Nachdem Sie eine Active Directory-Domäne in Ihrer Horizon Cloud-Umgebung registriert und die Umgebung mit VMware Workspace ONE integriert haben, können Sie dafür True SSO konfigurieren. True SSO ist eine Funktion, die in Workspace ONE Access integriert ist und es Benutzern ermöglicht, sich per Single Sign-On bei den durch Horizon Cloud bereitgestellten virtuellen Windows-Desktops und -Anwendungen anzumelden, ohne dass sie auch ihre Active Directory-Anmeldeinformationen in das Windows-Betriebssystem eingeben müssen. Wenn True SSO für Ihre Umgebung konfiguriert ist, authentifizieren sich die Endbenutzer bei der Workspace ONE-URL, die Sie Ihnen für den Zugriff auf ihre berechtigten Desktops und Anwendungen bereitstellen. Nach dieser Authentifizierung können die Benutzer ihre berechtigten Desktops oder Anwendungen ohne Aufforderung zur Eingabe von Active Directory-Anmeldedaten starten.

Wichtig: Bei der True SSO-Konfiguration handelt es sich um einen mandantenweiten Konfigurationstyp. Die True SSO-Konfiguration gilt für alle Horizon Cloud-Pods Ihrer Pod-Flotte in Microsoft Azure. Nachdem Sie True SSO in Ihrem Horizon Cloud-Mandanten zum ersten Mal erfolgreich konfiguriert haben und später weitere Horizon Cloud-Pods in Ihren Microsoft Azure-Abonnements mithilfe des automatisierten Pod-Bereitstellungsassistenten bereitstellen, sendet das System dieselbe True SSO-Konfiguration an alle diese Pods und versucht, dieselbe True SSO-Konfiguration für diese Pods zu validieren.

Die Konfiguration von True SSO für die Verwendung in Ihrer Umgebung ist ein mehrstufiger Prozess. Hier ist eine Übersicht der erforderlichen Schritte:

  1. Richten Sie die Infrastruktur ein, die für den Betrieb von True SSO erforderlich ist. Dazu gehören:
    1. Installieren und Konfigurieren einer Microsoft Windows Server Certificate Authority (CA) als Unternehmens-Zertifizierungsstelle. Die Verfahren in diesem Abschnitt gelten für Microsoft Windows Server 2012 R2. Die Schritte für andere Versionen von Microsoft Windows Server, die für die Verwendung mit dieser Funktionen unterstützt werden, sehen sehr ähnlich aus.
    2. Einrichten einer Zertifikatsvorlage auf der Zertifizierungsstelle.
      Wichtig: Verwenden Sie in den Namen Ihrer True SSO-Vorlagen nur ASCII-Zeichen. Aufgrund eines bekannten Problems können Sie True SSO-Vorlagennamen, die Nicht-ASCII- oder erweiterte ASCII-Zeichen enthalten, nicht erfolgreich mit Ihrer Horizon Cloud-Umgebung konfigurieren.
    3. Herunterladen des Horizon Cloud-Kopplungspakets von der Active Directory-Seite der Horizon Universal Console. Das Kopplungspaket wird bei der Einrichtung des Registrierungsservers verwendet.
    4. Einrichten des Registrierungsservers.
      Wichtig: Stellen Sie nach dem Einrichten des Registrierungsservers sicher, dass die unter First-Gen-Mandanten – Horizon Cloud on Microsoft Azure-Bereitstellungen – Anforderungen an die Auflösung von Hostnamen, DNS-Namen beschriebenen Port-Anforderungen für den Registrierungsserver erfüllt sind.
  2. Hinzufügen der Registrierungsserverinformationen zur Active Directory-Seite der Horizon Universal Console.

Wenn die Konfiguration abgeschlossen ist, arbeiten die Zertifizierungsstelle des Unternehmens und der Registrierungsserver zusammen, um kurzlebige Zertifikate auszustellen, mit denen die Benutzer an ihren berechtigten Desktops und Anwendungen angemeldet werden. Der Horizon Cloud-Pod fordert beim Registrierungsserver ein Zertifikat für einen bestimmten berechtigten Benutzer an. Der Registrierungsserver kontaktiert die Zertifizierungsstelle, um das angeforderte Zertifikat zu generieren, und sendet es dann an den Horizon Cloud-Pod zurück.

