Pour Horizon Cloud Service - next-gen, cette page décrit les éléments requis pour utiliser la fonctionnalité True SSO avec un dispositif Horizon Edge dans Microsoft Azure.

Vous êtes peut-être déjà familiarisé avec l'utilisation de True SSO dans vos déploiements d'Horizon antérieurs, tels qu'Horizon 8 sur site ou un déploiement d'Horizon Cloud on Microsoft Azure de première génération.

Pour un environnement Horizon Cloud Service - next-gen, les éléments requis pour utiliser la fonctionnalité True SSO afin de fournir à vos utilisateurs finaux un accès Single Sign-On (SSO) à leurs postes de travail et applications sont une autorité de certification d'entreprise Microsoft et des modèles de certificat spécifiquement configurés dans cette autorité de certification d'entreprise Microsoft.

Autorité de certification d'entreprise Microsoft

L'utilisation de True SSO nécessite l'autorité de certification d'entreprise Microsoft.

Le terme Autorité de certification d'entreprise Microsoft fait référence à une autorité de certification Microsoft (Microsoft CA) exécutée en mode entreprise. Comme True SSO nécessite la configuration d'entreprise, la documentation de True SSO utilise l'expression Autorité de certification d'entreprise Microsoft.

Info-bulle : Dans les environnements de production, il est recommandé de disposer d'au moins deux (2) autorités de certification de ce type pour assurer la redondance et l'équilibrage de charge.

Si une autorité de certification n'est pas déjà configurée, vous devez ajouter le rôle Services de certificats Active Directory (AD CS) à un serveur Microsoft Windows et le configurer en tant qu'autorité de certification d'entreprise.

Dans la procédure Microsoft de configuration d'une autorité de certification d'entreprise Microsoft, vous installez le rôle Services de certificats Active Directory (AD CS). Le processus de configuration d'AD CS vous donne le choix entre l'exécution de l'autorité de certification en tant qu'autorité de certification d'entreprise ou en tant qu'autorité de certification autonome.

Configurer les modèles de certificat requis pour True SSO avec Horizon Cloud

Spécifiez les paramètres suivants, y compris la taille de clé minimale pour le certificat de signature Windows Server pour le modèle True SSO. Pour un certificat de signature Windows Server, la taille de clé minimale requise est de 2 048. La spécification d'une taille de clé minimale inférieure à 2 048 entraîne l'échec de l'authentification.

Pour le modèle True SSO, spécifiez les paramètres suivants dans l'onglet Chiffrement.

  1. Pour Catégorie de fournisseur, sélectionnez Fournisseur de stockage de clés.
  2. Pour Nom d'algorithme, sélectionnez RSA.
  3. Pour Taille de clé minimale, spécifiez 2 048.
  4. Pour Choisir les fournisseurs de chiffrement pouvant être utilisés pour les demandes, sélectionnez Les demandes peuvent utiliser n'importe quel fournisseur disponible sur l'ordinateur du sujet.
  5. Pour Demande de hachage, spécifiez SHA384.
  6. Cliquez sur Enregistrer.

Une capture d'écran partielle s'affiche ci-dessous, ce qui illustre la valeur de taille de clé minimale de 2 048.

Affichage d'une taille de clé minimale de 2 048 dans l'onglet Chiffrement, comme décrit dans le texte.

Activer le traitement non persistant des certificats

Pour chaque Autorité de certification d'entreprise Microsoft utilisée par True SSO, il est recommandé d'activer le traitement non persistant des certificats.

Si le traitement des certificats non persistant n'est pas activé sur l'Autorité de certification d'entreprise Microsoft, les certificats True SSO restent stockés dans la base de données de l'autorité de certification d'entreprise, ce qui a les effets suivants :

  • La base de données de l'autorité de certification d'entreprise augmente inutilement rapidement. True SSO demande un nouveau certificat pour chaque nouvelle connexion.
  • Incidence sur les performances, car l'autorité de certification d'entreprise manque d'espace disque à mesure que sa base de données croît.

Comme décrit dans l'article 2149312 de la base de connaissances VMware, pour éviter les problèmes ci-dessus, il est recommandé d'activer le paramètre DBFLAGS_ENABLEVOLATILEREQUESTS. Reportez-vous à l'article de la base de connaissances pour connaître les étapes à suivre.

