Avec la fonctionnalité d'authentification unique réelle introduite dans Horizon 7, les utilisateurs peuvent se connecter à VMware Identity Manager 2.6 et versions ultérieures à l'aide de l'authentification par carte à puce, RADIUS ou RSA SecurID. Ils ne seront plus invités à entrer leurs informations d'identification Active Directory, même lorsqu'ils lancent une application ou un poste de travail distant pour la première fois.

Avec les versions antérieures, l'authentification unique fonctionnait en invitant les utilisateurs à entrer leurs informations d'identification Active Directory la première fois qu'ils lançaient un poste de travail distant ou une application publiée s'ils ne s'étaient pas précédemment authentifiés avec leurs informations d'identification Active Directory. Les informations d'identification étaient ensuite mises en cache pour que les lancements suivants ne demandent pas aux utilisateurs d'entrer de nouveau leurs informations d'identification. Avec l'authentification unique réelle, des certificats de courte durée sont créés et utilisés à la place des informations d'identification AD.

Même si le processus de configuration de l'authentification SAML pour VMware Identity Manager n'a pas changé, une étape supplémentaire a été ajoutée pour l'authentification unique réelle. Vous devez configurer VMware Identity Manager pour que l'authentification unique réelle soit activée.

Note : Si votre déploiement inclut plusieurs instances du Serveur de connexion, vous devez associer l'authentificateur SAML à chaque instance.

Conditions préalables

  • Vérifiez que l'authentification unique est activée comme paramètre global. Dans Horizon Administrator, sélectionnez Configuration > Paramètres généraux et vérifiez que Single Sign-on (SSO) est défini sur Activé.

  • Vérifiez qu'VMware Identity Manager est installé et configuré. Consultez la documentation de VMware Identity Manager disponible à l'adresse suivante : https://docs.vmware.com/fr/VMware-Identity-Manager/index.html

  • Vérifiez que le certificat racine de l'autorité de certification de signature pour le certificat du serveur SAML est installé sur l'hôte du serveur de connexion. VMware recommande de ne pas configurer d'authentificateurs SAML pour utiliser des certificats auto-signés. Consultez la rubrique « Importer un certificat racine et des certificats intermédiaires dans un magasin de certificats Windows » du chapitre « Configuration de certificats SSL pour des serveurs Horizon 7 » dans le document Installation d'Horizon 7.
  • Notez le FQDN de l'instance du serveur VMware Identity Manager.

Procédure

  1. Dans Horizon Administrator, sélectionnez Configuration > Serveurs.
  2. Dans l'onglet Serveurs de connexion, sélectionnez une instance du serveur à associer à l'authentificateur SAML et cliquez sur Modifier.
  3. Dans l'onglet Authentification, dans le menu déroulant Délégation de l'authentification à VMware Horizon (authentificateur SAML 2.0), sélectionnez Autorisée ou Requise.
    Vous pouvez configurer chaque instance du Serveur de connexion dans votre déploiement pour disposer de paramètres d'authentification SAML différents, adaptés à vos besoins.
  4. Cliquez sur Gérer des authentificateurs SAML, puis sur Ajouter.
  5. Configurez l'authentificateur SAML dans la boîte de dialogue Ajouter un authentificateur SAML 2.0.
    Option Description
    Étiquette Vous pouvez utiliser le FQDN de l'instance du serveur VMware Identity Manager.
    Description (Facultatif) Vous pouvez utiliser le FQDN de l'instance du serveur VMware Identity Manager.
    URL de métadonnées URL pour récupérer toutes les informations requises afin d'échanger des informations SAML entre le fournisseur d'identité SAML et l'instance du Serveur de connexion Horizon. Dans l'URL https://<NOM DE VOTRE OCCURRENCE HORIZON SERVER>/SAAS/API/1.0/GET/metadata/idp.xml, cliquez sur <NOM DE VOTRE OCCURRENCE HORIZON SERVER> et remplacez-le par le FQDN de l'instance du serveur VMware Identity Manager.
    URL d'administration URL pour accéder à la console d'administration du fournisseur d'identité SAML (instance VMware Identity Manager). Cette URL a le format https://<Identity-Manager-FQDN>:8443.
  6. Cliquez sur OK pour enregistrer la configuration de l'authentificateur SAML.
    Si vous avez fourni des informations valides, vous devez accepter le certificat auto-signé (non recommandé) ou utiliser un certificat approuvé pour Horizon 7 et VMware Identity Manager.

    Le menu déroulant Authentificateur SAML 2.0 affiche l'authentificateur récemment créé qui est maintenant défini comme l'authentificateur sélectionné.

  7. Dans la section Intégrité du système du tableau de bord de Horizon Administrator, sélectionnez Autres composants > Authentificateurs SAML 2.0, sélectionnez l'authentificateur SAML que vous avez ajouté, puis vérifiez les détails.
    Si la configuration aboutit, la santé de l'authentificateur est représentée par la couleur verte. La santé de l'authentificateur peut s'afficher en rouge si le certificat n'est pas approuvé, si le service VMware Identity Manager n'est pas disponible ou si l'URL des métadonnées n'est pas valide. Si le certificat n'est pas approuvé, vous pourrez peut-être cliquer sur Vérifier pour valider et accepter le certificat.
  8. Connectez-vous à la console d'administration de VMware Identity Manager, accédez au pool de postes de travail à partir de la page Catalogue > Applications virtuelles et cochez la case Authentification unique réelle activée.

Que faire ensuite

Pour plus d'informations sur le fonctionnement de l'authentification SAML, reportez-vous à la section Utilisation de l'authentification SAML.