Para Horizon Cloud Service - next-gen, en esta página se describen los elementos necesarios para usar la función True SSO con una instancia de Horizon Edge en Microsoft Azure.

Es posible que ya esté familiarizado con el uso de True SSO en las implementaciones de Horizon anteriores, como Horizon 8 local o una implementación de Horizon Cloud on Microsoft Azure de primera generación.

Para un entorno de Horizon Cloud Service - next-gen, los elementos necesarios para usar la función True SSO a fin de proporcionar a los usuarios finales acceso de inicio de sesión único (SSO) a sus escritorios y aplicaciones son una entidad de certificación empresarial de Microsoft y plantillas de certificado configuradas específicamente en esa entidad.

Entidad de certificación empresarial de Microsoft

El uso de True SSO requiere una entidad de certificación empresarial de Microsoft.

La frase "entidad de certificación empresarial de Microsoft" hace referencia a una entidad de certificación de Microsoft (CA de Microsoft) que se ejecuta en modo empresarial. Dado que la función True SSO requiere la configuración empresarial, la documentación de True SSO utiliza la frase "entidad de certificación empresarial de Microsoft".

Sugerencia: En entornos de producción, se recomienda contar con un mínimo de dos (2) entidades de certificación de este tipo para proporcionar redundancia y equilibrio de carga.

Si aún no tiene una entidad de certificación configurada, debe agregar la función Servicios de certificados de Active Directory (AD CS) a Microsoft Windows Server y configurarlo como una CA empresarial.

Dentro del procedimiento de Microsoft para configurar una entidad de certificación empresarial de Microsoft, instale la función de Servicios de certificados de Active Directory (AD CS). El proceso de configuración de AD CS le ofrece la opción de ejecutar la CA como una CA empresarial o una CA independiente.

Configurar las plantillas de certificado requeridas para True SSO con Horizon Cloud

Especifique la siguiente configuración, incluido el tamaño mínimo de clave para el certificado de firma de Windows Server de la plantilla de True SSO. Para un certificado de firma de Windows Server, el tamaño de clave mínimo requerido es 2048. Si se especifica un tamaño mínimo de clave inferior a 2048, se produce un error de autenticación.

Para la plantilla de True SSO, especifique la siguiente configuración en la pestaña Criptografía.

  1. En Categoría del proveedor, seleccione Proveedor de almacenamiento de claves.
  2. En Nombre de algoritmo, seleccione RSA.
  3. En Tamaño mínimo de clave, especifique 2048.
  4. En Elegir qué proveedores criptográficos se pueden utilizar para las solicitudes, seleccione Las solicitudes pueden utilizar cualquier proveedor disponible en el equipo del sujeto.
  5. Enhash de solicitud, especifique SHA384.
  6. Haga clic en Guardar.

A continuación, se muestra una captura de pantalla parcial que ilustra el valor de tamaño de clave mínimo de 2048.

Tamaño mínimo de clave de 2048 en la pestaña Criptografía como se describe en el texto.

Habilitar el procesamiento de certificados no persistentes

Para cada Entidad de certificación empresarial de Microsoft que utiliza True SSO, es práctica recomendada habilitar el procesamiento de certificados no persistentes.

Si no se habilita el procesamiento de certificados no persistentes en la Entidad de certificación empresarial de Microsoft, los certificados True SSO permanecen almacenados en la base de datos de la CA empresarial, y esto produce lo siguiente:

  • La base de datos de la CA empresarial crece innecesariamente rápidamente. True SSO solicita un nuevo certificado para cada nueva conexión.
  • Quede afectado el rendimiento, ya que la CA empresarial se quedará sin espacio de disco a medida que su base de datos crezca.

Como se describe en el artículo 2149312 de la base de conocimientos de VMware, para evitar los problemas anteriores, se recomienda habilitar la opción DBFLAGS_ENABLEVOLATILEREQUESTS. Puede consultar los pasos en el artículo de la base de conocimientos.

Nota: Además de describir la recomendación para habilitar DBFLAGS_ENABLEVOLATILEREQUESTS, en ese artículo de la base de conocimientos también se describe el uso de otra opción, CRLF_REVCHECK_IGNORE_OFFLINE. Habilitar la opción CRLF_REVCHECK_IGNORE_OFFLINE depende de la arquitectura de PKI. Habilitar la opción CRLF_REVCHECK_IGNORE_OFFLINE no es un requisito estricto para True SSO y Horizon Cloud.