Note : En plus de décrire la recommandation d'activation de DBFLAGS_ENABLEVOLATILEREQUESTS, cet article de la base de connaissances décrit également l'utilisation d'un autre paramètre, CRLF_REVCHECK_IGNORE_OFFLINE. L'activation du paramètre CRLF_REVCHECK_IGNORE_OFFLINE dépend de votre architecture PKI. L'activation du paramètre CRLF_REVCHECK_IGNORE_OFFLINE n'est pas une exigence stricte pour True SSO et Horizon Cloud.

Configurer les modèles de certificat requis pour True SSO avec Horizon Cloud

La fonctionnalité True SSO nécessite la configuration des modèles de certificat sur l'Autorité de certification d'entreprise Microsoft que vous fournissez pour une utilisation avec True SSO et votre dispositif Horizon Edge.

Les modèles de certificat constituent la base des certificats générés par l'autorité de certification d'entreprise Microsoft pour une utilisation avec True SSO.

Les comptes de service d'inscription nécessitent des autorisations de lecture et d'inscription sur les deux modèles, le modèle TrueSsoEnrollmentAgent et le modèle TrueSso.

Conditions préalables

Note : Les étapes suivantes ont été effectuées à l'aide d'une autorité de certification d'entreprise Microsoft exécutant le système d'exploitation Microsoft Windows Server 2016 Standard. Les captures d'écran dans les étapes ont été effectuées à partir de ce système. Par conséquent, les étiquettes mentionnées dans les étapes et les captures d'écran reflètent ce système d'exploitation. Si votre autorité de certification d'entreprise Microsoft exécute une version de système d'exploitation différente de Windows Server, vous pouvez voir des différences mineures dans votre système par rapport aux étiquettes et captures d'écran ci-dessous.

Procédure

  1. Créez un groupe de sécurité universel dans Active Directory.
    Créer ce groupe vous permet de disposer d'un groupe de sécurité unique auquel vous pouvez attribuer les autorisations requises pour émettre des certificats pour le compte des utilisateurs. Tous les comptes de service d'inscription peuvent donc hériter de ces autorisations requises en devenant un membre de ce groupe.
    1. Ouvrez l'outil Utilisateurs et ordinateurs Active Directory dans le menu Outils du Gestionnaire de serveur ou en exécutant la commande dsa.msc.
    2. Dans l'outil Utilisateurs et ordinateurs Active Directory, créez un groupe pour les comptes d'inscription de domaine dont True SSO a besoin.
      Donnez au groupe le nom de votre choix, par exemple Comptes d'inscription True SSO. Définissez également :
      Paramètre Valeur
      Portée du groupe Universel
      Type de groupe Sécurité
    3. Cliquez sur OK pour enregistrer le nouveau groupe.
    4. Ajoutez ensuite les comptes d'inscription de domaine en tant que membres de ce nouveau groupe.
      Ajoutez chaque compte de service d'inscription de domaine qui vous servira pour utiliser True SSO.

      Ces comptes sont les mêmes que ceux que vous avez ajoutés dans le flux de l'interface utilisateur d'enregistrement de domaine en utilisant Horizon Universal Console, comme décrit dans la section Définition de votre domaine Active Directory.

