden, aber Sie können das Skript auch als Mitglied der Gruppe „Enterprise-Administratoren“ ausführen. Stellen Sie dabei sicher, dass Sie über die folgenden Berechtigungen verfügen.

    • Volle Zugriffsrechte auf den Container „Dienste für öffentliche Schlüssel“ in Active Directory.
    • Registrieren Sie Berechtigungen für die Zertifikatvorlage „SubCA“ in Active Directory.

Prozedur

  1. Stellen Sie eine Verbindung zu einem Computer eines Domänenmitglieds her, laden Sie die CA-Paketdatei auf den Server hoch, und entpacken Sie den Inhalt der Datei.
    Solange Sie über die richtigen Berechtigungen verfügen, können Sie das PowerShell-Skript von jedem Domänenmitgliedscomputer aus ausführen.
  2. Öffnen Sie PowerShell, führen Sie die Befehle aus und beantworten Sie die Eingabeaufforderungen wie in den folgenden Unterschritten beschrieben.
    Wichtig: Wenn Ihre Bereitstellung aus mehreren Domänencontrollern besteht oder Sie das Paket von einer Remotemaschine installieren, kann die Weitergabe des CA-Zertifikats an alle Domänencontroller mehrere Stunden dauern. Sie können die Laufzeit reduzieren, indem Sie 'gpupdate.exe /Target:Computer /Force' auf allen Domänencontroller-Instanzen ausführen.
    1. Führen Sie den folgenden Befehl aus. 
      Unblock-File -Path Path to ps1 file
    2. Führen Sie das PowerShell-Skript ps1 aus, das aus dem CA-Paket extrahiert wurde, und folgen Sie den Eingabeaufforderungen.
      Zum Beispiel: PS C:\ca\VmwAuthEngine-CA_1> .\VmwAuthEngine-CA_1.ps1

      Wenn Sie Ihre SSO-Konfiguration als Zwischenzertifizierungsstelle hinzugefügt haben, werden Sie aufgefordert, eine MSFT-Unternehmenszertifizierungsstelle zum Signieren der VMware-CA-CSR auszuwählen. Sie können eine Stammzertifizierungsstelle oder eine zwischengeschaltete MSFT-Unternehmenszertifizierungsstelle auswählen, um die VMware-CA-CSR zu verarbeiten. Wählen Sie gegebenenfalls die entsprechende Unternehmenszertifizierungsstelle aus. Sie müssen die Vorlage Untergeordnete Zertifizierungsstelle für die ausgewählte Unternehmenszertifizierungsstelle aktivieren.

      Beantworten Sie die folgende erforderliche Bestätigungsaufforderung wie abgebildet mit Y.

      Bestätigung erforderlich Möchten Sie in AD veröffentlichen?
      [N] Nein [Y] Ja [?] Hilfe (Standard ist „N“): Y

Ergebnisse

Das erwartete Ergebnis ist, dass das Skript ohne Fehler ausgeführt wird. Wenn jedoch die folgende Art von Fehler auftritt, führen Sie die angegebenen Vorschläge zur Fehlerbehebung aus. 
2022-03-22T15:35:39 [INFO ] [VmwAuthEngine-CA-62351bb62ff3dd5966ad3575-1.ps1,67] certutil.exe -dspublish -f C:\SSO-C\Vmw
AuthEngine-CA-62351bb62ff3dd5966ad3575-1.crl
error : 2022-03-22T15:35:39 [ERROR][-2147016563][] Failed to publish base CRL
At C:\SSO-C\VmwAuthEngine-CA-62351bb62ff3dd5966ad3575-1.ps1:303 char:5
+     error $retCode "Failed to publish base CRL"
+     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Write-Error], WriteErrorException
    + FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,error

Führen Sie den folgenden Get-ADRootDSE-Befehl aus und überprüfen Sie die Ausgabe, um zu sehen, ob der Name der CA-Konfigurationsdomäne, der zum Erstellen der SSO-Konfiguration verwendet wurde, mit der folgenden Eigenschaft übereinstimmt: configurationNamingContext.

C:\>
        Get-ADRootDSE -Server dnsDomainName

Zum Beispiel: C:\> Get-ADRootDSE -Server horizonv2.local

Ausgabe: 
configurationNamingContext       :  "CN=Configuration,DC=horizonv2,DC=local"
        ...other
        output fields...

Wenn der Name der CA-Konfigurationsdomäne nicht mit der Ausgabe übereinstimmt, können Sie mit der Horizon Universal Console die SSO-Konfiguration bearbeiten, insbesondere um den Namen der CA-Konfigurationsdomäne zu korrigieren. Informationen zum Zugriff auf die SSO-Konfiguration finden Sie unter Hinzufügen einer SSO-Konfiguration zum Horizon Cloud Service – next-gen für eine VMware CA. Um eine SSO-Konfiguration zu bearbeiten, klicken Sie auf die drei vertikalen Punkte neben der SSO-Konfiguration und wählen Sie Bearbeiten aus. Nachdem Sie den Domänennamen korrigiert haben, können Sie das aktualisierte CA-Paket herunterladen und veröffentlichen.

Nächste Maßnahme

Überprüfen Sie nach der Bereitstellung des Horizon Edge Gateway, ob der SSO-Konfigurationsstatus ordnungsgemäß festgelegt ist. Wählen Sie in der Horizon Universal Console Ressourcen > Kapazität aus, klicken Sie auf den Namen der konfigurierten Horizon Edge Gateway-Instanz und bearbeiten Sie die Konfiguration, um die Option SSO verwenden zu aktivieren. Wählen Sie die SSO-Konfiguration aus, um sie mit dem Horizon Edge Gateway zu verknüpfen. Speichern Sie die Konfiguration und überprüfen Sie, ob der Status auf READY_TO_SERVE gesetzt ist, was bedeutet, dass SSO für die Endbenutzer funktionsfähig ist.