Configurar las plantillas de certificado requeridas para True SSO con Horizon Cloud

La función True SSO requiere la configuración de las plantillas de certificado en la Entidad de certificación empresarial de Microsoft que se proporciona para su uso con True SSO y Horizon Edge.

Las plantillas de certificado son la base de los certificados que la Entidad de certificación empresarial de Microsoft genera para usarlos con True SSO.

Las cuentas del servicio de inscripción requieren permisos de Lectura e Inscripción en ambas plantillas, la plantilla TrueSsoEnrollmentAgent y la plantilla TrueSso.

Requisitos previos

  • Compruebe que tiene las instancias de Entidad de certificación empresarial de Microsoft (AD CS) que requiere la función True SSO, como se describe en Tipos de entidad de certificación compatibles para usar SSO con Horizon Edge en Microsoft Azure.
  • Configure el firewall para permitir que las instancias de Horizon Edge implementadas se comuniquen con las instancias de entidad de certificación empresarial con la combinación de protocolo y puertos requeridas, como se describe en Requisitos de puertos y protocolos para la implementación de Horizon Cloud en Microsoft Azure.

    La comunicación utiliza los Servicios de certificados de Active Directory (AD CS). El protocolo requerido es RPC/TCP (RPC sobre TPC). El primer puerto es el 135, mientras que el segundo está dentro del rango de 49152-65535.

  • Para una configuración más compatible con el firewall, puede configurar las instancias de Entidad de certificación empresarial de Microsoft(AD CS) para que usen un puerto DCOM estático y configurar el firewall para permitir que el puerto 135 y el puerto DCOM estático elegido sea el mismo en todas las instancias. Esta configuración se describe en Microsoft TechNet, en Cómo configurar un puerto DCOM estático para AD CS.
Nota: Los siguientes pasos se realizaron mediante una entidad de certificación empresarial de Microsoft que ejecutaba el sistema operativo Microsoft Windows Server 2016 Standard. Las capturas de pantalla de los pasos se realizan desde ese sistema. Como resultado, las etiquetas mencionadas en los pasos y las capturas de pantalla reflejan ese sistema operativo. Si la entidad de certificación empresarial de Microsoft ejecuta una versión de sistema operativo diferente de Windows Server, es posible que vea diferencias menores en el sistema, en comparación con las etiquetas y las capturas de pantalla que aparecen a continuación.

Procedimiento

  1. Cree un nuevo grupo de seguridad universal en Active Directory.
    La creación de este grupo permite tener un solo grupo de seguridad al que se pueden asignar los permisos necesarios para emitir certificados en nombre de los usuarios. Posteriormente, todas las cuentas del servicio de inscripción pueden heredar estos permisos necesarios si se convierten en miembros de este grupo.
    1. Abra la herramienta Usuarios y equipos de Active Directory en el menú Herramientas del Administrador de servidores o ejecute el comando dsa.msc.
    2. En la herramienta Usuarios y equipos de Active Directory, cree un nuevo grupo para las cuentas de inscripción de dominio que True SSO requiera.
      Asigne al grupo un nombre de su elección, como Cuentas de inscripción de SSO. Configure también:
      Configuración Valor
      Ámbito de grupo Universal
      Tipo de grupo Seguridad
    3. Haga clic en Aceptar para guardar el nuevo grupo.
    4. A continuación, agregue las cuentas de inscripción de dominio como miembros de este nuevo grupo.
      Agregue cada cuenta de servicio de inscripción de dominio que utilizará para usar True SSO.

      Estas cuentas serán las mismas que agregó en el flujo de interfaz de usuario de registro de dominio mediante Horizon Universal Console, como se describe en Configurar el dominio de Active Directory.

