Después de que se haya registrado un dominio de Active Directory en su entorno de Horizon Cloud y el entorno se haya integrado con VMware Workspace ONE, puede configurar True SSO para este. True SSO es una función que se integra con Workspace ONE Access para permitir que los usuarios realicen un inicio de sesión único en los escritorios y las aplicaciones virtuales Windows a los que Horizon Cloud presta servicio sin necesidad de introducir también sus credenciales de Active Directory en el sistema operativo Windows. Cuando True SSO está configurado para su entorno, los usuarios finales se autentican en la URL de Workspace ONE que se les proporciona para acceder a los escritorios y las aplicaciones autorizados. Después de que esa autenticación, los usuarios pueden iniciar sus aplicaciones y escritorios autorizados sin una solicitud de credenciales de Active Directory.

Importante: La configuración de True SSO es un tipo de configuración para todo el arrendatario. La configuración de True SSO se aplicará a todos los pods del grupo de pods de Horizon Cloud en Microsoft Azure. Como resultado, después de configurar correctamente True SSO en el arrendatario de Horizon Cloud por primera vez y, a continuación, implementar más adelante pods de Horizon Cloud adicionales en las suscripciones de Microsoft Azure mediante el asistente de implementación de pods automatizado, el sistema enviará la misma configuración de True SSO a todos esos pods e intentará validar la misma configuración de True SSO con esos pods.

Configurar True SSO para su uso con el entorno es un proceso que consta de varios pasos. En un nivel alto, los pasos son:

  1. Configurar la infraestructura necesaria para que True SSO funcione, lo que implica:
    1. Instalar y configurar una entidad de certificación (CA) de Microsoft Windows Server para que sea una entidad de certificación empresarial. Los procedimientos en esta sección son para Microsoft Windows Server 2012 R2. Se pueden seguir pasos muy similares en las otras versiones de Microsoft Windows Server que son compatibles para su uso con esta función.
    2. Configurar una plantilla de certificado en la entidad de certificación.
      Importante: Utilice únicamente caracteres ASCII en los nombres de sus plantillas de True SSO. Debido a un problema conocido, si los nombres de la plantilla de True SSO contienen caracteres no ASCII o ASCII altos, no puede configurarse correctamente True SSO con el entorno de Horizon Cloud.
    3. Descargar el paquete de emparejamiento de Horizon Cloud desde la página de Active Directory de Horizon Universal Console. Al configurar el servidor de inscripciones, se utiliza el paquete de emparejamiento.
    4. Configurar el servidor de inscripciones.
      Importante: Después de configurar el servidor de inscripción, asegúrese de que cumple los requisitos de puertos para el servidor de inscripción descritos en Arrendatarios de first-gen - Implementaciones de Horizon Cloud on Microsoft Azure: requisitos de resolución de nombres de host, nombres DNS.
  2. Agregar la información del servidor de inscripciones a la página de Active Directory de Horizon Universal Console.

Una vez completada la configuración, el servidor de inscripciones y la entidad de certificación empresarial trabajan juntos para emitir certificados de corta duración que se utilizan para que los usuarios inicien sesión en las aplicaciones y los escritorios autorizados. El pod de Horizon Cloud pide al servidor de inscripciones un certificado para un usuario autorizado específico. El servidor de inscripciones se pone en contacto con la entidad de certificación para generar el certificado solicitado y, a continuación, devuelve el certificado al pod de Horizon Cloud.

Requisitos previos

Antes de configurar True SSO, debe tener al menos un entorno de Workspace ONE Access configurado con el entorno de Horizon Cloud. Consulte el tema de la documentación Acerca del uso de un entorno de Horizon Cloud con VMware Workspace ONE y con la función True SSO opcional y siga el procedimiento de integración adecuado para la configuración del entorno de Horizon Cloud.

Resultados

Después de completar los pasos, el entorno está configurado con True SSO.

Horizon Cloud - True SSO: configurar una entidad de certificación empresarial mediante un sistema Microsoft Windows Server

Un elemento requerido para usar la función True SSO es una entidad de certificación (CA) de Microsoft. Si aún no tiene una entidad de certificación (CA) configurada, debe agregar la función Servicios de certificados de Active Directory (AD CS) a un servidor Microsoft Windows y configurar el servidor como una CA empresarial. Puede utilizar el Asistente de Service Manager para realizar este procedimiento.

