Pour fournir à vos utilisateurs finaux un accès Single Sign-On (SSO) à leurs postes de travail et applications à l'aide d'une autorité de certification (CA) VMware, utilisez VMware CA pour délivrer des certificats de carte à puce de courte durée pour SSO. Pour des raisons de transparence et de sécurité, le processus inclut un script PowerShell qui utilise des utilitaires Microsoft établis.
La liste suivante fournit des informations sur la configuration de VMware CA. Lorsque vous configurerez SSO, comme décrit dans les rubriques qui suivent, vous rencontrerez un grand nombre de ces mêmes détails contextuels. Par exemple, Ajouter une configuration SSO à Horizon Cloud Service - nouvelle génération pour une autorité de certification VMware CA fournit des instructions pour le téléchargement du bundle VMware CA. Ce bundle contient le script VMware PowerShell que vous exécuterez pour configurer SSO, comme indiqué dans Publier le bundle VMware SSO CA dans la forêt Active Directory.
- Pour activer la fonctionnalité requise par SSO avec une instance de VMware CA, votre forêt Active Directory doit présenter l'une des situations suivantes :
- La forêt Active Directory dispose d'au moins une autorité de certification Microsoft Enterprise en ligne configurée à l'intérieur, auquel cas les résultats suivants s'affichent.
- L'autorité de certification Microsoft Enterprise publie automatiquement ses certificats d'autorité de certification et ses listes de révocation de certificats (CRL) dans la forêt.
- Les contrôleurs de domaine sont inscrits automatiquement pour les certificats.
- La forêt Active Directory utilise une autorité de certification tierce ou une autorité de certification Microsoft autonome, auquel cas les conditions suivantes doivent s'appliquer.
- Tous les certificats d'autorité de certification doivent être publiés manuellement dans la forêt à l'aide d'un utilitaire tel que certutil.
- Les informations de révocation doivent toujours être disponibles sur HTTP.
- Les contrôleurs de domaine doivent être émis avec des certificats autorisant l'authentification client, l'authentification du serveur, l'ouverture de session par carte à puce et l'authentification KDC.
- La forêt Active Directory dispose d'au moins une autorité de certification Microsoft Enterprise en ligne configurée à l'intérieur, auquel cas les résultats suivants s'affichent.
- Vous pouvez configurer VMware CA comme autorité de certification racine ou intermédiaire. Toutefois, il est recommandé de sélectionner une autorité de certification intermédiaire pour l'infrastructure à clé publique (PKI, Public Key Infrastructure).
- Si vous utilisez une autorité de certification racine, le certificat VMware CA est valide pendant 5 ans.
- Si vous utilisez une autorité de certification intermédiaire, l'autorité de certification émettrice détermine la période de validité du certificat VMware CA.
- Si vous utilisez une autorité de certification intermédiaire, le certificat VMware CA peut être signé par une autorité de certification Microsoft ou par n'importe quelle autorité de certification tierce.
- Si vous utilisez cette dernière, assurez-vous que les machines membres du domaine ont accès à tous les certificats et aux informations de révocation nécessaires à la validation du certificat VMware CA.
- Pour que l'instance de VMware CA soit approuvée, vous devez publier le bundle VMware CA à différents emplacements de la forêt Active Directory.
- Publiez le bundle VMware CA en exécutant le script VMware PowerShell en tant qu'administrateur disposant d'autorisations appropriées sur une machine membre du domaine.
- Vous ne devez utiliser que le script VMware PowerShell. Active Directory réplique les données PKI publiées sur tous les contrôleurs de domaine et postes de travail de tous les domaines de la forêt Active Directory. Vous pouvez utiliser un utilitaire tel que Repadmin dans des déploiements d'Active Directory complexes pour garantir une réplication rapide du contexte d'attribution de nom de configuration entre des contrôleurs de domaine dans différents domaines ou sites avant de tenter SSO.
- Le script PowerShell utilise des utilitaires Microsoft certreq et certutil pour une transparence complète. Avant d'exécuter le script PowerShell, vous pouvez le lire pour connaître précisément ses fonctions.