Configurer le Serveur de connexion Horizon pour l'authentification unique réelle

Vous pouvez utiliser l'interface de ligne de commande vdmutil pour configurer et activer ou désactiver l'authentification unique réelle.

Cette procédure est requise pour être exécutée sur un seul Serveur de connexion dans le cluster.

Important : Cette procédure utilise uniquement les commandes nécessaires pour activer l'authentification unique réelle. Pour voir une liste de toutes les options de configuration disponibles pour la gestion des configurations d'authentification unique réelle et voir une description de chaque option, reportez-vous à la section Référence de ligne de commande pour configurer l'authentification unique réelle.

Conditions préalables

Vérifiez que vous pouvez exécuter la commande en tant qu'utilisateur disposant du rôle Administrateurs. Vous pouvez utiliser Horizon Console pour affecter le rôle Administrateurs à un utilisateur. Reportez-vous à la section Configuration de l'administration déléguée basée sur des rôles.
Vérifiez que vous disposez du nom de domaine complet (FQDN) des serveurs suivants :
- Serveur de connexion
- Serveur d'inscription
  Pour plus d'informations, reportez-vous à la section Installer et configurer un serveur d'inscription.
- Autorité de certification d'entreprise
  Pour plus d'informations, reportez-vous à la section Configurer une autorité de certification d'entreprise.
Vérifiez que vous disposez du nom NETBIOS ou du FQDN du domaine.
Vérifiez que vous avez créé un modèle de certificat. Reportez-vous à la section Créer des modèles de certificat utilisés avec True SSO.
Vérifiez que vous avez créé un authentificateur SAML pour déléguer l'authentification à VMware Workspace ONE Access. Reportez-vous à la section Configurer l'authentification SAML pour l'utiliser avec True SSO.

Procédure

Sur un Serveur de connexion dans le cluster, ouvrez une invite de commande et entrez la commande pour ajouter un serveur d'inscription.
```
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --environment --add --enrollmentServer enroll-server-fqdn
```
Le serveur d'inscription est ajouté à la liste globale.
Entrez la commande pour répertorier les informations pour ce serveur d'inscription.
```
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --environment --list --enrollmentServer enroll-server-fqdn --domain domain-fqdn
```
La sortie indique le nom de la forêt, si le certificat du serveur d'inscription est valide, le nom et les détails du modèle de certificat que vous pouvez utiliser et le nom commun de l'autorité de certification. Pour configurer les domaines auxquels le serveur d'inscription peut se connecter, vous pouvez utiliser un paramètre de registre Windows sur le serveur d'inscription. L'option par défaut consiste à se connecter à tous les domaines d'approbation.
Important : Vous devrez spécifier le nom commun de l'autorité de certification à l'étape suivante.
Entrez la commande pour créer un connecteur d'authentification unique réelle, qui contiendra les informations de configuration, et activez le connecteur.
```
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --create --connector --domain domain-fqdn --template TrueSSO-template-name --primaryEnrollmentServer enroll-server-fqdn --certificateServer ca-common-name --mode enabled
```
Dans cette commande, TrueSSO-template-name est le nom du modèle indiqué dans la sortie de l'étape précédente et ca-common-name est le nom commun de l'autorité de certification d'entreprise indiqué dans cette sortie.
Le connecteur d'authentification unique réelle est activé sur un pool ou un cluster pour le domaine spécifié. Pour désactiver l'authentification unique réelle au niveau du pool, exécutez vdmUtil --certsso --edit --connector <domain> --mode disabled. Pour désactiver l'authentification unique réelle pour une machine virtuelle individuelle, vous pouvez utiliser GPO (vdm_agent.adm).
Entrez la commande pour découvrir les authentificateurs SAML qui sont disponibles.
```
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --list --authenticator
```
Des authentificateurs sont créés lorsque vous configurez l'authentification SAML entre VMware Workspace ONE Access et un Serveur de connexion, à l'aide d'Horizon Console.
La sortie indique le nom de l'authentificateur et si l'authentification unique réelle est activée.
Important : Vous devrez spécifier le nom de l'authentificateur à l'étape suivante.
Entrez la commande pour permettre à l'authentificateur d'utiliser le mode Authentification unique réelle.
```
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --authenticator --edit --name authenticator-fqdn --truessoMode {ENABLED|ALWAYS}
```
Pour --truessoMode, utilisez ENABLED si vous voulez que l'authentification unique réelle soit utilisée uniquement si aucun mot de passe n'a été fourni lorsque l'utilisateur s'est connecté à VMware Workspace ONE Access. Dans ce cas, si un mot de passe a été utilisé et mis en cache, le système utilisera le mot de passe. Définissez --truessoMode sur ALWAYS si vous voulez que l'authentification unique réelle soit utilisée même si un mot de passe a été fourni lorsque l'utilisateur s'est connecté à VMware Workspace ONE Access.

Que faire ensuite

Dans Horizon Console, vérifiez l'état de santé de la configuration d'authentification unique réelle. Pour plus d'informations, reportez-vous à la section Utilisation du tableau de bord pour résoudre des problèmes liés à True SSO.

Pour configurer des options avancées, utilisez les paramètres avancés Windows sur le système approprié. Reportez-vous à la section Paramètres de configuration avancée pour l'authentification unique réelle.