Configurar la autenticación SAML para que funcione con True SSO

Gracias a la función True SSO, los usuarios pueden iniciar sesión en VMware Workspace ONE Access con la autenticación RSA SecurID, RADIUS y con tarjeta inteligente, y no se les solicitará las credenciales de Active Directory, aunque inicien una aplicación o un escritorio remoto por primera vez.

Con versiones anteriores, SSO (Single Sign-On) funcionaba solicitando a los usuarios las credenciales de Active Directory la primera vez que iniciaban un escritorio remoto o una aplicación publicada si no se autenticaron previamente con las credenciales de Active Directory. Las credenciales se almacenaron en caché, por lo que no es necesario que los usuarios vuelvan a introducir sus credenciales en los inicios posteriores. Con True SSO, se crean certificados de corta duración y se usan en lugar de las credenciales de AD.

Aunque el proceso para configurar la autenticación SAML para VMware Workspace ONE Access no cambió, se agregó un paso adicional para True SSO. Debe configurar VMware Workspace ONE Access de modo que True SSO esté habilitado.

Nota: Si la implementación incluye más de una instancia del servidor de conexión, el autenticador SAML se debe asociar a cada una de ellas.

Requisitos previos

Verifique que Single Sign-On está habilitado en la configuración global. En Horizon Console, seleccione Configuración > Configuración global y compruebe que Configurar Single Sign-On (SSO) esté establecido como Habilitado.
Compruebe que VMware Workspace ONE Access esté instalado y configurado. Consulte la documentación de VMware Workspace ONE Access, disponible en https://docs.vmware.com/es/VMware-Workspace-ONE-Access/index.html.
Verifique que el certificado raíz de la autoridad de certificación que firma el certificado del servidor SAML esté instalado en el host del servidor de conexión. VMware no recomienda configurar los autenticadores SAML para utilizar certificados autofirmados. Consulte el tema sobre cómo importar un certificado raíz y certificados intermedios en el almacén de certificados de Windows, en el capítulo "Configurar certificados SSL en Horizon Server" del documento Instalación y actualización de Horizon 8.
Anote el FQDN de la instancia del servidor de VMware Workspace ONE Access.

Procedimiento

En Horizon Console, seleccione Configuración > Servidores.
En la pestaña Servidores de conexión, seleccione una instancia del servidor para asociarla al autenticador SAML y haga clic en Editar.
En la pestaña Autenticación, del menú desplegable Delegación de la autenticación a VMware Horizon (autenticador SAML 2.0), seleccione Permitido o Requerido.
Cada una de las instancias del servidor de conexión de la implementación se puede configurar con distintos valores de autenticación SAML, de acuerdo a las necesidades.
Haga clic en Administrar autenticadores SAML y en Agregar.

Configure el autenticador SAML en el cuadro de diálogo Agregar autenticador SAML 2.0.

Opción	Descripción
Etiqueta	Puede usar el FQDN de la instancia del servidor de VMware Workspace ONE Access.
Descripción	(Opcional) Puede usar el FQDN de la instancia del servidor de VMware Workspace ONE Access.
URL de metadatos	URL para recuperar toda la información necesaria para intercambiar la información SAML entre el proveedor de identidad SAML y la instancia de Horizon Connection Server. En la URL https://<NOMBRE DEL HORIZON SERVER>/SAAS/API/1.0/GET/metadata/idp.xml, haga clic en <NOMBRE DEL SERVIDOR HORIZON> y reemplace el FQDN de la instancia del servidor de VMware Workspace ONE Access.
URL de administración	URL para acceder a la consola de administración del proveedor de identidades SAML (instancia de VMware Workspace ONE Access). Esta URL tiene el formato `https://<Identity-Manager-FQDN>:8443.`

Haga clic en Aceptar para guardar la configuración del autenticador SAML.
Si se proporcionó información válida, se debe aceptar el certificado autofirmado (no se recomienda) o utilizar un certificado de confianza para Horizon 8 y VMware Workspace ONE Access.
El menú desplegable Autenticadores SAML 2.0 muestra el autenticador creado recientemente, configurado como el seleccionado.
En la sección Estado del sistema del panel de Horizon Console, haga clic en View y seleccione Otros componentes > Autenticadores SAML 2.0, seleccione el autenticador SAML agregado y verifique los detalles.
Si la configuración es correcta, el estado del autenticador se mostrará en verde. El estado del autenticador puede estar en rojo si no se confía en el certificado, si el servicio de VMware Workspace ONE Access no está disponible o si la URL de metadatos no es válida. Si no se confía en el certificado, es posible que se pueda hacer clic en Verificar para validar y aceptar el certificado.
Inicie sesión en la consola de administración de VMware Workspace ONE Access, desplácese hasta el grupo de escritorios desde la página Catálogo > Aplicaciones virtuales y active la casilla True SSO habilitado.

Qué hacer a continuación

Amplíe el período de caducidad de los metadatos del servidor de conexión para que las sesiones remotas no finalicen después de solo 24 horas. Consulte Cambiar el período de caducidad de los metadatos del proveedor de servicios en el servidor de conexión.
Use la interfaz de línea de comandos vdmutil para configurar True SSO en un servidor de conexión. Consulte Configurar el servidor de conexión de Horizon para True SSO.

Para obtener más información sobre cómo funciona la autenticación SAML, consulte Uso de la autenticación SAML.