Voraussetzungen

Vor der Konfiguration von True SSO müssen Sie mindestens eine Workspace ONE Access-Umgebung mit Ihrer Horizon Cloud-Umgebung konfigurieren. Weitere Informationen finden Sie in der Dokumentation unter Informationen zur Verwendung einer Horizon Cloud-Umgebung mit VMware Workspace ONE und der optionalen True SSO-Funktion. Führen Sie den Integrationsvorgang aus, der für die Konfiguration Ihrer Horizon Cloud-Umgebung zutrifft.

Ergebnisse

Nach Abschluss der Schritte wird Ihre Umgebung mit True SSO konfiguriert.

Horizon Cloud – True SSO – Einrichten einer Enterprise-Zertifizierungsstelle mithilfe eines Microsoft Windows-Serversystems

Ein erforderlich Element für die Verwendung der True SSO-Funktion ist eine Microsoft-Zertifizierungsstelle. Wenn Sie noch keine Zertifizierungsstelle eingerichtet haben, müssen Sie die Rolle der Active Directory-Zertifikatdienste (AD CS) einem Microsoft Windows-Server hinzufügen und diesen als Unternehmenszertifizierungsstelle konfigurieren. Dazu können Sie den Service Manager-Assistenten verwenden.

Im Folgenden finden Sie die Standardschritte zum Einrichten einer Microsoft-CA. Diese sind in diesem Thema in einfacher Form aufgeführt, die sich für die Verwendung in einer Testumgebung eignet. Für ein echtes Produktionssystem wird aber empfohlen, dass Sie die Best Practices der Branche zur Konfiguration der Zertifizierungsstelle befolgen.

Wenn Sie weitere Informationen zum Einrichten einer Zertifizierungsstelle benötigen, sehen Sie sich die technischen Standardreferenzen von Microsoft an: Schrittweise Anleitung zu den Windows Server Active Directory-Zertifikatdiensten und Installieren einer Stammzertifizierungsstelle.

Hinweis: Um den Vorgang zu veranschaulichen, basieren die spezifischen Schritte in diesem Thema auf der Verwendung von Windows Server 2012 R2. Auf anderen Windows-Serversystemen können Sie sehr ähnliche Schritte ausführen. Wenn Sie den Registrierungsserver auf demselben System installieren möchten, auf dem diese Zertifizierungsstelle gehostet wird, stellen Sie sicher, dass Sie eine der für den Registrierungsserver unterstützten Versionen des Windows-Servers verwenden. Siehe First-Gen-Horizon Cloud – True SSO – Einrichten des Registrierungsservers.

