Publier le bundle VMware SSO CA dans la forêt Active Directory

Pour fournir aux utilisateurs finaux un accès Single Sign-On (SSO) à leurs postes de travail et applications, administrez SSO sur l'instance d'Passerelle Horizon Edge correspondante.

Cette procédure permet aux utilisateurs finaux d'accéder à leurs postes de travail et applications une fois qu'ils ont entré une fois leurs informations d'identification.

Pour plus d'informations générales sur la configuration de VMware CA, reportez-vous à la section Utilisation d'une instance de VMware CA pour SSO avec Horizon Cloud Service - next-gen

Reportez-vous à la documentation Microsoft si nécessaire pour terminer cette procédure. Par exemple, pour installer une autorité de certification d'entreprise, reportez-vous à la section Installer l'autorité de certification.

Conditions préalables

Utilisez Horizon Universal Console pour créer et télécharger un bundle d'autorité de certification (CA). Reportez-vous à la section Ajouter une configuration SSO à Horizon Cloud Service - nouvelle génération pour une autorité de certification VMware CA.
Pour exécuter le script PowerShell extrait du bundle VMware CA, comme décrit dans cette procédure, confirmez que vous disposez des autorisations appropriées.
Cette procédure nécessite l'exécution du script VMware PowerShell. Vous disposez de quelques options pour exécuter le script VMware PowerShell, notamment l'exécution du script en tant que membre du groupe d'administrateurs d'entreprise. Les instructions suivantes vous suggèrent d'utiliser des autorisations moins puissantes, mais l'exécution du script en tant que membre du groupe d'administrateurs d'entreprise est à votre disposition. La suggestion ici consiste à confirmer que vous disposez des autorisations suivantes.
- Autorisations de contrôle total sur le conteneur « Services de clés publiques » dans Active Directory.
- Autorisations d'inscription sur le modèle de certificat « SubCA » dans Active Directory.

Procédure

Connectez-vous à une machine membre du domaine, chargez le fichier de bundle d'autorité de certification sur le serveur et décompressez le contenu du fichier.
Tant que vous disposez des autorisations appropriées, vous pouvez exécuter le script PowerShell à partir de n'importe quelle machine membre du domaine.
Ouvrez PowerShell, exécutez les commandes et répondez aux invites, comme décrit dans les sous-étapes suivantes.

Important : Si votre déploiement se compose de plusieurs contrôleurs de domaine ou que vous installez le bundle à partir d'une machine distante, la propagation du certificat d'autorité de certification à tous les contrôleurs de domaine peut prendre plusieurs heures. Vous pouvez réduire le délai d'exécution en exécutant 'gpupdate.exe /Target:Computer /Force' sur toutes les instances de contrôleurs de domaine.
1. Exécutez la commande suivante.
```
Unblock-File -Path Path to ps1 file
```
2. Exécutez le script PowerShell ps1 extrait du bundle d'autorité de certification et répondez aux invites.
  Par exemple, PS C:\ca\VmwAuthEngine-CA_1> .\VmwAuthEngine-CA_1.ps1
  Si vous avez ajouté votre configuration SSO comme autorité de certification intermédiaire, vous êtes invité à sélectionner une autorité de certification d'entreprise MSFT pour signer la CSR de VMware CA. Vous pouvez choisir une autorité de certification d'entreprise MSFT racine ou intermédiaire pour traiter la CSR de VMware CA. Le cas échéant, sélectionnez l'autorité de certification d'entreprise appropriée. Vous devez activer le modèle Autorité de certification subordonnée pour l'autorité de certification d'entreprise sélectionnée.
  
  Répondez à l'invite de confirmation requise suivante avec Y comme illustré.
```
Confirmation requise. Voulez-vous effectuer la publication dans AD ?
```
  N] No [Y] Yes [?] Help (default is "N"): Y

Résultats

Le résultat attendu est que le script s'exécute sans erreur. Cependant, si vous rencontrez le type d'erreur suivant, effectuez la suggestion de dépannage fournie.

2022-03-22T15:35:39 [INFO ] [VmwAuthEngine-CA-62351bb62ff3dd5966ad3575-1.ps1,67] certutil.exe -dspublish -f C:\SSO-C\Vmw
AuthEngine-CA-62351bb62ff3dd5966ad3575-1.crl
error : 2022-03-22T15:35:39 [ERROR][-2147016563][] Failed to publish base CRL
At C:\SSO-C\VmwAuthEngine-CA-62351bb62ff3dd5966ad3575-1.ps1:303 char:5
+     error $retCode "Failed to publish base CRL"
+     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Write-Error], WriteErrorException
    + FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,error

Exécutez la commande Get-ADRootDSE suivante et vérifiez la sortie pour savoir si le nom de domaine de configuration de l'autorité de certification utilisé pour créer la configuration SSO correspond aux éléments que la propriété suivante renvoie : configurationNamingContext.

C:\>
        Get-ADRootDSE -Server dnsDomainName

Par exemple, C:\> Get-ADRootDSE -Server horizonv2.local

Sortie :

configurationNamingContext       :  "CN=Configuration,DC=horizonv2,DC=local"
        ...other
        output fields...

Si le nom de domaine de configuration de l'autorité de certification ne correspond pas à la sortie, vous pouvez utiliser Horizon Universal Console pour modifier la configuration SSO, en particulier pour corriger le nom de domaine de la configuration de l'autorité de certification. Pour plus d'informations sur l'accès à la configuration SSO, reportez-vous à la section Ajouter une configuration SSO à Horizon Cloud Service - nouvelle génération pour une autorité de certification VMware CA. Pour modifier une configuration SSO, cliquez sur les trois points verticaux en regard de la configuration SSO et sélectionnez Modifier. Après avoir corrigé le nom de domaine, vous pouvez télécharger et publier le bundle d'autorité de certification mis à jour.

Que faire ensuite

Après avoir déployé Passerelle Horizon Edge, vérifiez que l'état de configuration SSO est défini correctement. Dans Horizon Universal Console, sélectionnez Ressources > Capacité, cliquez sur le nom de l'instance d'Passerelle Horizon Edge que vous avez configurée et modifiez la configuration pour activer l'option Utiliser SSO. Sélectionnez la configuration SSO pour l'associer à la Passerelle Horizon Edge. Enregistrez et vérifiez que l'état est correctement défini sur READY_TO_SERVE, ce qui indique que l'authentification SSO est fonctionnelle pour les utilisateurs finaux.