Déterminer une architecture pour True SSO

Pour utiliser True SSO, vous devez disposer d'une autorité de certification, ou en ajouter une, et créer un serveur d'inscription (ES, enrollment server). Ces deux serveurs communiquent pour créer le certificat virtuel Horizon de courte durée qui permet d'effectuer une ouverture de session Windows sans mot de passe. Vous pouvez utiliser True SSO dans un seul domaine, dans une seule forêt avec plusieurs domaines et dans une configuration à plusieurs forêts et plusieurs domaines.

VMware vous recommande de disposer de deux autorités de certification et de deux serveurs d'inscription (ES) déployés pour utiliser True SSO. Les exemples suivants illustrent True SSO dans différentes architectures.

La figure suivante illustre une architecture de True SSO simple.

Une architecture True SSO simple comprend une autorité de certification unique, un serveur d'inscription et un Serveur de connexion. L'approbation SAML est établie entre le dispositif VMware Identity Manager et le Serveur de connexion.

La figure suivante illustre True SSO dans une architecture à un seul domaine.

Une architecture True SSO à un seul domaine pour la haute disponibilité comprend des instances redondantes d'autorités de certification, de serveurs d'inscription et de Serveurs de connexion. Vous pouvez éventuellement héberger l'autorité de certification et le serveur d'inscription sur le même serveur.

La figure suivante illustre True SSO dans une architecture à une seule forêt avec plusieurs domaines.

Un exemple d'architecture True SSO à une seule forêt comprend différentes autorités de certification sur différents domaines racine. Un serveur d'inscription dans une seule arborescence de domaines peut communiquer avec l'autorité de certification dans une autre arborescence.

La figure suivante illustre True SSO dans une architecture avec plusieurs forêts.

Une architecture True SSO à plusieurs forêts se compose de plusieurs forêts reliées par une approbation de forêt transitive bidirectionnelle. Un Serveur de connexion d'une forêt peut utiliser le serveur d'inscription d'une autre forêt.