Para proporcionar a los usuarios finales acceso de inicio de sesión único (SSO) a sus escritorios y aplicaciones, administre el SSO en la instancia de Horizon Edge Gateway correspondiente.

Este procedimiento permite a los usuarios finales acceder a sus escritorios y aplicaciones después de introducir sus credenciales una vez.

Para obtener información general sobre la configuración de VMware CA, consulte Usar VMware CA para SSO con Horizon Cloud Service - next-gen.

Consulte la documentación de Microsoft según sea necesario para completar este procedimiento. Por ejemplo, para instalar una CA empresarial, consulte Instalar la entidad de certificación.

Requisitos previos

  • Utilice Horizon Universal Console para crear y descargar un paquete de entidad de certificación (CA). Consulte Agregar una configuración de SSO a Horizon Cloud Service - next-gen para una VMware CA.
  • Para ejecutar el script de PowerShell extraído del paquete de VMware CA, como se describe en este procedimiento, confirme que tiene los permisos adecuados.

    Este procedimiento requiere que ejecute el script de VMware PowerShell. Tiene algunas opciones disponibles para ejecutar el script de VMware PowerShell, incluida la ejecución del script como miembro del grupo de administradores empresariales. Las instrucciones que aparecen a continuación indican que se utilizan permisos menos potentes, pero la ejecución del script como miembro del grupo de administradores empresariales está disponible para el usuario. La sugerencia aquí es confirmar que tiene los siguientes permisos.

    • Permisos de control total en el contenedor de "Servicios de clave pública" en Active Directory.
    • Inscriba permisos en la plantilla de certificado "SubCA" en Active Directory.

Procedimiento

  1. Conéctese a una máquina miembro del dominio, cargue el archivo del paquete de CA en el servidor y descomprima el contenido del archivo.
    Siempre que tenga los permisos adecuados, puede ejecutar el script de PowerShell desde cualquier máquina miembro del dominio.
  2. Abra PowerShell y ejecute los comandos y responda a las indicaciones tal como se describe en los subpasos que aparecen a continuación.
    Importante: Si la implementación consta de varios controladores de dominio o instala el paquete desde una máquina remota, la propagación del certificado de CA a todos los controladores de dominio puede tardar varias horas. Puede reducir el tiempo de ejecución ejecutando 'gpupdate.exe /Target:Computer /Force' en todas las instancias del controlador de dominio.
    1. Ejecute el siguiente comando. 
      Unblock-File -Path Path to ps1 file
    2. Ejecute el script de PowerShell ps1 extraído del paquete de CA y responda a las solicitudes.
      Por ejemplo, PS C:\ca\VmwAuthEngine-CA_1> .\VmwAuthEngine-CA_1.ps1

      Si agregó la configuración de SSO como CA intermedia, se le pedirá que seleccione una CA empresarial de MSFT para firmar la CSR de la VMware CA. Puede elegir una CA empresarial raíz o intermedia de MSFT para procesar la CSR de la VMware CA. Si corresponde, seleccione la CA empresarial adecuada. Debe habilitar la plantilla Entidad de certificación subordinada de la CA empresarial seleccionada.

      Responda al siguiente mensaje de confirmación obligatorio con Y, como se ilustra.

      Confirmación requerida ¿Desea publicar en AD?
      [N] No [Y] Sí [?] Ayuda (el valor predeterminado es "N"): Y

Resultados

El resultado esperado es que el script se ejecuta sin errores. Sin embargo, si encuentra el siguiente tipo de error, realice la sugerencia de solución de problemas proporcionada. 
2022-03-22T15:35:39 [INFO ] [VmwAuthEngine-CA-62351bb62ff3dd5966ad3575-1.ps1,67] certutil.exe -dspublish -f C:\SSO-C\Vmw
AuthEngine-CA-62351bb62ff3dd5966ad3575-1.crl
error : 2022-03-22T15:35:39 [ERROR][-2147016563][] Failed to publish base CRL
At C:\SSO-C\VmwAuthEngine-CA-62351bb62ff3dd5966ad3575-1.ps1:303 char:5
+     error $retCode "Failed to publish base CRL"
+     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Write-Error], WriteErrorException
    + FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,error

Ejecute el siguiente comando Get-ADRootDSE y compruebe el resultado para ver si el nombre de dominio de configuración de CA utilizado para crear la configuración de SSO coincide con lo que devuelve la siguiente propiedad: configurationNamingContext.

C:\>
        Get-ADRootDSE -Server dnsDomainName

Por ejemplo, C:\> Get-ADRootDSE -Server horizonv2.local

Resultados: 
configurationNamingContext       :  "CN=Configuration,DC=horizonv2,DC=local"
        ...other
        output fields...

Si el nombre de dominio de configuración de CA no coincide con el resultado, puede utilizar Horizon Universal Console para editar la configuración de SSO, específicamente para corregir el nombre de dominio de configuración de CA. Consulte Agregar una configuración de SSO a Horizon Cloud Service - next-gen para una VMware CA para obtener información sobre cómo acceder a la configuración de SSO. Para editar una configuración de SSO, haga clic en los tres puntos verticales junto a la configuración de SSO y seleccione Editar. Después de corregir el nombre de dominio, puede descargar y publicar el paquete de CA actualizado.

Qué hacer a continuación

Después de implementar Horizon Edge Gateway, compruebe que el estado de configuración de SSO esté establecido correctamente. En Horizon Universal Console, seleccione Recursos > Capacidad, haga clic en el nombre de la instancia de Horizon Edge Gateway que configuró y edite la configuración para activar la opción Usar SSO. Seleccione la configuración de SSO para asociarla con Horizon Edge Gateway. Guarde y verifique que el estado se establece en READY_TO_SERVE, lo que indica que SSO funciona para los usuarios finales.