  2. Configure la plantilla de certificado de agente de inscripción True SSO mediante la herramienta Entidad de certificación y su consola de plantillas de certificado.
    1. Abra la herramienta Entidad de certificación.
      Algunas formas de abrir esta herramienta son usar el menú Herramientas del Administrador de servidores, las Herramientas administrativas de Windows en el menú Inicio o ejecutando certsrv.msc.
    2. En el árbol izquierdo de la herramienta Entidad de certificación, expanda el nombre de la entidad de certificación local hasta que vea la carpeta Plantillas de certificado.
    3. Abra la consola de plantillas de certificado haciendo clic con el botón secundario en la carpeta Plantillas de certificado y seleccionando Administrar.
      La siguiente captura de pantalla muestra este paso en un sistema que ejecuta Windows Server 2016.
      Captura de pantalla del menú Administrar de la carpeta Plantillas de certificado de la herramienta Entidad de certificación
      Aparece la consola de plantillas de certificado.
    4. Haga clic con el botón secundario en la plantilla Agente de inscripción y seleccione Duplicar plantilla.
      La siguiente captura de pantalla muestra este paso en un sistema que ejecuta Windows Server 2016.
      Captura de pantalla del menú del botón secundario en Agente de inscripción y la opción de menú Duplicar plantilla
      Se muestra la ventana Propiedades de plantilla nueva.
    5. Introduzca la información en las pestañas de la ventana como se describe en las secciones siguientes.
      Nota: Las capturas de pantalla que aparecen a continuación se han realizado con una entidad de certificación empresarial de Microsoft que ejecuta el sistema operativo Microsoft Windows Server 2016 Standard. Si la entidad de certificación empresarial de Microsoft ejecuta una versión de sistema operativo diferente de Windows Server, es posible que vea diferencias menores en la interfaz de usuario del sistema Windows.
      pestaña General
      Importante: Utilice únicamente caracteres ASCII en los nombres de sus plantillas de True SSO. Debido a un problema conocido, si los nombres de la plantilla de True SSO contienen caracteres no ASCII o ASCII altos, no puede configurarse correctamente True SSO con el entorno de Horizon Cloud.
      Nombre para mostrar de la plantilla
      Escriba un nombre que indique que esta nueva plantilla es para el agente de inscripción de SSO, por ejemplo, Agente de inscripción de True SSO.
      Nombre de la plantilla
      A medida que escribe en Nombre para mostrar de la plantilla, la herramienta introduce el nombre aquí para que coincida con la entrada de Nombre para mostrar de la plantilla sin espacios.

      Por ejemplo, si ha escrito Agente de inscripción de True SSO en el Nombre para mostrar de la plantilla, la herramienta establece automáticamente este Nombre de plantilla en TrueSsoEnrollmentAgent.

      La siguiente captura de pantalla muestra esta pestaña después de introducir el Nombre para mostrar de la plantilla como Agente de inscripción de True SSO.


      Captura de pantalla de la pestaña General con Agente de inscripción de True SSO introducido para Nombre para mostrar de la plantilla
      Pestaña Seguridad
      En la pestaña Seguridad, otorgue los permisos de Read y Enroll al nuevo grupo de seguridad universal que creó para las cuentas de inscripción de True SSO.
      1. En la sección Nombres de usuario o grupo, agregue el grupo que creó para las cuentas de inscripción de True SSO.
      2. Seleccione ese grupo y, en la sección Permisos, seleccione Permitir para los permisos de Read y Enroll.

      Captura de pantalla que ilustra la pestaña Seguridad después de agregar el grupo de seguridad universal y establecer los permisos.
    6. Guarde la nueva plantilla de Agente de inscripción de True SSO haciendo clic en Aceptar en la ventana Propiedades de la plantilla nueva.
    La nueva plantilla de Agente de inscripción de True SSO aparece en la consola de plantillas de certificado, visualizada con el Nombre para mostrar de la plantilla que le ha asignado y con la finalidad mostrada de agente de solicitud de certificados.

    La siguiente captura de pantalla muestra la nueva plantilla enumerada.


    Captura de pantalla de la nueva plantilla de Agente de inscripción de True SSO en la lista con una flecha verde que apunta hacia ella.
  3. En la misma consola de plantillas de certificado, configure la plantilla de Inicio de sesión con tarjeta inteligente de True SSO.
    1. En la consola de plantillas de certificado, haga clic con el botón secundario en la plantilla Inicio de sesión con tarjeta inteligente y seleccione Duplicar plantilla.
      La siguiente captura de pantalla muestra este paso en un sistema que ejecuta Windows Server 2016.
      Captura de pantalla que ilustra el menú de la plantilla de Inicio de sesión con tarjeta inteligente y la opción Duplicar plantilla.
      Se muestra la ventana Propiedades de plantilla nueva.
    2. Introduzca la información en las pestañas de la ventana como se describe en las secciones siguientes.
      Precaución:

      Asegúrese de seguir estos puntos; de lo contrario, el sistema le impedirá configurar los valores requeridos, lo que le obligará a cancelar y rehacer sus pasos. Este requisito es un comportamiento del sistema de Windows.

      • No seleccione Aplicar ni Aceptar en la ventana Propiedades hasta que haya realizado la configuración necesaria en las tres pestañas, como se describe en la viñeta siguiente, en el orden específico prescrito.

