vdmutil コマンドライン インターフェイスを使用して、True SSO の構成や有効化/無効化を行うことができます。
この手順は、クラスタ内の 1 つの接続サーバでのみ実行する必要があります。
前提条件
- 管理者ロールを持つユーザーとしてコマンドを実行できることを確認します。Horizon Administrator を使用して管理者ロールをユーザーに割り当てることができます。ロールベースの委任管理の構成を参照してください。
- 次のサーバの完全修飾ドメイン名 (FQDN) があることを確認します。
- ドメインの Netbios 名または FQDN を把握していることを確認します。
- 証明書テンプレートが作成されていることを確認します。True SSO とともに使用する証明書テンプレートの作成を参照してください。
- 認証を VMware Identity Manager に委任するための SAML 認証子が作成されていることを確認します。True SSO と連携するための SAML 認証の構成を参照してください。
手順
- クラスタ内の接続サーバで、コマンド プロンプトを開き、登録サーバを追加するためのコマンドを入力します。
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --environment --add --enrollmentServer enroll-server-fqdn
登録サーバがグローバル リストに追加されます。
- 登録サーバの情報をリストするコマンドを入力します。
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --environment --list --enrollmentServer enroll-server-fqdn --domain domain-fqdn
出力には、フォレスト名、登録サーバの証明書が有効かどうか、使用できる証明書テンプレートの名前と詳細、認証局の共通名が表示されます。登録サーバが接続できるドメインを構成するには、登録サーバの Windows レジストリ設定を使用します。デフォルトでは、すべての信頼する側のドメインに接続されます。
重要: 次の手順で認証局の共通名を指定する必要があります。
- 構成情報を保持する True SSO コネクタを作成して有効化するコマンドを入力します。
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --create --connector --domain domain-fqdn --template TrueSSO-template-name --primaryEnrollmentServer enroll-server-fqdn --certificateServer ca-common-name --mode enabled
このコマンドの TrueSSO-template-name は、前の手順の出力に表示されていたテンプレートの名前で、ca-common-name は、その出力に表示されていたエンタープライズ認証局の共通名です。
True SSO コネクタは、指定されたドメインのプールまたはクラスタで有効になります。プール レベルで True SSO を無効にするには、
vdmUtil --certsso --edit --connector <domain> --mode disabled を実行します。個別の仮想マシンで True SSO を無効にするには、GPO (vdm_agent.adm) を使用できます。
- 使用可能な SAML 認証子を検出するコマンドを入力します。
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --list --authenticator
Horizon Administrator を使用して、VMware Identity Manager と接続サーバ間の SAML 認証を構成すると、認証子が作成されます。
出力には、認証子の名前や True SSO が有効になっているかどうかが表示されます。
重要: 次の手順で認証子の名前を指定する必要があります。
- 認証子で True SSO モードを使用できるようにするコマンドを入力します。
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --authenticator --edit --name authenticator-fqdn --truessoMode {ENABLED|ALWAYS}
ユーザーが VMware Identity Manager にログインしたときにパスワードを入力しなかった場合にのみ True SSO を使用するには、--truessoMode に ENABLED を使用します。この場合、パスワードが使用されていてキャッシュされていれば、そのパスワードが使用されます。ユーザーが VMware Identity Manager にログインしたときにパスワードを入力した場合でも True SSO を使用するには、--truessoMode を ALWAYS に設定します。
次のタスク
Horizon Administrator で、True SSO 構成の健全性ステータスを確認します。詳細については、システム健全性ダッシュボードを使用した True SSO に関する問題のトラブルシューティングを参照してください。
詳細設定オプションを構成するには、適切なシステムの Windows の詳細設定を使用します。True SSO の詳細設定を参照してください。