Prozedur

  1. Klicken Sie im Server-Manager-Dashboard auf Rollen und Funktionen hinzufügen, um den Assistenten zu öffnen. Klicken Sie dann auf Weiter.
  2. Wählen Sie auf der Seite „Installationstyp auswählen“ die rollenbasierte oder die funktionsbasierte Installation aus, und klicken Sie auf Weiter.
  3. Behalten Sie auf der Seite zur Serverauswahl die Standardeinstellungen bei, und klicken Sie auf Weiter.
  4. Auf der Seite „Serverrollen“:
    1. Wählen Sie „Active Directory-Zertifikatdienste“ aus.
    2. Wählen Sie im Dialogfeld „Management-Tool einbeziehen“ aus (sofern zutreffend), und klicken Sie auf Features hinzufügen.
    3. Klicken Sie auf Weiter.
  5. Klicken Sie auf der Seite „Features“ auf Weiter.
  6. Klicken Sie auf der Seite „AD-Zertifikatdienste“ auf Weiter.
  7. Wählen Sie auf der Seite „Rollendienste“ die Option „Zertifizierungsstelle“ aus, und klicken Sie auf Weiter.
  8. Wählen Sie auf der Bestätigungsseite „Zielserver bei Bedarf automatisch neu starten“ aus, und klicken Sie auf Installieren.
    Der Installationsfortschritt wird angezeigt. Wenn die Installation abgeschlossen ist, wird ein URL-Link angezeigt, über den Sie die neu installierte Zertifizierungsstelle als „Konfigurieren von Active Directory-Zertifikatdiensten“ auf dem Zielserver konfigurieren können.
  9. Klicken Sie auf den Konfigurationslink, um den Konfigurationsassistenten zu starten.
  10. Geben Sie auf der Seite „Anmeldeinformationen“ Benutzeranmeldeinformationen von der Enterprise-Admin-Gruppe ein, und klicken Sie auf Weiter.
  11. Wählen Sie auf der Seite „Rollendienste“ die Option „Zertifizierungsstelle“ aus, und klicken Sie auf Weiter.
  12. Wählen Sie auf der Seite „Installationstyp“ die Option „Unternehmenszertifizierungsstelle“ aus, und klicken Sie auf Weiter.
  13. Wählen Sie auf der Seite „Zertifizierungsstellentyp“ die Option „Stammzertifizierungsstelle“ oder „Untergeordnete Zertifizierungsstelle“ aus (in diesem Beispiel eine Stammzertifizierungsstelle) und klicken Sie auf Weiter.
  14. Wählen Sie auf der Seite „Privater Schlüssel“ die Option „Neuen privaten Schlüssel erstellen“ aus, und klicken Sie auf Weiter.
  15. Geben Sie auf der Seite „Kryptografie“ die folgenden Informationen ein.
    Feld Beschreibung
    Kryptografieanbieter RSA#Microsoft Software Key Storage Provider
    Schlüssellänge 4096 (oder nach Bedarf eine andere Länge)
    Hash-Algorithmus SHA256 (oder nach Bedarf ein anderer SHA-Algorithmus)
  16. Konfigurieren Sie auf der Seite „Zertifizierungsstellenname“ die gewünschten Einstellungen, oder akzeptieren die Standardeinstellungen, und klicken Sie auf Weiter.
  17. Konfigurieren Sie auf der Seite „Gültigkeitszeitraum“ die gewünschten Einstellungen, und klicken Sie auf Weiter.
  18. Klicken Sie auf der Seite „Zertifikatdatenbank“ auf Weiter.
  19. Überprüfen Sie die Informationen auf der Bestätigungsseite, und klicken Sie auf Konfigurieren.
  20. Schließen Sie die Konfiguration durch die folgenden Aufgaben ab (führen Sie alle Befehle über die Eingabeaufforderung aus).
    1. Konfigurieren der Zertifizierungsstelle für die nicht persistente Zertifikatverarbeitung 
      certutil –setreg DBFlags 
+DBFLAGS_ENABLEVOLATILEREQUESTS
    2. Konfigurieren der Zertifizierungsstelle, um Offline-CRL-Fehler zu ignorieren 
      certutil –setreg ca\CRLFlags 
+CRLF_REVCHECK_IGNORE_OFFLINE
    3. CA-Dienst neu starten 
      net stop certsvc
net start certsvc
  21. Richten Sie eine Zertifikatsvorlage für die Zertifizierungsstelle ein, indem Sie die Schritte in Horizon Cloud – True SSO – Einrichten einer Zertifikatvorlage auf der Zertifizierungsstelle befolgen.

Horizon Cloud – True SSO – Einrichten einer Zertifikatvorlage auf der Zertifizierungsstelle

Sie müssen die Zertifikatsvorlage auf der Zertifizierungsstelle konfigurieren. Die Zertifikatsvorlage ist die Grundlage für die von die Zertifizierungsstelle generierten Zertifikate.

Voraussetzungen

Führen Sie die unter Horizon Cloud – True SSO – Einrichten einer Enterprise-Zertifizierungsstelle mithilfe eines Microsoft Windows-Serversystems aufgeführten Schritte aus.

