Lorsque vous configurez SSO pour votre instance d'Horizon Cloud, vous devez effectuer les tâches appropriées ci-après, en fonction de la configuration de votre autorité de certification VMware (CA).

Résumé des procédures qui suivent

Lorsque vous créez un bundle SSO, utilisez le script PowerShell pour publier le bundle dans la forêt pour laquelle le bundle a été créé. Cette action garantit que l'authentification unique SSO est fonctionnelle pour la forêt du bundle.

Pour que SSO soit compatible avec des forêts d'approbation supplémentaires, des certificats racines et intermédiaires provenant du chemin de certification de VMware CA doivent être publiés dans la forêt d'approbation, comme suit.

  • Les certificats d'autorité de certification racine doivent être publiés sur la forêt d'approbation.
  • Les certificats d'autorité de certification intermédiaire doivent être publiés sur la forêt d'approbation.
  • Les certificats d'autorité de certification racine doivent être publiés sur le magasin NTAuth.
  • Les informations de révocation doivent toujours être disponibles sur HTTP pour l'intégralité de la chaîne de certificats.

Ajouter le certificat racine aux autorités de certification racine approuvées

Le certificat racine terminant le chemin de certification VMware CA doit être ajouté à la stratégie de groupe Autorités de certification racines de confiance dans Active Directory.

Procédure

  1. Dans toutes les forêts Active Directory qui font partie de la configuration d'approbation, ajoutez le certificat racine aux autorités de certification racine de confiance.
    1. Sélectionnez Démarrer > Outils d'administration > Gestion de stratégie de groupe.
    2. Développez votre domaine, cliquez avec le bouton droit sur Stratégie de domaine par défaut, puis cliquez sur Modifier.
  2. Développez la section Configuration ordinateur et ouvrez le dossier Paramètres Windows\Paramètres de sécurité\Clé publique.
  3. Cliquez avec le bouton droit sur Autorités de certification racines de confiance et sélectionnez Importer.
  4. Suivez les invites de l'assistant pour importer le certificat racine (par exemple, rootCA.cer) et cliquez sur OK.
  5. Fermez la fenêtre Stratégie de groupe.

Résultats

Tous les systèmes du domaine contiennent désormais une copie du certificat racine dans leur magasin racine approuvé.

Que faire ensuite

Si une autorité de certification (CA) intermédiaire émet vos certificats d'ouverture de session par carte à puce ou de contrôleur de domaine, ajoutez le certificat intermédiaire à la stratégie de groupe Autorités de certification intermédiaires dans Active Directory. Reportez-vous à la section Ajouter un certificat intermédiaire à des autorités de certification intermédiaires.

Ajouter un certificat intermédiaire à des autorités de certification intermédiaires

Vous devez ajouter tous les certificats intermédiaires du chemin de certification VMware CA à la stratégie de groupe Autorités de certification intermédiaires dans Active Directory.

Procédure

  1. Dans toutes les forêts Active Directory qui font partie de la configuration de l'approbation, ajoutez tous les certificats intermédiaires faisant partie de la chaîne de certificats VMware CA aux autorités de certification intermédiaires. Sur le serveur Active Directory, accédez au plug-in Gestion de stratégie de groupe et effectuez les étapes suivantes :
    1. Sélectionnez Démarrer > Outils d'administration > Gestion de stratégie de groupe.
    2. Développez votre domaine, cliquez avec le bouton droit sur Stratégie de domaine par défaut et cliquez sur Modifier.
  2. Développez la section Configuration ordinateur et ouvrez la stratégie de Paramètres Windows\Paramètres de sécurité\Clé publique.
  3. Cliquez avec le bouton droit sur Autorités de certification intermédiaires et sélectionnez Importer.
  4. Suivez les invites de l'assistant pour importer le certificat intermédiaire (par exemple, intermediateCA.cer) et cliquez sur OK.
  5. Fermez la fenêtre Stratégie de groupe.

Résultats

Tous les systèmes du domaine contiennent désormais une copie du certificat intermédiaire dans leur magasin d'autorité de certification intermédiaire.

Ajouter le certificat racine au magasin Enterprise NTAuth

Vous devez ajouter le certificat racine terminant le chemin de certification VMware CA au magasin Enterprise NTAuth dans Active Directory.

Procédure

  • Sur votre serveur Active Directory, utilisez la commande certutil pour publier le certificat dans le magasin Enterprise NTAuth.
    Par exemple : certutil -dspublish -f path_to_root_CA_cert NTAuthCA

Résultats

L'autorité de certification est désormais approuvée pour émettre des certificats de ce type.