Los siguientes son pasos estándar para configurar una entidad de certificación de Microsoft. Se detallan en este tema de una forma sencilla adecuada para su uso en un entorno de laboratorio, pero se recomienda que siga las prácticas recomendadas del sector para la configuración de la entidad de certificación para un sistema de producción real.

Si necesita instrucciones adicionales sobre la configuración de una entidad de certificación, consulte las referencias técnicas estándar de Microsoft: Active Directory Certificate Services Step-by-Step Guide (Guía paso a paso de los servicios de certificado de Active Directory) e Instalación de una entidad de certificación raíz.

Nota: Para ilustrar el proceso, los pasos específicos de este tema se basan en el uso de Windows Server 2012 R2. Se pueden seguir pasos muy parecidos en otros sistemas Windows Server. Si desea instalar el servidor de inscripciones en el mismo sistema que aloja esta entidad de certificación, asegúrese de utilizar una de las versiones de Windows Server que son compatibles con el servidor de inscripciones. Consulte Horizon Cloud first-gen - True SSO: configurar el servidor de inscripciones.

Procedimiento

  1. En el panel Administrador de servidores, haga clic en Agregar funciones y características para abrir el asistente y, a continuación y haga clic en Siguiente.
  2. En la página Seleccionar tipo de instalación, seleccione Instalación basada en características o en funciones, y haga clic en Siguiente.
  3. En la página Selección del servidor, deje los valores predeterminados y haga clic en Siguiente.
  4. En la página Funciones de servidor:
    1. Seleccione Servicios de certificados de Active Directory.
    2. En el cuadro de diálogo, seleccione Incluir la herramienta de administración (si corresponde) y haga clic en Agregar funciones.
    3. Haga clic en Siguiente.
  5. En la página Funciones, haga clic en Siguiente.
  6. En la página AD CS, haga clic en Siguiente.
  7. En la página Servicios de función, seleccione la entidad de certificación y haga clic en Siguiente.
  8. En la página Confirmación, seleccione Es obligatorio reiniciar el servidor de destino automáticamente y haga clic en Instalar.
    Se muestra el progreso de la instalación. Cuando se complete la instalación, aparecerá un vínculo URL, que le permite configurar la entidad de certificación recién instalada como "Configurar servicios de certificados de Active Directory" en el servidor de destino.
  9. Haga clic en el vínculo de configuración para iniciar el Asistente de configuración.
  10. En la página Credenciales, introduzca las credenciales de usuario del grupo de administradores de organización y haga clic en Siguiente.
  11. En la página Servicios de función, seleccione la entidad de certificación y haga clic en Siguiente.
  12. En la página Tipo de instalación, seleccione Entidad de certificación empresarial y haga clic en Siguiente.
  13. En la página Tipo de entidad de certificación, seleccione Entidad de certificación raíz o Entidad de certificación subordinada según corresponda (en este ejemplo es una entidad de certificación raíz) y haga clic en Siguiente.
  14. En la página Clave privada, seleccione Crear una nueva clave privada y haga clic en Siguiente.
  15. En la página Criptografía, introduzca la siguiente información.
    Campo Descripción
    Proveedor de servicios criptográfico Proveedor de almacenamiento de claves de software de Microsoft/RSA
    Longitud de la clave 4096 (u otra longitud si prefiere)
    Algoritmo hash SHA256 (u otro algoritmo SHA si prefiere)
  16. En la página Nombre de entidad de certificación, configure como prefiera o acepte los valores predeterminados, y haga clic en Siguiente.
  17. En la página Período de validez, configure como prefiera y haga clic en Siguiente.
  18. En la página Base de datos del certificado, haga clic en Siguiente.
  19. En la página Confirmación, revise la información y haga clic en Configurar.
  20. Complete el proceso de configuración. Para ello realice las siguientes tareas (ejecute todos los comandos de la línea de comandos).
    1. Configurar la entidad de certificación para proceso del certificado no persistente 
      certutil –setreg DBFlags 
+DBFLAGS_ENABLEVOLATILEREQUESTS
    2. Configurar la entidad de certificación para que omita los errores de CRL sin conexión 
      certutil –setreg ca\CRLFlags 
+CRLF_REVCHECK_IGNORE_OFFLINE
    3. Reiniciar el servicio de CA 
      net stop certsvc
net start certsvc
  21. Configure una plantilla de certificado en la entidad de certificación siguiendo los pasos descritos en Horizon Cloud - True SSO: configurar una plantilla de certificado en la entidad de certificación.