  2. Configurez le modèle de certificat d'agent d'inscription de True SSO à l'aide de l'outil Autorité de certification et de sa console de modèles de certificat.
    1. Ouvrez l'outil Autorité de certification.
      Vous pouvez ouvrir cet outil en utilisant le menu Outils du gestionnaire de serveur, les outils d'administration de Windows du menu Démarrer ou en exécutant certsrv.msc.
    2. Dans l'arborescence de gauche de l'outil Autorité de certification, développez le nom de l'autorité de certification locale jusqu'à ce que le dossier Modèles de certificat s'affiche.
    3. Ouvrez la console des modèles de certificat en cliquant avec le bouton droit sur le dossier Modèles de certificat et en sélectionnant Gérer.
      La capture d'écran suivante illustre cette étape dans un système exécutant Windows Server 2016.
      Capture d'écran du menu Gérer dans le dossier Modèles de certificat de l'outil Autorité de certification
      La console des modèles de certificat s'affiche.
    4. Cliquez avec le bouton droit sur le modèle Agent d'inscription répertorié, puis sélectionnez Dupliquer le modèle.
      La capture d'écran suivante illustre cette étape dans un système exécutant Windows Server 2016.
      Capture d'écran du menu de gauche sur l'agent d'inscription et l'option Dupliquer le modèle
      La fenêtre Propriétés du nouveau modèle s'affiche.
    5. Entrez les informations dans les onglets de la fenêtre, comme décrit dans les sections suivantes.
      Note : Les captures d'écran ci-dessous ont été effectuées à l'aide d'une autorité de certification d'entreprise Microsoft exécutant le système d'exploitation Microsoft Windows Server 2016 Standard. Si votre autorité de certification d'entreprise Microsoft exécute une version de système d'exploitation différente de Windows Server, vous pouvez voir des différences mineures dans l'interface utilisateur de votre système Windows.
      Onglet Général
      Important : Utilisez uniquement des caractères ASCII dans les noms de vos modèles de True SSO. En raison de ce problème connu, si les noms de modèles de True SSO contiennent des caractères non-ASCII ou ASCII étendus, vous ne pouvez pas configurer True SSO avec votre environnement Horizon Cloud.
      Nom complet du modèle
      Entrez un nom qui indique que ce nouveau modèle correspond à l'agent d'inscription True SSO, par exemple Agent d'inscription SSO.
      Nom du modèle
      Lorsque vous tapez le Nom complet du modèle précédent, l'outil entre automatiquement ce nom ici pour qu'il corresponde à votre entrée du Nom complet du modèle sans espace.

      Par exemple, si vous avez entré Agent d'inscription True SSO dans Nom complet du modèle, l'outil définit automatiquement ce Nom de modèle sur TrueSsoEnrollmentAgent.

      La capture d'écran suivante illustre cet onglet après avoir entré le Nom complet du modèle comme Agent d'inscription True SSO.


      Capture d'écran de l'onglet Général avec Agent d'inscription True SSO entré pour Nom complet du modèle
      Onglet Sécurité
      Dans l'onglet Sécurité, attribuez les autorisations Read et Enroll au nouveau groupe de sécurité universel que vous avez créé pour les comptes d'inscription True SSO.
      1. Dans la section Noms de groupes ou d'utilisateurs, ajoutez le groupe que vous avez créé pour les comptes d'inscription True SSO.
      2. Sélectionnez ce groupe et dans la section Autorisations, sélectionnez Autoriser pour les autorisations Read et Enroll.

      Capture d'écran illustrant l'onglet Sécurité après l'ajout du groupe de sécurité universel et l'ensemble des autorisations.
    6. Enregistrez le nouveau modèle Agent d'inscription True SSO en cliquant sur OK dans la fenêtre Propriétés du nouveau modèle.
    Le nouveau modèle Agent d'inscription True SSO est répertorié dans la console des modèles de certificat, affiché à l'aide du Nom complet du modèle que vous lui avez donné et avec l'objectif affiché d'agent de demande de certificat.

    La capture d'écran suivante illustre le nouveau modèle répertorié.


    Capture d'écran du nouveau modèle d'inscription True SSO dans la liste et une flèche verte pointant dessus.
  3. Dans la même console de modèles de certificat, configurez le modèle d'ouverture de session de carte à puce True SSO.
    1. Dans la console des modèles de certificat, cliquez avec le bouton droit sur le modèle Ouverture de session par carte à puce répertorié et sélectionnez Dupliquer le modèle.
      La capture d'écran suivante illustre cette étape dans un système exécutant Windows Server 2016.
      Capture d'écran illustrant le menu du modèle d'ouverture de session par carte à puce et l'option Dupliquer le modèle.
      La fenêtre Propriétés du nouveau modèle s'affiche.
    2. Entrez les informations dans les onglets de la fenêtre, comme décrit dans les sections suivantes.
      Attention :

      Assurez-vous de suivre ces points, sinon le système vous empêchera de définir les valeurs requises, vous forçant à annuler et à répéter vos étapes. Cette exigence est un comportement du système Windows.

      • Ne cliquez pas sur Appliquer ni OK dans la fenêtre Propriétés avant d'avoir procéder aux réglages requis dans les trois onglets comme décrit au point suivant, dans l'ordre spécifique déterminé.

        Si vous ne suivez pas ces instructions de configuration des paramètres dans les trois onglets comme décrit ci-dessous avant d'appliquer ou d'enregistrer dans la fenêtre, Windows force la Catégorie du fournisseur de l'onglet chiffrement sur lecture seule, et le paramètre ne peut pas être modifié ultérieurement par le paramètre Fournisseur de stockage de clés requis par True SSO.

