vdmutil コマンドライン インターフェイスを使用して、True SSO の構成や有効化/無効化を行うことができます。

この手順は、クラスタ内の 1 つの接続サーバでのみ実行する必要があります。

重要: この手順では、True SSO を有効にするために必要なコマンドのみを使用します。True SSO 構成の管理に使用できるすべての構成オプションとその説明のリストについては、 True SSO 構成のコマンドライン リファレンスを参照してください。

前提条件

手順

  1. クラスタ内の接続サーバで、コマンド プロンプトを開き、登録サーバを追加するためのコマンドを入力します。
    vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --environment --add --enrollmentServer enroll-server-fqdn
    登録サーバがグローバル リストに追加されます。
  2. 登録サーバの情報をリストするコマンドを入力します。
    vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --environment --list --enrollmentServer enroll-server-fqdn --domain domain-fqdn
    出力には、フォレスト名、登録サーバの証明書が有効かどうか、使用できる証明書テンプレートの名前と詳細、認証局の共通名が表示されます。登録サーバが接続できるドメインを構成するには、登録サーバの Windows レジストリ設定を使用します。デフォルトでは、すべての信頼する側のドメインに接続されます。
    重要: 次の手順で認証局の共通名を指定する必要があります。
  3. 構成情報を保持する True SSO コネクタを作成して有効化するコマンドを入力します。
    vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --create --connector --domain domain-fqdn --template TrueSSO-template-name --primaryEnrollmentServer enroll-server-fqdn --certificateServer ca-common-name --mode enabled

    このコマンドの TrueSSO-template-name は、前の手順の出力に表示されていたテンプレートの名前で、ca-common-name は、その出力に表示されていたエンタープライズ認証局の共通名です。

    True SSO コネクタは、指定されたドメインのプールまたはクラスタで有効になります。プール レベルで True SSO を無効にするには、 vdmUtil --certsso --edit --connector <domain> --mode disabled を実行します。個別の仮想マシンで True SSO を無効にするには、GPO (vdm_agent.adm) を使用できます。
  4. 使用可能な SAML 認証子を検出するコマンドを入力します。
    vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --list --authenticator

    Horizon Administrator を使用して、VMware Identity Manager と接続サーバ間の SAML 認証を構成すると、認証子が作成されます。

    出力には、認証子の名前や True SSO が有効になっているかどうかが表示されます。
    重要: 次の手順で認証子の名前を指定する必要があります。
  5. 認証子で True SSO モードを使用できるようにするコマンドを入力します。
    vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --authenticator --edit --name authenticator-fqdn --truessoMode {ENABLED|ALWAYS}

    ユーザーが VMware Identity Manager にログインしたときにパスワードを入力しなかった場合にのみ True SSO を使用するには、--truessoModeENABLED を使用します。この場合、パスワードが使用されていてキャッシュされていれば、そのパスワードが使用されます。ユーザーが VMware Identity Manager にログインしたときにパスワードを入力した場合でも True SSO を使用するには、--truessoModeALWAYS に設定します。

次のタスク

Horizon Administrator で、True SSO 構成の健全性ステータスを確認します。詳細については、システム健全性ダッシュボードを使用した True SSO に関する問題のトラブルシューティングを参照してください。

詳細設定オプションを構成するには、適切なシステムの Windows の詳細設定を使用します。True SSO の詳細設定を参照してください。