Prozedur

  1. Erstellen Sie eine neue universelle Sicherheitsgruppe.
    Durch Erstellen dieser Gruppe können Sie eine einzelne Sicherheitsgruppe verwenden, der Sie die erforderlichen Berechtigungen für die Ausstellung von Zertifikaten im Namen von Benutzern zuweisen können. Alle Computer, auf denen VMware-Registrierungsserver installiert sind, können durch Mitgliedschaft in dieser Gruppe diese Berechtigungen erben.
    1. Klicken Sie auf Start und geben Sie dsa.msc ein.
      Das Fenster „Active Directory-Benutzer und -Computer“ wird angezeigt.
    2. Klicken Sie in der Struktur mit der rechten Maustaste auf den Benutzerordner für den Domänencontroller, und wählen Sie Neu > Gruppe aus.
      Das Fenster „Neues Objekt – Gruppe“ wird angezeigt.
    3. Geben Sie im Feld Gruppenname einen Namen für die neue Gruppe ein. Beispiel: True SSO-Registrierungsserver.
    4. Legen Sie die folgenden Werte fest.
      Einstellung Wert
      Gruppenbereich Universal
      Gruppentyp Sicherheit
    5. Klicken Sie auf OK.
      Die neue Gruppe wird in der Struktur im Fenster „Active Directory-Benutzer und -Computer“ angezeigt.
    6. Klicken Sie mit der rechten Maustaste auf die Gruppe, und wählen Sie Eigenschaften aus.
    7. Fügen Sie auf der Registerkarte „Mitglied von“ alle Computer hinzu, auf denen Sie einen Registrierungsserver installieren möchten, und klicken Sie auf OK.
    8. Starten Sie alle Computer neu, auf denen Sie einen Registrierungsserver installieren möchten.
  2. Konfigurieren Sie die Zertifikatsvorlage.
    1. Wählen Sie Systemsteuerung > Verwaltung > Zertifizierungsstelle.
    2. Blenden Sie den lokalen Zertifizierungsstellennamen in der Struktur ein.
    3. Klicken Sie mit der rechten Maustaste auf den Ordner „Zertifikatvorlagen“, und wählen Sie Verwalten.
      Die Zertifikatvorlagenkonsole wird angezeigt.
    4. Klicken Sie mit der rechten Maustaste auf die Vorlage „Smartcard-Anmeldung“, und wählen Sie Vorlage duplizieren.
      Das Fenster „Eigenschaften der neuen Vorlage“ wird angezeigt.
    5. Geben Sie die unten beschriebenen Informationen auf den Registerkarten des Fensters ein.
      Registerkarte Einstellungen
      Kompatibilität
      • Aktivieren Sie das Kontrollkästchen Resultierende Änderungen anzeigen.
      • Zertifizierungsstelle – Wählen Sie das Windows-Betriebssystem aus
      • Zertifikatsempfänger – Wählen Sie das Windows-Betriebssystem aus
      Allgemein
      Wichtig: Verwenden Sie in den Namen Ihrer True SSO-Vorlagen nur ASCII-Zeichen. Aufgrund eines bekannten Problems können Sie True SSO-Vorlagennamen, die Nicht-ASCII- oder erweiterte ASCII-Zeichen enthalten, nicht erfolgreich mit Ihrer Horizon Cloud-Umgebung konfigurieren.
      • Vorlagenanzeigename – Namen Ihrer Wahl. Beispiel: True SSO-Vorlage.
      • Vorlagenname – Namen Ihrer Wahl. Beispiel: True SSO-Vorlage.
      • Gültigkeitsdauer – 1 Stunde
      • Erneuerungszeitraum – 0 Wochen
      Anforderungsverarbeitung
      • Zweck – Signatur und Smartcard-Anmeldung
      • Aktivieren Sie das Kontrollkästchen Für automatische Erneuerung von Smartcardzertifikaten ....
      • Aktivieren Sie das Optionsfeld Benutzer zur Eingabe während der Registrierung auffordern.
      Kryptografie
      • Anbieterkategorie – Schlüsselspeicheranbieter
      • Name des Algorithmus – RSA
      • Minimale Schlüsselgröße – 2048
      • Aktivieren Sie das Optionsfeld Verwendung aller auf dem Computer des Antragstellers verfügbaren ....
      • Anforderungshash – SHA256
      Antragstellername
      • Aktivieren Sie das Optionsfeld Aus diesen Informationen in Active Directory erstellen.
      • Format des Antragstellernamen – Vollständiger definierter Name
      • Aktivieren Sie das Kontrollkästchen Benutzerprinzipalname (UPN).
      Server Aktivieren Sie das Kontrollkästchen Keine Zertifikate und Anforderungen in der Datenbank der Zertifizierungsstelle speichern.
      Ausstellungsvoraussetzungen
      • Registrierung erfordert Folgendes – Wählen Sie Diese Anzahl an autorisierten Signaturen und geben Sie 1 ein.
      • Erforderlicher Richtlinientyp für Signatur – Anwendungsrichtlinie
      • Anwendungsrichtlinie – Zertifikatsanforderungs-Agent
      • Registrierung erfordert Folgendes – Gültiges vorhandenes Zertifikat
      Sicherheit Wählen Sie im oberen Bereich der Registerkarte die neue Gruppe aus, die Sie erstellt haben. Wählen Sie dann im unteren Bereich der Registerkarte Zulassen für Lese- und Registrierungsberechtigungen.
    6. Klicken Sie auf OK.
  3. Stellen Sie die Vorlage für True SSO aus.
    1. Klicken Sie erneut auf den Ordner „Zertifikatvorlagen“, und wählen Sie Neu > Auszustellende Zertifikatvorlage.
      Das Fenster „Zertifikatvorlagen aktivieren“ wird angezeigt.
    2. Wählen Sie TrueSsoTemplate, und klicken Sie auf OK.
  4. Stellen Sie die Vorlage für den Registrierungs-Agent ein.
    1. Klicken Sie erneut auf den Ordner „Zertifikatvorlagen“, und wählen Sie Neu > Auszustellende Zertifikatvorlage.
      Das Fenster „Zertifikatvorlagen aktivieren“ wird angezeigt.
    2. Wählen Sie den Registrierungs-Agent-Computer aus, und klicken Sie auf OK.
      Hinweis: Diese Vorlage muss dieselben Sicherheitseinstellungen aufweisen wie die Vorlage, die im vorherigen Schritt ausgestellt wurde.
    Die Zertifizierungsstelle ist jetzt eingerichtet und mit einer Zertifikatsvorlage konfiguriert, die sich für True SSO eignet.
  5. Laden Sie das Horizon Cloud-Kopplungspaket herunter, indem Sie die Schritte in Horizon Cloud – True SSO – Herunterladen des Horizon Cloud-Kopplungspakets einhalten.

