Para Horizon Cloud Service - next-gen, en esta página se describen los elementos necesarios para usar la función True SSO con una instancia de Horizon Edge en Microsoft Azure.
Es posible que ya esté familiarizado con el uso de True SSO en las implementaciones de Horizon anteriores, como Horizon 8 local o una implementación de Horizon Cloud on Microsoft Azure de primera generación.
Para un entorno de Horizon Cloud Service - next-gen, los elementos necesarios para usar la función True SSO a fin de proporcionar a los usuarios finales acceso de inicio de sesión único (SSO) a sus escritorios y aplicaciones son una entidad de certificación empresarial de Microsoft y plantillas de certificado configuradas específicamente en esa entidad.
Entidad de certificación empresarial de Microsoft
El uso de True SSO requiere una entidad de certificación empresarial de Microsoft.
La frase "entidad de certificación empresarial de Microsoft" hace referencia a una entidad de certificación de Microsoft (CA de Microsoft) que se ejecuta en modo empresarial. Dado que la función True SSO requiere la configuración empresarial, la documentación de True SSO utiliza la frase "entidad de certificación empresarial de Microsoft".
Si aún no tiene una entidad de certificación configurada, debe agregar la función Servicios de certificados de Active Directory (AD CS) a Microsoft Windows Server y configurarlo como una CA empresarial.
Dentro del procedimiento de Microsoft para configurar una entidad de certificación empresarial de Microsoft, instale la función de Servicios de certificados de Active Directory (AD CS). El proceso de configuración de AD CS le ofrece la opción de ejecutar la CA como una CA empresarial o una CA independiente.
Configurar las plantillas de certificado requeridas para True SSO con Horizon Cloud
Especifique la siguiente configuración, incluido el tamaño mínimo de clave para el certificado de firma de Windows Server de la plantilla de True SSO. Para un certificado de firma de Windows Server, el tamaño de clave mínimo requerido es 2048. Si se especifica un tamaño mínimo de clave inferior a 2048, se produce un error de autenticación.
Para la plantilla de True SSO, especifique la siguiente configuración en la pestaña Criptografía.
- En Categoría del proveedor, seleccione Proveedor de almacenamiento de claves.
- En Nombre de algoritmo, seleccione RSA.
- En Tamaño mínimo de clave, especifique 2048.
- En Elegir qué proveedores criptográficos se pueden utilizar para las solicitudes, seleccione Las solicitudes pueden utilizar cualquier proveedor disponible en el equipo del sujeto.
- Enhash de solicitud, especifique SHA384.
- Haga clic en Guardar.
A continuación, se muestra una captura de pantalla parcial que ilustra el valor de tamaño de clave mínimo de 2048.
Habilitar el procesamiento de certificados no persistentes
Para cada Entidad de certificación empresarial de Microsoft que utiliza True SSO, es práctica recomendada habilitar el procesamiento de certificados no persistentes.
Si no se habilita el procesamiento de certificados no persistentes en la Entidad de certificación empresarial de Microsoft, los certificados True SSO permanecen almacenados en la base de datos de la CA empresarial, y esto produce lo siguiente:
- La base de datos de la CA empresarial crece innecesariamente rápidamente. True SSO solicita un nuevo certificado para cada nueva conexión.
- Quede afectado el rendimiento, ya que la CA empresarial se quedará sin espacio de disco a medida que su base de datos crezca.
Como se describe en el artículo 2149312 de la base de conocimientos de VMware, para evitar los problemas anteriores, se recomienda habilitar la opción DBFLAGS_ENABLEVOLATILEREQUESTS. Puede consultar los pasos en el artículo de la base de conocimientos.
Configurar las plantillas de certificado requeridas para True SSO con Horizon Cloud
La función True SSO requiere la configuración de las plantillas de certificado en la Entidad de certificación empresarial de Microsoft que se proporciona para su uso con True SSO y Horizon Edge.
Las plantillas de certificado son la base de los certificados que la Entidad de certificación empresarial de Microsoft genera para usarlos con True SSO.
Las cuentas del servicio de inscripción requieren permisos de Lectura e Inscripción en ambas plantillas, la plantilla TrueSsoEnrollmentAgent y la plantilla TrueSso.
Requisitos previos
- Compruebe que tiene las instancias de Entidad de certificación empresarial de Microsoft (AD CS) que requiere la función True SSO, como se describe en Tipos de entidad de certificación compatibles para usar SSO con Horizon Edge en Microsoft Azure.
- Configure el firewall para permitir que las instancias de Horizon Edge implementadas se comuniquen con las instancias de entidad de certificación empresarial con la combinación de protocolo y puertos requeridas, como se describe en Requisitos de puertos y protocolos para la implementación de Horizon Cloud en Microsoft Azure.
La comunicación utiliza los Servicios de certificados de Active Directory (AD CS). El protocolo requerido es RPC/TCP (RPC sobre TPC). El primer puerto es el 135, mientras que el segundo está dentro del rango de 49152-65535.
- Para una configuración más compatible con el firewall, puede configurar las instancias de Entidad de certificación empresarial de Microsoft(AD CS) para que usen un puerto DCOM estático y configurar el firewall para permitir que el puerto 135 y el puerto DCOM estático elegido sea el mismo en todas las instancias. Esta configuración se describe en Microsoft TechNet, en Cómo configurar un puerto DCOM estático para AD CS.