        Si no sigue estas instrucciones para configurar los ajustes en las tres pestañas como se describe a continuación antes de aplicar o guardar en la ventana, Windows aplica a la Categoría del proveedor de la pestaña Criptografía el valor de solo lectura y la configuración no se puede cambiar posteriormente a la opción de Proveedor de almacenamiento de claves que requiere True SSO.

        Por lo tanto, debe asegurarse de completar la configuración en las tres pestañas siguientes exactamente en el orden correcto que se indica a continuación antes de aplicar o guardar en la ventana.

      • Configure estas pestañas como las primeras que configure y configúrelas en este orden específico:
        1. Pestaña Compatibilidad
        2. Pestaña General
        3. Pestaña Criptografía

      El motivo de este orden prescrito es que a medida que se cambia la configuración en la pestaña Compatibilidad, el sistema pone a disposición de forma dinámica las opciones relevantes en las otras pestañas. Si aplica o guarda en la ventana antes de actualizar la pestaña Criptografía, no podrá establecer la configuración que requiere True SSO. Por lo tanto, asegúrese de configurar las opciones en las pestañas en orden como se indica arriba y abajo antes de aplicar o guardar en la ventana.

      Pestaña Compatibilidad
      Nota: Debe realizar estas selecciones en la pestaña Compatibilidad para que las opciones adecuadas estén disponibles en la pestaña Criptografía.
      • Seleccionar la casilla Mostrar los cambios resultantes.
      • Entidad de certificación: el sistema presenta las opciones que Microsoft Windows pone a disposición para este ajuste. Para cumplir los requisitos de True SSO, seleccione la opción Windows Server 2008 R2 o una de las versiones posteriores que se presentan en el menú.
      • Destinatario del certificado: el sistema presenta las opciones que Microsoft Windows pone a disposición para este ajuste. Para cumplir los requisitos de True SSO, seleccione la opción Windows 7 / Server 2008 R2 o una de las versiones posteriores que se muestran en el menú.

      Captura de pantalla de la pestaña Compatibilidad.
      pestaña General
      Importante: Utilice únicamente caracteres ASCII en los nombres de sus plantillas de True SSO. Debido a un problema conocido, si los nombres de la plantilla de True SSO contienen caracteres no ASCII o ASCII altos, no puede configurarse correctamente True SSO con el entorno de Horizon Cloud.
      Nombre para mostrar de la plantilla
      Escriba un nombre que indique que True SSO va a utilizar esta plantilla nueva (por ejemplo, True SSO).
      Nombre de la plantilla
      A medida que escribe en Nombre para mostrar de la plantilla, la herramienta introduce el nombre aquí para que coincida con la entrada de Nombre para mostrar de la plantilla sin espacios.

      Por ejemplo, si ha escrito True SSO en el Nombre para mostrar de la plantilla, la herramienta establece automáticamente este Nombre de plantilla en TrueSSO.

      Periodo de validez
      1 hora (una hora)
      Período de renovación
      0 semanas (cero semanas)

      La siguiente captura de pantalla muestra esta pestaña después de introducir el Nombre para mostrar de la plantilla como True SSO.


      Captura de la pestaña General después de escribir True SSO en el campo Nombre para mostrar de la plantilla.
      Pestaña Criptografía
      • Categoría de proveedor: proveedor de almacenamiento de claves
      • Nombre del algoritmo: RSA
      • Tamaño mínimo de claves: 2048
      • Seleccione el botón de opción Las solicitudes puede utilizar cualquier proveedor disponible en el equipo del usuario
      • Solicitar hash: SHA384

      Captura de pantalla de la pestaña Criptografía
      Pestaña Tratamiento de la solicitud
      • Propósito: Inicio de sesión con tarjeta inteligente y firma
      • Seleccione la casilla de verificación Para renovar automáticamente los certificados de tarjeta inteligente, utilice la clave existente si no se puede crear una nueva clave
      • Seleccione el botón de opción Solicitar al usuario durante la inscripción.

      Captura de pantalla de la pestaña Tratamiento de la solicitud
      Pestaña Nombre del usuario
      • Seleccione el botón de opción Generar a partir de esta información de Active Directory.
      • Formato de nombre de asunto: nombre distintivo
      • Seleccionar la casilla Nombre principal del usuario (UPN).

