Configurer l'authentification SAML pour l'utiliser avec True SSO

Avec la fonctionnalité de True SSO, les utilisateurs peuvent se connecter à VMware Workspace ONE Access, à l'aide de l'authentification par carte à puce, RADIUS ou RSA SecurID. Ils ne sont plus invités à entrer leurs informations d'identification Active Directory, même lorsqu'ils lancent une application ou un poste de travail distant pour la première fois.

Avec les versions antérieures, l'authentification unique fonctionnait en invitant les utilisateurs à entrer leurs informations d'identification Active Directory la première fois qu'ils lançaient un poste de travail distant ou une application publiée s'ils ne s'étaient pas précédemment authentifiés avec leurs informations d'identification Active Directory. Les informations d'identification étaient ensuite mises en cache pour que les lancements suivants ne demandent pas aux utilisateurs d'entrer de nouveau leurs informations d'identification. Avec True SSO, des certificats de courte durée sont créés et utilisés à la place des informations d'identification AD.

Même si le processus de configuration de l'authentification SAML pour VMware Workspace ONE Access n'a pas changé, une étape supplémentaire a été ajoutée pour True SSO. Vous devez configurer VMware Workspace ONE Access pour que True SSO soit activée.

Note : Si votre déploiement inclut plusieurs instances du Serveur de connexion, vous devez associer l'authentificateur SAML à chaque instance.

Conditions préalables

Vérifiez que l'authentification unique est activée comme paramètre global. Dans Horizon Console, sélectionnez Paramètres > Paramètres généraux et vérifiez que Authentification unique (SSO) est défini sur Activé.
Vérifiez qu'VMware Workspace ONE Access est installé et configuré. Reportez-vous à la documentation de VMware Workspace ONE Access, disponible à l'adresse suivante : https://docs.vmware.com/fr/VMware-Workspace-ONE-Access/index.html.
Vérifiez que le certificat racine de l'autorité de certification de signature pour le certificat du serveur SAML est installé sur l'hôte du serveur de connexion. VMware recommande de ne pas configurer d'authentificateurs SAML pour utiliser des certificats auto-signés. Consultez la rubrique « Importer un certificat racine et des certificats intermédiaires dans un magasin de certificats Windows » du chapitre « Configuration de certificats SSL pour des serveurs Horizon » dans le document Installation et mise à niveau d'Horizon 8.
Notez le FQDN de l'instance du serveur VMware Workspace ONE Access.

Procédure

Dans Horizon Console, sélectionnez Paramètres > Serveurs.
Dans l'onglet Serveurs de connexion, sélectionnez une instance du serveur à associer à l'authentificateur SAML et cliquez sur Modifier.
Dans l'onglet Authentification, dans le menu déroulant Délégation de l'authentification à VMware Horizon (authentificateur SAML 2.0), sélectionnez Autorisée ou Requise.
Vous pouvez configurer chaque instance du Serveur de connexion dans votre déploiement pour disposer de paramètres d'authentification SAML différents, adaptés à vos besoins.
Cliquez sur Gérer des authentificateurs SAML, puis sur Ajouter.

Configurez l'authentificateur SAML dans la boîte de dialogue Ajouter un authentificateur SAML 2.0.

Option	Description
Étiquette	Vous pouvez utiliser le FQDN de l'instance du serveur VMware Workspace ONE Access.
Description	(Facultatif) Vous pouvez utiliser le FQDN de l'instance du serveur VMware Workspace ONE Access.
URL de métadonnées	URL pour récupérer toutes les informations requises afin d'échanger des informations SAML entre le fournisseur d'identité SAML et l'instance d'Horizon Connection Server. Dans l'URL https://<NOM DE VOTRE OCCURRENCE HORIZON SERVER>/SAAS/API/1.0/GET/metadata/idp.xml, cliquez sur <NOM DE VOTRE OCCURRENCE HORIZON SERVER> et remplacez-le par le FQDN de l'instance du serveur VMware Workspace ONE Access.
URL d'administration	URL pour accéder à la console d'administration du fournisseur d'identité SAML (instance VMware Workspace ONE Access). Cette URL a le format `https://<Identity-Manager-FQDN>:8443.`

Cliquez sur OK pour enregistrer la configuration de l'authentificateur SAML.
Si vous avez fourni des informations valides, vous devez accepter le certificat auto-signé (non recommandé) ou utiliser un certificat approuvé pour Horizon 8 et VMware Workspace ONE Access.
Le menu déroulant Authentificateur SAML 2.0 affiche l'authentificateur récemment créé qui est maintenant défini comme l'authentificateur sélectionné.
Dans la section Santé du système du tableau de bord d'Horizon Console, cliquez sur Afficher et sélectionnez Autres composants > Authentificateurs SAML 2.0, sélectionnez l'authentificateur SAML que vous avez ajouté, puis vérifiez les détails.
Si la configuration aboutit, la santé de l'authentificateur est représentée par la couleur verte. La santé de l'authentificateur peut s'afficher en rouge si le certificat n'est pas approuvé, si le service VMware Workspace ONE Access n'est pas disponible ou si l'URL des métadonnées n'est pas valide. Si le certificat n'est pas approuvé, vous pourrez peut-être cliquer sur Vérifier pour valider et accepter le certificat.
Connectez-vous à la console d'administration de VMware Workspace ONE Access, accédez au pool de postes de travail à partir de la page Catalogue > Applications virtuelles et cochez la case True SSO activée.

Que faire ensuite

Allongez la période d'expiration des métadonnées du Serveur de connexion pour que les sessions à distance ne se terminent pas après seulement 24 heures. Reportez-vous à la section Modifier la période d’expiration des métadonnées du fournisseur de services sur le Serveur de connexion.
Utilisez l'interface de ligne de commande vdmutil pour configurer True SSO sur un serveur de connexion. Reportez-vous à la section Configurer le Serveur de connexion Horizon pour l'authentification unique réelle.

Pour plus d'informations sur le fonctionnement de l'authentification SAML, reportez-vous à la section Utilisation de l'authentification SAML.