Horizon 7 で導入された True SSO 機能により、ユーザーはスマート カード、RADIUS、または RSA SecurID 認証を使用して VMware Identity Manager 2.6 以降のリリースにログインできます。また、ユーザーがリモート デスクトップまたはアプリケーションを初めて起動するときでも、Active Directory 認証情報を求められなくなりました。

以前のリリースでは、SSO(シングル サインオン)は、以前に Active Directory 認証情報で認証されていないユーザーが最初にリモート デスクトップを起動したとき、またはアプリケーションを公開したときに Active Directory 認証情報をユーザーに求めることで機能していました。この認証情報がキャッシュされ、これによりユーザーは認証情報を再度入力せずに、以降の起動を行うことができました。True SSO では、一時的な証明書が作成され、Active Directory 認証情報の代わりに使用されます。

VMware Identity Manager の SAML 認証を構成するプロセスは変わっていませんが、True SSO では 1 つの手順が追加されています。True SSO が有効になるように VMware Identity Manager を設定する必要があります。

注: 導入環境に複数の Connection Server インスタンスが含まれる場合は、各インスタンスに SAML 認証子を関連付ける必要があります。

前提条件

  • シングル サインオンがグローバル設定として有効になっていることを確認します。Horizon Administrator で、[構成 > グローバル設定] を選択し、[Single Sign On (SSO)][有効] に設定されていることを確認します。
  • VMware Identity Manager がインストールされ、構成されていることを確認します。https://docs.vmware.com/jp/VMware-Identity-Manager/index.html にある VMware Identity Manager のドキュメントを参照してください。

  • Connection Server ホストに、SAML サーバ証明書用の認証局 (CA) が署名したルート証明書がインストールされていることを確認します。VMware では、自己署名の証明書を使用するように SAML 認証子を構成することは推奨されません。『Horizon 7 のインストール』ドキュメントにある「Horizon 7 Server 用の SSL 証明書の構成」の章のトピック「ルート証明書と中間証明書を Windows 証明書ストアにインポートする」を参照してください。
  • VMware Identity Manager サーバ インスタンスの FQDN を書き留めます。

手順

  1. Horizon Administrator で、[構成 > サーバ] の順に選択します。
  2. [Connection Server] タブで、SAML 認証子を関連付けるサーバ インスタンスを選択して [編集] をクリックします。
  3. [認証] タブで、[VMware Horizon (SAML 2.0 認証子) への認証の委任] ドロップダウン メニューから、[許可] または [必須] を選択します。
    要件に応じて、環境内の各 Connection Server インスタンスを異なる SAML 認証設定で構成できます。
  4. [SAML 認証子の管理] をクリックし、[追加] をクリックします。
  5. [SAML 2.0 認証子を追加] ダイアログ ボックスで SAML 認証子を構成します。
    オプション 説明
    ラベル VMware Identity Manager サーバ インスタンスの FQDN を使用できます。
    説明 (オプション)VMware Identity Manager サーバ インスタンスの FQDN を使用できます。
    メタデータ URL SAML ID プロバイダと Horizon Connection Server インスタンス間で SAML 情報を交換するために必要な情報すべてを取得するための URL。URL https://<YOUR HORIZON SERVER NAME>/SAAS/API/1.0/GET/metadata/idp.xml で、[<YOUR HORIZON SERVER NAME>] をクリックして VMware Identity Manager サーバ インスタンスの FQDN に置換します。
    管理 URL SAML ID プロバイダ(VMware Identity Manager インスタンス)の管理コンソールにアクセスするための URL。この URL の形式は、https://<Identity-Manager-FQDN>:8443. です。
  6. [OK] をクリックして SAML 認証子の構成を保存します。
    有効な情報を指定した場合、自己署名の証明書を受け入れるか(推奨されません)、 Horizon 7 および VMware Identity Manager の信頼できる証明書を使用する必要があります。

    [SAML 2.0 認証子] ドロップダウン メニューに、新規に作成された認証子が表示され、選択した認証子として設定されます。

  7. Horizon Administrator ダッシュボードの [システムの健全性] セクションで、[その他のコンポーネント] > [SAML 2.0 認証子] を選択し、追加した SAML 認証子を選択して詳細を確認します。
    構成に成功した場合、認証子の健全性は緑色です。証明書が信頼されていない場合、 VMware Identity Manager サービスを利用できない場合、またはメタデータ URL が使用不可の場合、認証子の健全性が赤色で表示されることがあります。証明書が信頼されていない場合は、 [検証] をクリックして証明書を検証してから受け入れることができます。
  8. VMware Identity Manager 管理コンソールにログインしてデスクトップ プールに移動し、[カタログ] > [仮想アプリケーション] ページの順に移動して、[True SSO が有効] チェック ボックスを選択します。

次のタスク

SAML 認証の仕組みの詳細については、SAML 認証の使用を参照してください。