Horizon Cloud - True SSO: configurar una plantilla de certificado en la entidad de certificación

Debe configurar la plantilla de certificado en la entidad de certificación. La plantilla de certificado es la base de los certificados generados por la entidad de certificación.

Requisitos previos

Complete los pasos que se describen en Horizon Cloud - True SSO: configurar una entidad de certificación empresarial mediante un sistema Microsoft Windows Server.

Procedimiento

  1. Cree un nuevo grupo de seguridad universal.
    La creación de este grupo permite tener un solo grupo de seguridad al que se pueden asignar los permisos necesarios para emitir certificados en nombre de los usuarios. Todos los equipos donde están instalados los servidores de inscripciones de VMware pueden heredar esos permisos convirtiéndose en miembro de este grupo.
    1. Haga clic en Inicio y escriba dsa.msc.
      Se muestra la ventana Usuarios y equipos de Active Directory.
    2. En el árbol, haga clic con el botón secundario en la carpeta Usuarios para el controlador de dominio y seleccione Nuevo > Grupo.
      Se muestra la ventana Nuevo objeto - grupo.
    3. En el campo Nombre del grupo, introduzca un nombre para el nuevo grupo. Por ejemplo, Servidores de inscripciones de True SSO.
    4. Establezca los siguientes valores.
      Configuración Valor
      Ámbito de grupo Universal
      Tipo de grupo Seguridad
    5. Haga clic en Aceptar.
      El nuevo grupo aparece en el árbol en la ventana Usuarios y equipos de Active Directory.
    6. Haga clic con el botón secundario en el grupo y seleccione Propiedades.
    7. En la pestaña Miembro de, agregue todos los equipos en los que instalará un servidor de inscripción y, a continuación, haga clic en Aceptar.
    8. Reinicie cada equipo en el que va a instalar a un servidor de inscripción.
  2. Configure la plantilla de certificado.
    1. Seleccione Panel de Control > Herramientas administrativas > Entidad de certificación.
    2. En el árbol, expanda el nombre de la entidad de certificación local.
    3. Haga clic con el botón secundario en la carpeta Plantillas de certificado y seleccione Administrar.
      Se muestra la consola de plantillas de certificado.
    4. Haga clic con el botón secundario en la plantilla Inicio de sesión de tarjeta inteligente y seleccione Duplicar plantilla.
      Se muestra la ventana Propiedades de plantilla nueva.
    5. Introduzca la información en las pestañas de la ventana como se describe a continuación.
      Pestaña Configuración
      Compatibilidad
      • Seleccionar la casilla Mostrar los cambios resultantes.
      • Entidad de certificación: seleccione el sistema operativo Windows
      • Destinatario del certificado: seleccione el sistema operativo Windows
      General
      Importante: Utilice únicamente caracteres ASCII en los nombres de sus plantillas de True SSO. Debido a un problema conocido, si los nombres de la plantilla de True SSO contienen caracteres no ASCII o ASCII altos, no puede configurarse correctamente True SSO con el entorno de Horizon Cloud.
      • Nombre para mostrar de plantilla: nombre de su elección. Por ejemplo, plantilla True SSO.
      • Nombre de plantilla: nombre de su elección. Por ejemplo, plantilla True SSO.
      • Período de validez: 1 hora
      • Período de renovación: 0 semanas
      Control de solicitud
      • Propósito: Inicio de sesión con tarjeta inteligente y firma
      • Seleccionar la casilla Para la renovación automática de certificados de tarjeta inteligente....
      • Seleccionar el botón de opción Solicitar al usuario durante la inscripción
      Criptografía
      • Categoría de proveedor: proveedor de almacenamiento de claves
      • Nombre del algoritmo: RSA
      • Tamaño mínimo de claves: 2048
      • Seleccionar el botón de opción Las solicitudes pueden utilizar cualquier proveedor disponible....
      • Solicitar hash: SHA256
      Nombre del asunto
      • Seleccionar el botón de opción Generar a partir de esta información de Active Directory.
      • Formato de nombre de asunto: nombre distintivo
      • Seleccionar la casilla Nombre principal del usuario (UPN).
      Servidor Seleccionar la casilla No almacenar certificados y solicitudes en la base de datos de CA
      Requisitos de emisión
      • Se requiere lo siguiente para la inscripción: Seleccionar Este número de firmas autorizadas e introducir 1.
      • Tipo de política necesario en la firma: política de aplicación
      • Política de aplicación: agente de solicitud de certificado
      • Se requiere lo siguiente para la inscripción: Certificado existente válido
      Seguridad En la parte superior de la pestaña, seleccione el nuevo grupo creado. A continuación, en la parte inferior de la pestaña seleccione Permitir para los permisos de lectura e inscripción.
    6. Haga clic en Aceptar.
  3. Emita la plantilla para True SSO.
    1. Haga clic con el botón secundario en la carpeta Plantillas de certificado y seleccione Nuevo > Plantilla de certificado para emitir.
      Se muestra la ventana Habilitar plantillas de certificados.
    2. Seleccione TrueSsoTemplate y haga clic en Aceptar.
  4. Emita la plantilla del agente de inscripción.
    1. Haga clic con el botón secundario en la carpeta Plantillas de certificado y seleccione Nuevo > Plantilla de certificado para emitir.
      Se muestra la ventana Habilitar plantillas de certificados.
    2. Seleccione el equipo del agente de inscripción y haga clic en Aceptar.
      Nota: Esta plantilla debe tener la misma configuración de seguridad que la plantilla emitida en el paso anterior.
    Se ha establecido la entidad de certificación, que está configurada con una plantilla de certificado adecuada para su uso con True SSO.
  5. Descargue el paquete de emparejamiento de Horizon Cloud siguiendo los pasos descritos en Horizon Cloud - True SSO: descargar el paquete de emparejamiento de Horizon Cloud.