        Par conséquent, vous devez vous assurer que vous effectuez la configuration dans les trois onglets suivants dans l'ordre approprié indiqué ci-dessous avant d'appliquer ou d'enregistrer dans la fenêtre.

      • Configurez ces onglets en premier et configurez-les dans cet ordre précis :
        1. Onglet Compatibilité
        2. Onglet Général
        3. Onglet Chiffrement

      L'ordre est déterminé ainsi, car lorsque vous modifiez les paramètres dans l'onglet Compatibilité, le système met dynamiquement les options appropriées à disposition dans les autres onglets. Si vous appliquez ou enregistrez dans la fenêtre avant de mettre à jour l'onglet Chiffrement, vous ne pourrez pas définir la configuration requise par True SSO. Par conséquent, assurez-vous de configurer les paramètres dans les onglets comme indiqué ci-dessus et ci-dessous avant d'appliquer ou d'enregistrer dans la fenêtre.

      Onglet Compatibilité
      Note : Vous devez effectuer ces sélections dans l'onglet Compatibilité afin que les options appropriées soient disponibles dans l'onglet Chiffrement.
      • Cochez la case Afficher les modifications résultantes.
      • Autorité de certification : le système présente les choix que Microsoft Windows met à disposition pour ce paramètre. Pour répondre aux exigences de True SSO, sélectionnez l'option Windows Server 2008 R2 ou l'une des versions ultérieures présentées dans le menu.
      • Destinataire du certificat : le système présente les options que Microsoft Windows met à disposition pour ce paramètre. Pour répondre aux exigences de True SSO, sélectionnez l'option Windows 7/Server 2008 R2 ou l'une des versions ultérieures présentées dans le menu.

      Capture d'écran de l'onglet Compatibilité.
      Onglet Général
      Important : Utilisez uniquement des caractères ASCII dans les noms de vos modèles de True SSO. En raison de ce problème connu, si les noms de modèles de True SSO contiennent des caractères non-ASCII ou ASCII étendus, vous ne pouvez pas configurer True SSO avec votre environnement Horizon Cloud.
      Nom complet du modèle
      Entrez un nom qui indique que ce nouveau modèle est destiné à être utilisé par True SSO, par exemple True SSO.
      Nom du modèle
      Lorsque vous tapez le Nom complet du modèle précédent, l'outil entre automatiquement ce nom ici pour qu'il corresponde à votre entrée du Nom complet du modèle sans espace.

      Par exemple, si vous avez entré True SSO dans Nom complet du modèle, l'outil définit automatiquement ce Nom du modèle sur TrueSSO.

      Période de validité
      1 heure (une heure)
      Période de renouvellement
      0 semaine (zéro semaine)

      La capture d'écran suivante illustre cet onglet après avoir entré True SSO comme Nom complet du modèle.


      Capture d'écran de l'onglet Général après avoir entré True SSO dans le champ Nom complet du modèle.
      Onglet Chiffrement
      • Catégorie de fournisseurs : fournisseur de stockage de clés
      • Nom d'algorithme : RSA
      • Taille de clé minimale : 2048
      • Cochez la case d'option Les demandes peuvent utiliser n'importe quel fournisseur disponible dans l'ordinateur du sujet
      • Demande de hachage : SHA384

      Capture d'écran de l'onglet Chiffrement
      Onglet Traitement de la demande
      • Objectif : ouverture de session par signature et carte à puce
      • Cochez la case Pour le renouvellement automatique des certificats par carte à puce, utilisez la clé existante si une nouvelle clé ne peut pas être créée
      • Cochez la case d'option Inviter l'utilisateur lors de l'inscription.

      Capture d'écran de l'onglet Traitement de la demande
      Onglet Nom du sujet
      • Cochez la case d'option Créer à partir de ces informations Active Directory.
      • Format du nom du sujet : nom unique
      • Cochez la case Nom principal d'utilisateur (UPN).

      Capture d'écran de l'onglet Nom du sujet
      Onglet Serveur
      Cochez la case Ne pas stocker les certificats et les demandes dans la base de données de l'autorité de certification.
      Important : Assurez-vous de décocher la deuxième case intitulée Ne pas inclure les informations de révocation dans les certificats émis.