Horizon Cloud – True SSO – Herunterladen des Horizon Cloud-Kopplungspakets

Sie benötigen dieses Kopplungspaket, um die Installationsschritte des Registrierungsservers abzuschließen, wenn Sie Ihre Horizon Cloud-Umgebung für True SSO konfigurieren. Sie laden das Kopplungspaket von der Active Directory-Seite von Horizon Universal Console herunter.

Wichtig: Bei der True SSO-Konfiguration handelt es sich um einen mandantenweiten Konfigurationstyp. Die True SSO-Konfiguration gilt für alle Horizon Cloud-Pods Ihrer Pod-Flotte in Microsoft Azure. Nachdem Sie True SSO in Ihrem Horizon Cloud-Mandanten zum ersten Mal erfolgreich konfiguriert haben und später weitere Horizon Cloud-Pods in Ihren Microsoft Azure-Abonnements mithilfe des automatisierten Pod-Bereitstellungsassistenten bereitstellen, sendet das System dieselbe True SSO-Konfiguration an alle diese Pods und versucht, dieselbe True SSO-Konfiguration für diese Pods zu validieren.
Das Kopplungspaket enthält eine Zertifikatsdatei für jeden der Horizon Cloud-Pods, die in Microsoft Azure für Ihre Horizon Cloud-Umgebung bereitgestellt werden. Für die Pods, für die Sie True SSO konfigurieren möchten, laden Sie die Zertifikatsdateien dieser Pods auf den Registrierungsserver hoch. Wenn Sie einen Pod haben, enthält das Paket eine Zertifikatsdatei im CRT-Format. Wenn Sie mehr als einen Pod haben, enthält das Paket mehrere CRT-Dateien, eine pro Pod. Der Name jeder CRT-Datei folgt dem Muster: 
podID_truesso.crt
Dabei gilt: podID ist die ID des Pods, die auf der Übersichtsseite des Pods angezeigt wird.