Horizon Cloud - True SSO: descargar el paquete de emparejamiento de Horizon Cloud

Necesita este paquete de emparejamiento para completar los pasos de configuración del servidor de inscripciones cuando configura el entorno de Horizon Cloud para True SSO. Puede descargar el paquete de emparejamiento desde la página de Active Directory de Horizon Universal Console.

Importante: La configuración de True SSO es un tipo de configuración para todo el arrendatario. La configuración de True SSO se aplicará a todos los pods del grupo de pods de Horizon Cloud en Microsoft Azure. Como resultado, después de configurar correctamente True SSO en el arrendatario de Horizon Cloud por primera vez y, a continuación, implementar más adelante pods de Horizon Cloud adicionales en las suscripciones de Microsoft Azure mediante el asistente de implementación de pods automatizado, el sistema enviará la misma configuración de True SSO a todos esos pods e intentará validar la misma configuración de True SSO con esos pods.
El paquete de emparejamiento contiene un archivo de certificado para cada uno de los pods de Horizon Cloud implementados en Microsoft Azure para su entorno de Horizon Cloud. Para los pods para los que desea configurar True SSO, debe cargar los archivos de certificados de esos pods en el servidor de inscripción. Cuando tiene un pod, el paquete contiene un archivo de certificado en formato CRT. Cuando tiene más de un pod, el paquete contiene varios archivos de CRT, uno en cada pod. El nombre de cada archivo CRT sigue este patrón: 
podID_truesso.crt
donde podID es el ID del pod que se muestra en la página de resumen del pod.

Procedimiento

  1. En la consola, vaya a Configuración > Active Directory.
  2. En el área de configuración de True SSO, obtenga el archivo pairing_bundle.7z haciendo clic en Descargar token de emparejamiento.
  3. Guarde el archivo en una ubicación donde pueda extraer su contenido.
  4. Para los pods para los que desee configurar True SSO, extraiga los archivos CRT de los pods del paquete de emparejamiento en una ubicación donde se puedan recuperar al configurar el servidor de inscripción.
    El paquete de emparejamiento contiene un archivo de certificado para cada pod en su entorno. Cada nombre de archivo CRT sigue el patrón podID_truesso.crt, donde podID es el valor del ID del pod.
  5. Configure el servidor de inscripción siguiendo los pasos descritos en Horizon Cloud first-gen - True SSO: configurar el servidor de inscripciones.