      Lorsque vous cochez la première case, le système coche automatiquement Ne pas inclure les informations de révocation dans les certificats émis.

      Veillez à décochez cette deuxième case Ne pas inclure les informations de révocation dans les certificats émis.


      Capture d'écran de l'onglet Serveur
      Onglet Exigences d'émission
      • Nécessite les informations suivantes pour l'inscription : sélectionnez Ce nombre de signatures autorisées, puis entrez 1.
      • Type de stratégie requis dans la signature : stratégie d'application
      • Politique d'application : agent de demande de certificat
      • Nécessite les informations suivantes pour la réinscription : certificat existant valide

      Capture d'écran de l'onglet Exigences d'émission avec des flèches vertes vers les paramètres clés.
      Onglet Sécurité
      Dans l'onglet Sécurité, attribuez les autorisations Read et Enroll au nouveau groupe de sécurité universel que vous avez créé pour les comptes d'inscription True SSO.
      1. Dans la section Noms de groupes ou d'utilisateurs, ajoutez le groupe que vous avez créé pour les comptes d'inscription True SSO.
      2. Sélectionnez ce groupe et dans la section Autorisations, sélectionnez Autoriser pour les autorisations Read et Enroll.

      Capture d'écran illustrant l'onglet Sécurité après l'ajout du groupe de sécurité universel et l'ensemble des autorisations.
    3. Terminez l'enregistrement de ce nouveau modèle True SSO en cliquant sur OK dans la fenêtre Propriétés du nouveau modèle.
    Le nouveau modèle True SSO est répertorié dans la console des modèles de certificat et affiché à l'aide du Nom complet du modèle que vous lui avez donné et avec l'objectif affiché d'authentification client et d'ouverture de session par carte à puce.

    La capture d'écran suivante illustre le nouveau modèle répertorié.


    Capture d'écran illustrant le modèle True SSO affiché dans la liste
  4. Vous pouvez maintenant fermer la console des modèles de certificat et revenir à l'outil Autorité de certification.
  5. Émettez le modèle pour True SSO.
    1. Dans l'outil Autorité de certification, cliquez avec le bouton droit sur le dossier Modèles de certificat et sélectionnez Nouveau > Modèle de certificat à émettre.
      La capture d'écran suivante illustre cette étape dans un système exécutant Windows Server 2016.
      Capture d'écran illustrant l'option de menu Modèle de certificat à émettre et des flèches vertes pointant vers le dossier Modèles de certificat et le menu Nouveau.
      La fenêtre Activer les modèles de certificat s'affiche.
    2. Sélectionnez le modèle True SSO que vous avez créé lors des étapes précédentes et cliquez sur OK.
      La capture d'écran suivante illustre cette étape dans un système exécutant Windows Server 2016.
      Capture d'écran de la fenêtre Activer les modèles de certificat avec une flèche verte pointant vers le modèle True SSO sélectionné dans la liste.
    Important : Vous devez effectuer ces actions sur chaque instance d'autorité de certification d'entreprise Microsoft que vous prévoyez d'utiliser pour la fonctionnalité True SSO.
  6. Répétez la même étape d'émission pour le modèle d'agent d'inscription True SSO.
    1. Dans l'outil Autorité de certification, cliquez avec le bouton droit sur le dossier Modèles de certificat et sélectionnez Nouveau > Modèle de certificat à émettre.

      Capture d'écran illustrant l'option de menu Modèle de certificat à émettre et des flèches vertes pointant vers le dossier Modèles de certificat et le menu Nouveau.
      La fenêtre Activer les modèles de certificat s'affiche.
    2. Sélectionnez le modèle Agent d'inscription True SSO que vous avez créé lors des étapes précédentes et cliquez sur OK.
      La capture d'écran suivante illustre cette étape dans un système exécutant Windows Server 2016.
      Capture d'écran illustrant la fenêtre Activer les modèles de certificat et une flèche verte pointant vers le modèle Agent d'inscription True SSO dans la liste.
      Important : Vous devez effectuer ces actions sur chaque instance d'autorité de certification Microsoft Enterprise que vous prévoyez d'utiliser pour True SSO.
    L'autorité de certification d'entreprise Microsoft est désormais configurée avec les modèles de certificat requis pour être utilisée avec la fonctionnalité True SSO.