Configurar la autenticación SAML para que funcione con True SSO

Gracias a la función True SSO que se introdujo en Horizon 7, los usuarios pueden iniciar sesión en VMware Identity Manager 2.6 y en versiones posteriores con la autenticación RSA SecurID, RADIUS y con tarjeta inteligente, y no se les solicitará las credenciales de Active Directory, aunque inicien una aplicación o un escritorio remoto por primera vez.

Con versiones anteriores, SSO (Single Sign-On) funcionaba solicitando a los usuarios las credenciales de Active Directory la primera vez que iniciaban un escritorio remoto o una aplicación publicada si no se autenticaron previamente con las credenciales de Active Directory. Las credenciales se almacenaron en caché, por lo que no es necesario que los usuarios vuelvan a introducir sus credenciales en los inicios posteriores. Con True SSO, se crean certificados de corta duración y se usan en lugar de las credenciales de AD.

Aunque el proceso para configurar la autenticación SAML para VMware Identity Manager no cambió, se agregó un paso adicional para True SSO. Debe configurar VMware Identity Manager para habilitar True SSO.

Nota: Si la implementación incluye más de una instancia del servidor de conexión, el autenticador SAML se debe asociar a cada una de ellas.

Requisitos previos

Verifique que Single Sign-On está habilitado en la configuración global. En Horizon Administrator, seleccione Configuración > Configuración global y compruebe que Configurar Single Sign-On (SSO) esté establecido como Habilitado.
Compruebe que VMware Identity Manager esté instalado y configurado. Consulte la documentación de VMware Identity Manager, disponible en https://docs.vmware.com/es/VMware-Identity-Manager/index.html
Verifique que el certificado raíz de la autoridad de certificación que firma el certificado del servidor SAML esté instalado en el host del servidor de conexión. VMware no recomienda configurar los autenticadores SAML para utilizar certificados autofirmados. Consulte el tema "Importar un certificado raíz e intermedios al almacén de certificados de Windows" en el capítulo "Configurar certificados SSL de los servidores de Horizon 7" del documento Instalación de Horizon 7.
Anote el FQDN de la instancia del servidor de VMware Identity Manager.

Procedimiento

En Horizon Administrator, seleccione Configuración > Servidores.
En la pestaña Servidores de conexión, seleccione una instancia del servidor para asociarla al autenticador SAML y haga clic en Editar.
En la pestaña Autenticación, del menú desplegable Delegación de la autenticación a VMware Horizon (autenticador SAML 2.0), seleccione Permitido o Requerido.
Cada una de las instancias del servidor de conexión de la implementación se puede configurar con distintos valores de autenticación SAML, de acuerdo a las necesidades.
Haga clic en Administrar autenticadores SAML y en Agregar.

Configure el autenticador SAML en el cuadro de diálogo Agregar autenticador SAML 2.0.

Opción	Descripción
Etiqueta	Puede usar el FQDN de la instancia del servidor de VMware Identity Manager.
Descripción	(Opcional) Puede usar el FQDN de la instancia del servidor de VMware Identity Manager.
URL de metadatos	URL para recuperar toda la información necesaria para intercambiar la información SAML entre el proveedor de identidad SAML y la instancia del servidor de conexión de Horizon. En la URL https://<NOMBRE DEL HORIZON SERVER>/SAAS/API/1.0/GET/metadata/idp.xml, haga clic en <NOMBRE DEL SERVIDOR HORIZON> y reemplace el FQDN de la instancia del servidor de VMware Identity Manager.
URL de administración	URL para acceder a la consola de administración del proveedor de identidades SAML (instancia de VMware Identity Manager). Esta URL tiene el formato `https://<Identity-Manager-FQDN>:8443.`

Haga clic en Aceptar para guardar la configuración del autenticador SAML.
Si se proporcionó información válida, se debe aceptar el certificado autofirmado (no se recomienda) o utilizar un certificado de confianza para Horizon 7 y VMware Identity Manager.
El menú desplegable Autenticadores SAML 2.0 muestra el autenticador creado recientemente, configurado como el seleccionado.
En la sección Estado del sistema del panel de información de Horizon Administrator, seleccione Otros componentes > Autenticadores SAML 2.0, seleccione el autenticador SAML agregado y verifique los detalles.
Si la configuración es correcta, el estado del autenticador se mostrará en verde. El estado del autenticador puede estar en rojo si no se confía en el certificado, si el servicio de VMware Identity Manager no está disponible o si la URL de metadatos no es válida. Si no se confía en el certificado, es posible que se pueda hacer clic en Verificar para validar y aceptar el certificado.
Inicie sesión en la consola de administración de VMware Identity Manager, desplácese hasta el grupo de escritorios desde la página Catálogo > Aplicaciones virtuales y active la casilla True SSO habilitado.

Qué hacer a continuación

Amplíe el período de caducidad de los metadatos del servidor de conexión para que las sesiones remotas no finalicen después de solo 24 horas. Consulte Cambiar el período de caducidad de los metadatos del proveedor de servicios en el servidor de conexión.
Use la interfaz de línea de comandos vdmutil para configurar True SSO en un servidor de conexión. Consulte Configurar el servidor de conexión de Horizon para True SSO.

Para obtener más información sobre cómo funciona la autenticación SAML, consulte Uso de la autenticación SAML.