Horizon Cloud first-gen - True SSO: configurar el servidor de inscripciones

En esta página de documentación se describe cómo configurar el servidor de inscripciones para usarlo con implementaciones de Horizon Cloud on Microsoft Azure first-gen.

El servidor de inscripciones (ES) es un componente de Horizon Cloud on Microsoft Azure que se instala en un equipo de Windows Server como el último paso de la configuración de la infraestructura para True SSO. Al implementar el certificado de agente de inscripción (equipo) en el servidor, se autoriza a este ES a actuar como un agente de inscripción y generar certificados en nombre de los usuarios.

Atención: Si el arrendatario de first-gen tiene varias implementaciones de Horizon Cloud on Microsoft Azure en su grupo, al configurar los servidores de inscripción, debe asegurarse de que todas las instancias de administrador de pods de esas implementaciones puedan acceder a los servidores de inscripción. De lo contrario, se producirá un error en el paso de emparejamiento final (el paso de finalización).

Como se describe en la nota importante de la página Configurar True SSO para su uso con el entorno de Horizon Cloud, la configuración de True SSO es un tipo de configuración para todo el arrendatario. El sistema envía la misma configuración de True SSO a todos los pods del grupo del arrendatario e intenta validar la misma configuración de True SSO en todos ellos. Si se activa un servidor de inscripción para trabajar con el pod A y también se activa un servidor de inscripción independiente para trabajar con el pod B, tanto el pod A como el pod B deben poder acceder a ambos servidores de inscripción.

Requisitos previos

Compruebe que haya completado los pasos descritos en Horizon Cloud - True SSO: configurar una entidad de certificación empresarial mediante un sistema Microsoft Windows Server, Horizon Cloud - True SSO: configurar una plantilla de certificado en la entidad de certificación y Horizon Cloud - True SSO: descargar el paquete de emparejamiento de Horizon Cloud.

Nota: La CA empresarial debe estar configurada para que pueda ver los elementos apropiados en el asistente de inscripción de certificados en los pasos documentados en esta página.

Compruebe que el sistema en el que va a instalar el software del servidor de inscripciones esté ejecutando uno de estos sistemas operativos compatibles con esta instalación: Windows Server 2012 R2, Windows Server 2016 o Windows Server 2019. El sistema debe tener un mínimo de 4 GB de memoria.

Nota: El uso de Windows Server 2022 no cumple los requisitos para admitir el uso del servidor de inscripciones con implementaciones de Horizon Cloud on Microsoft Azure first-gen.

Las etiquetas de los siguientes pasos reflejan la ejecución de los pasos en un sistema Windows Server 2016.