Prozedur

  1. Navigieren Sie in der Konsole zu Einstellungen > Active Directory.
  2. Im Bereich „True SSO Configuration“ rufen Sie die Datei pairing_bundle.7z-Datei ab, indem Sie auf Kopplungstoken herunterladen klicken.
  3. Speichern Sie die Datei an einem Ort, an dem Sie ihren Inhalt extrahieren können.
  4. Extrahieren Sie für die Pods, für die Sie True SSO konfigurieren möchten, die CRT-Dateien der Pods aus dem Kopplungspaket an einen Ort, an dem Sie sie bei der Einrichtung des Registrierungsservers abrufen können.
    Das Kopplungspaket enthält für jeden Pod in Ihrer Umgebung eine Zertifikatsdatei. Jeder CRT-Dateiname folgt dem Muster podID_truesso.crt, wobei podID der ID-Wert des Pods ist.
  5. Richten Sie den Registrierungsserver ein, indem Sie die Schritte in First-Gen-Horizon Cloud – True SSO – Einrichten des Registrierungsservers durchführen.

First-Gen-Horizon Cloud – True SSO – Einrichten des Registrierungsservers

Auf dieser Dokumentationsseite wird beschrieben, wie Sie den Registrierungsserver für die Verwendung mit First-Gen-Horizon Cloud on Microsoft Azure-Bereitstellungen einrichten.

Der Registrierungsserver (ES) ist eine Horizon Cloud on Microsoft Azure-Komponente, die Sie auf einem Windows Server-Computer als letzten Schritt beim Einrichten der Infrastruktur für True SSO installieren. Durch die Bereitstellung des Zertifikats Enrollment Agent (Computer) auf dem Server autorisieren Sie diese ES, als Enrollment Agent zu fungieren und Zertifikate im Namen der Benutzer zu generieren.

Achtung: Wenn Ihr First-Gen-Mandant über mehrere Horizon Cloud on Microsoft Azure-Bereitstellungen in seiner Flotte verfügt, müssen Sie beim Einrichten von Registrierungsservern sicherstellen, dass die Pod-Manager-Instanzen dieser Bereitstellungen erreichbar sind. Andernfalls schlägt der letzte Kopplungsschritt fehl ( Abschlussschritt schlägt fehl).

Wie in dem wichtigen Hinweis auf der Seite Konfigurieren von True SSO für die Verwendung mit Ihrer Horizon Cloud-Umgebung beschrieben, handelt es sich bei der True SSO-Konfiguration um eine mandantenweite Konfiguration. Das System sendet dieselbe True SSO-Konfiguration an alle Pods in der Flotte des Mandanten und versucht, dieselbe True SSO-Konfiguration auf allen Pods zu validieren. Wenn Sie einen Registrierungsserver für die Arbeit mit Pod-A und einen separaten Registrierungsserver für die Arbeit mit Pod-B einrichten, müssen diese beiden Registrierungsserver sowohl für Pod-A als auch für Pod-B erreichbar sein.

Voraussetzungen

Vergewissern Sie sich, dass Sie die Schritte in Horizon Cloud – True SSO – Einrichten einer Enterprise-Zertifizierungsstelle mithilfe eines Microsoft Windows-Serversystems, Horizon Cloud – True SSO – Einrichten einer Zertifikatvorlage auf der Zertifizierungsstelle und Horizon Cloud – True SSO – Herunterladen des Horizon Cloud-Kopplungspakets durchgeführt haben.