      Captura de pantalla de la pestaña Nombre del usuario
      Pestaña Servidor
      Seleccione la casilla No almacenar certificados y solicitudes en la base de datos de CA.
      Importante: Asegúrese de anular la selección de la segunda casilla de verificación etiquetada No incluir la información de revocación en los certificados emitidos.

      Al seleccionar la primera casilla de verificación, el sistema selecciona automáticamente No incluir la información de revocación en los certificados emitidos.

      Asegúrese de anular la selección de la segunda casilla de verificación No incluir la información de revocación en los certificados emitidos.


      Captura de pantalla de la pestaña Servidor
      Pestaña Requisitos de emisión
      • Se requiere lo siguiente para la inscripción: Seleccionar Este número de firmas autorizadas e introducir 1.
      • Tipo de política necesario en la firma: política de aplicación
      • Política de aplicación: agente de solicitud de certificado
      • Se requiere lo siguiente para volver a realizar la inscripción: Certificado existente válido

      Captura de pantalla de la pestaña Requisitos de emisión con flechas verdes que apuntan a la configuración de claves.
      Pestaña Seguridad
      En la pestaña Seguridad, otorgue los permisos de Read y Enroll al nuevo grupo de seguridad universal que creó para las cuentas de inscripción de True SSO.
      1. En la sección Nombres de usuario o grupo, agregue el grupo que creó para las cuentas de inscripción de True SSO.
      2. Seleccione ese grupo y, en la sección Permisos, seleccione Permitir para los permisos de Read y Enroll.

      Captura de pantalla que ilustra la pestaña Seguridad después de agregar el grupo de seguridad universal y establecer los permisos.
    3. Acabe de guardar esta nueva plantilla de True SSO haciendo clic en Aceptar en la ventana Propiedades de la plantilla nueva.
    La nueva plantilla de True SSO aparece en la consola de plantillas de certificado que se muestra con el Nombre para mostrar de la plantilla que le ha asignado y con la finalidad mostrada de autenticación de cliente, inicio de sesión de tarjeta inteligente.

    La siguiente captura de pantalla muestra la nueva plantilla enumerada.


    Captura de pantalla que ilustra la plantilla de True SSO que aparece en la lista
  4. Ahora puede cerrar la consola de plantillas de certificado y volver a la herramienta Entidad de certificación.
  5. Emita la plantilla para True SSO.
    1. En la herramienta Entidad de certificación, haga clic con el botón secundario en la carpeta Plantillas de certificado y seleccione Nuevo > Plantilla de certificado para emitir.
      La siguiente captura de pantalla muestra este paso en un sistema que ejecuta Windows Server 2016.
      Captura de pantalla que ilustra la opción de menú Plantilla de certificado para emitir y flechas verdes que apuntan a la carpeta Plantillas de certificado.
      Se muestra la ventana Habilitar plantillas de certificados.
    2. Seleccione la plantilla de True SSO que creó en los pasos anteriores y haga clic en Aceptar.
      La siguiente captura de pantalla muestra este paso en un sistema que ejecuta Windows Server 2016.
      Captura de pantalla de la ventana Habilitar plantillas de certificado con una flecha verde que apunta a la plantilla de True SSO seleccionada en la lista.
    Importante: Debe realizar estas acciones en cada instancia de entidad de certificación empresarial de Microsoft que desee utilizar para la función True SSO.
  6. Repita el mismo paso de emisión para la plantilla de Agente de inscripción de True SSO.
    1. En la herramienta Entidad de certificación, haga clic con el botón secundario en la carpeta Plantillas de certificado y seleccione Nuevo > Plantilla de certificado para emitir.

      Captura de pantalla que ilustra la opción de menú Plantilla de certificado para emitir y flechas verdes que apuntan a la carpeta Plantillas de certificado.
      Se muestra la ventana Habilitar plantillas de certificados.
    2. Seleccione la agente plantilla de Agente de inscripción de True SSO que creó en los pasos anteriores y haga clic en Aceptar.
      La siguiente captura de pantalla muestra este paso en un sistema que ejecuta Windows Server 2016.
      Captura de pantalla que ilustra la ventana Habilitar plantillas de certificado y una flecha verde que apunta a la plantilla de Agente de inscripción de True SSO seleccionada en la lista.
      Importante: Debe realizar estas acciones en cada instancia de entidad de certificación empresarial de Microsoft que desee utilizar para True SSO.
    La entidad de certificación empresarial de Microsoft ahora está configurada con las plantillas de certificado necesarias para su uso con la función True SSO.