Procedimiento

  1. Instale el servidor de inscripciones en el sistema.
    1. Descargue el archivo Enrollment Server.exe del servidor de inscripciones desde el sitio de My VMware. El nombre del archivo debe ser similar a VMware-HorizonCloud-TruessoEnrollmentServer-x86_64-7.3.0-xxxxx.exe.
    2. Confirme que el sistema cumple los requisitos previos, como se mencionó anteriormente.
    3. Ejecute al instalador y siga al asistente.
  2. En el servidor de inscripciones, agregue el complemento Certificado a MMC (Microsoft Management Console).
    1. Abra MMC y seleccione Archivo > Agregar o quitar complemento.
    2. En Complementos disponibles, seleccione Certificados y haga clic en Agregar.
    3. En la ventana del complemento Certificados, seleccione Cuenta de equipo y haga clic en Siguiente.
    4. En la ventana Seleccionar equipo, mantenga el valor predeterminado del Equipo local y haga clic en Finalizar.
    5. De nuevo en la ventana Agregar o quitar complemento, haga clic en Aceptar para completar la adición del complemento Certificado.
  3. Implemente el certificado del agente de inscripción en este servidor de inscripciones.
    1. En MMC, expanda la opción Certificados (equipo local) que agregó en el paso anterior, haga clic con el botón secundario en la carpeta Personal y seleccione Todas las tareas > Solicitar certificados nuevos.
      Se inicia el asistente Inscripción de certificados.
    2. Siga los pasos del asistente Inscripción de certificados y acepte los valores predeterminados hasta que llegue al paso Solicitar certificados.
    3. En el paso Solicitar certificados del asistente, seleccione la casilla de verificación Agente de inscripción (PC) y haga clic en Inscribir.
    4. Siga los pasos del asistente aceptando los valores predeterminados de los pasos restantes y, en el paso final, haga clic en Finalizar.
  4. Importe archivos de certificado CRT de los pods extraídos del archivo pairing_bundle.7z, para aquellos pods con los que desee configurar True SSO.
    El paquete de emparejamiento contiene un archivo de certificado para cada pod en su entorno. Cada nombre de archivo CRT sigue el patrón podID_truesso.crt, donde podID es el valor del ID del pod.
    1. En MMC, haga clic con el botón secundario en la subcarpeta Certificados en la carpeta de Raíces de confianza del servidor de inscripciones de VMware Horizon View y seleccione Todas las tareas > Importar.
    2. En el asistente Importación de certificado, siga las indicaciones para desplazarse hasta la ubicación en la que extrajo los archivos de certificado del paquete pairing_bundle.7z.
      Cuando tenga un solo pod, el paquete contendrá un solo archivo CRT. Cuando tenga más de un pod, el paquete contendrá un archivo CRT para cada pod.
    3. Importe el archivo o los archivos de certificado, dependiendo de cuántos pods vaya a configurar.
    4. Haga clic en Siguiente y en Finalizar.
  5. Complete los pasos de configuración restantes que se describen en Horizon Cloud - True SSO: completar la configuración de True SSO para el entorno de Horizon Cloud.

Horizon Cloud - True SSO: completar la configuración de True SSO para el entorno de Horizon Cloud

Después de configurar el servidor de inscripciones, se introduce la información en la página de Active Directory de Horizon Universal Console.

Requisitos previos

Complete el paso anterior Horizon Cloud first-gen - True SSO: configurar el servidor de inscripciones.

Compruebe que cumpla los requisitos de puertos y protocolos para el tráfico de red de las máquinas virtuales del administrador de pods y del servidor de inscripción, tal como se describe en Arrendatarios de first-gen - Implementaciones de Horizon Cloud on Microsoft Azure: requisitos de resolución de nombres de host, nombres DNS. Si los puertos correspondientes no permiten el tráfico, se producirá un error al emparejar el servidor de inscripción.

Procedimiento

  1. En la consola, vaya a Configuración > Active Directory.
  2. Haga clic en Agregar junto a Configuración de True SSO.

    Se muestra el cuadro de diálogo Configuración de True SSO.

    Nota: Debido a que ya configuró el servidor de inscripciones, puede omitir el vínculo Descargar token de emparejamiento en este cuadro de diálogo.
  3. Introduzca el nombre de dominio completo (FQDN) del servidor de inscripciones en el campo Servidor de inscripciones principal y haga clic en el botón Probar el emparejamiento junto al campo.
    Los otros campos obligatorios se rellenan automáticamente.
  4. Haga clic en Guardar.
  5. Para configurar un servidor de registro secundario para alta disponibilidad, haga lo siguiente.
    1. Repita el proceso que se describe en Horizon Cloud first-gen - True SSO: configurar el servidor de inscripciones en un segundo equipo.
    2. Edite la configuración de True SSO y añada la segunda dirección ES en el campo Servidores de registro secundario y, a continuación, pruebe el emparejamiento.
    3. Guarde la configuración de nuevo.

Resultados

La información de configuración ahora aparece en la página de Active Directory en Configuración de True SSO.

Importante: La configuración de True SSO es un tipo de configuración para todo el arrendatario. La configuración de True SSO se aplicará a todos los pods del grupo de pods de Horizon Cloud en Microsoft Azure. Como resultado, después de configurar correctamente True SSO en el arrendatario de Horizon Cloud por primera vez y, a continuación, implementar más adelante pods de Horizon Cloud adicionales en las suscripciones de Microsoft Azure mediante el asistente de implementación de pods automatizado, el sistema enviará la misma configuración de True SSO a todos esos pods e intentará validar la misma configuración de True SSO con esos pods.