Hinweis: Die Unternehmenszertifizierungsstelle muss eingerichtet sein, damit Sie die entsprechenden Elemente im Assistenten für die Zertifikatsregistrierung in den auf dieser Seite dokumentierten Schritten sehen können.

Stellen Sie sicher, dass auf dem System, auf dem Sie die Registrierungsserver-Software installieren, eines dieser Betriebssysteme ausgeführt wird, die für diese Installation unterstützt werden: Windows Server 2012 R2, Windows Server 2016, Windows Server 2019. Das System sollte über mindestens 4 GB Arbeitsspeicher verfügen.

Hinweis: Die Verwendung von Windows Server 2022 wurde nicht für die Unterstützung der Verwendung von Registrierungsservern mit der First-Gen- Horizon Cloud on Microsoft Azure qualifiziert.

Die Bezeichnungen in den folgenden Schritten beziehen sich auf die Ausführung der Schritte auf einem Windows Server 2016-System.

Prozedur

  1. Installieren Sie den Registrierungsserver auf dem System.
    1. Laden Sie die Datei Enrollment Server.exe von der My VMware-Website herunter. Der Dateiname sollte ähnlich wie VMware-HorizonCloud-TruessoEnrollmentServer-x86_64-7.3.0-xxxxx.exe sein.
    2. Bestätigen Sie, dass das System die Voraussetzungen wie zuvor angegeben erfüllt.
    3. Führen Sie das Installationsprogramm aus, und folgen Sie dem Assistenten.
  2. Fügen Sie auf dem Registrierungsserver das Zertifikat-Snap-In zur MMC (Microsoft Management Console) hinzu.
    1. Öffnen Sie die MMC und wählen Sie Datei > Snap-In hinzufügen/entfernen aus.
    2. Wählen Sie unter Verfügbare Snap-InsZertifikate aus, und klicken Sie auf Hinzufügen.
    3. Wählen Sie im Snap-In-Fenster „Zertifikate“ die Option Computerkonto aus und klicken Sie auf Weiter.
    4. Akzeptieren Sie im Fenster „Computer auswählen“ die voreingestellte Option Lokaler Computer und klicken Sie auf Fertigstellen.
    5. Klicken Sie im Fenster „Snap-Ins hinzufügen oder entfernen“ auf OK, um das Hinzufügen des Snap-In Zertifikats abzuschließen.
  3. Stellen Sie das Registrierungs-Agent-Zertifikat auf diesem Registrierungsserver bereit.
    1. Erweitern Sie in der MMC Zertifikate (Lokaler Computer), die Sie im vorherigen Schritt hinzugefügt haben, klicken Sie mit der rechten Maustaste auf den Ordner Personal und wählen Sie Alle Aufgaben > Neues Zertifikat anfordern.
      Der Assistent für die Zertifikatsregistrierung wird gestartet.
    2. Fahren Sie mit dem Assistenten für die Zertifikatsregistrierung fort und akzeptieren Sie die Standardeinstellungen, bis Sie den Schritt Zertifikate anfordern erreichen.
    3. Aktivieren Sie im Schritt Zertifikate anfordern des Assistenten das Kontrollkästchen Registrierungs-Agent (Computer) und klicken Sie auf Registrieren.
    4. Fahren Sie mit dem Assistenten fort, indem Sie die Standardeinstellungen für die verbleibenden Schritte akzeptieren, und klicken Sie beim letzten Schritt auf Fertigstellen.
  4. Importieren Sie die aus der Datei pairing_bundle.7z extrahierten Zertifikat-CRT-Dateien der Pods, mit denen Sie True SSO konfigurieren möchten.
    Das Kopplungspaket enthält für jeden Pod in Ihrer Umgebung eine Zertifikatsdatei. Jeder CRT-Dateiname folgt dem Muster podID_truesso.crt, wobei podID der ID-Wert des Pods ist.
    1. Klicken Sie in der MMC mit der rechten Maustaste auf den Unterordner Zertifikate unter dem Ordner VMware Horizon View Registrierungsserver Vertrauenswürdige Stämme und wählen Sie Alle Aufgaben > Importieren.
    2. Folgen Sie im Assistenten für den Zertifikatsimport den Anweisungen, um zu dem Ort zu navigieren, an dem Sie die Zertifikatsdateien aus dem pairing_bundle.7z-Paket extrahiert haben.
      Wenn Sie nur einen Pod haben, enthält das Paket nur eine CRT-Datei. Wenn Sie mehrere Pods haben, enthält das Paket für jeden Pod eine CRT-Datei.
    3. Importieren Sie die Zertifikatsdatei oder -dateien, je nachdem, wie viele Pods Sie konfigurieren.
    4. Klicken Sie auf Weiter und anschließend auf Fertig stellen.
  5. Führen Sie die weiteren Konfigurationsschritte aus, die unter Horizon Cloud – True SSO – Abschließen der Konfiguration von True SSO für Ihre Horizon Cloud -Umgebung beschrieben sind.

Horizon Cloud – True SSO – Abschließen der Konfiguration von True SSO für Ihre Horizon Cloud -Umgebung

Nachdem der Registrierungsserver eingerichtet wurde, geben Sie die Informationen auf der Active Directory-Seite der Horizon Universal Console ein.

Voraussetzungen

Führen Sie den vorherigen Schritt First-Gen-Horizon Cloud – True SSO – Einrichten des Registrierungsservers aus.

Stellen Sie sicher, dass die unter First-Gen-Mandanten – Horizon Cloud on Microsoft Azure-Bereitstellungen – Anforderungen an die Auflösung von Hostnamen, DNS-Namen beschriebenen Port- und Protokollanforderungen für den Netzwerkdatenverkehr der Pod-Manager-VMs und des Registrierungsservers erfüllt sind. Wenn die entsprechenden Ports keinen Datenverkehr zulassen, schlägt die Kopplung des Registrierungsservers fehl.

Prozedur

  1. Navigieren Sie in der Konsole zu Einstellungen > Active Directory.
  2. Klicken Sie neben True SSO-Konfiguration auf Hinzufügen.

    Das Dialogfeld für die True SSO-Konfiguration wird angezeigt.

    Hinweis: Da Sie den Registrierungsserver bereits konfiguriert haben, können Sie den Link Kopplungstoken herunterladen in diesem Dialogfeld ignorieren.
  3. Geben Sie den vollqualifizierten Domänennamen (FQDN) Ihres Registrierungsservers in das Feld Primärer Registrierungsserver ein und klicken Sie auf die Schaltfläche Koppelung testen neben dem Feld.
    Die anderen Pflichtfelder werden automatisch ausgefüllt.
  4. Klicken Sie auf Speichern.
  5. Um einen sekundären Registrierungsserver für hohe Verfügbarkeit zu konfigurieren, führen Sie die folgenden Schritte aus:
    1. Wiederholen Sie die in First-Gen-Horizon Cloud – True SSO – Einrichten des Registrierungsservers beschriebenen Schritte auf einem zweiten Computer.
    2. Bearbeiten Sie die True SSO-Konfiguration und fügen Sie die Adresse des zweiten Registrierungsservers in das Feld „Sekundärer Registrierungsserver“ hinzu, und testen Sie dann die Paarbildung.
    3. Speichern Sie die Konfiguration erneut.

Ergebnisse

Die Konfigurationsinformationen werden jetzt auf der Seite „Active Directory“ unter „True SSO-Konfiguration“ angezeigt.

Wichtig: Bei der True SSO-Konfiguration handelt es sich um einen mandantenweiten Konfigurationstyp. Die True SSO-Konfiguration gilt für alle Horizon Cloud-Pods Ihrer Pod-Flotte in Microsoft Azure. Nachdem Sie True SSO in Ihrem Horizon Cloud-Mandanten zum ersten Mal erfolgreich konfiguriert haben und später weitere Horizon Cloud-Pods in Ihren Microsoft Azure-Abonnements mithilfe des automatisierten Pod-Bereitstellungsassistenten bereitstellen, sendet das System dieselbe True SSO-Konfiguration an alle diese Pods und versucht, dieselbe True SSO-Konfiguration für diese Pods zu validieren.