True SSO と連携するための SAML 認証の構成

Horizon 7 で導入された True SSO 機能により、ユーザーはスマートカード、RADIUS、または RSA SecurID 認証を使用して VMware Identity Manager 2.6 以降のリリースにログインできます。また、ユーザーがリモートデスクトップまたはアプリケーションを初めて起動するときでも、Active Directory 認証情報を求められなくなりました。

以前のリリースでは、SSO（シングルサインオン）は、以前に Active Directory 認証情報で認証されていないユーザーが最初にリモートデスクトップを起動したとき、またはアプリケーションを公開したときに Active Directory 認証情報をユーザーに求めることで機能していました。この認証情報がキャッシュされ、これによりユーザーは認証情報を再度入力せずに、以降の起動を行うことができました。True SSO では、一時的な証明書が作成され、Active Directory 認証情報の代わりに使用されます。

VMware Identity Manager の SAML 認証を構成するプロセスは変わっていませんが、True SSO では 1 つの手順が追加されています。True SSO が有効になるように VMware Identity Manager を設定する必要があります。

注：導入環境に複数の Connection Server インスタンスが含まれる場合は、各インスタンスに SAML 認証子を関連付ける必要があります。

前提条件

シングルサインオンがグローバル設定として有効になっていることを確認します。Horizon Administrator で、[構成 > グローバル設定] を選択し、[Single Sign On (SSO)] が [有効] に設定されていることを確認します。
VMware Identity Manager がインストールされ、構成されていることを確認します。https://docs.vmware.com/jp/VMware-Identity-Manager/index.html にある VMware Identity Manager のドキュメントを参照してください。
Connection Server ホストに、SAML サーバ証明書用の認証局 (CA) が署名したルート証明書がインストールされていることを確認します。VMware では、自己署名の証明書を使用するように SAML 認証子を構成することは推奨されません。『Horizon 7 のインストール』ドキュメントにある「Horizon 7 Server 用の SSL 証明書の構成」の章のトピック「ルート証明書と中間証明書を Windows 証明書ストアにインポートする」を参照してください。
VMware Identity Manager サーバインスタンスの FQDN を書き留めます。

手順

Horizon Administrator で、[構成 > サーバ] の順に選択します。
[Connection Server] タブで、SAML 認証子を関連付けるサーバインスタンスを選択して [編集] をクリックします。
[認証] タブで、[VMware Horizon (SAML 2.0 認証子) への認証の委任] ドロップダウンメニューから、[許可] または [必須] を選択します。
要件に応じて、環境内の各 Connection Server インスタンスを異なる SAML 認証設定で構成できます。
[SAML 認証子の管理] をクリックし、[追加] をクリックします。

[SAML 2.0 認証子を追加] ダイアログボックスで SAML 認証子を構成します。

オプション	説明
ラベル	VMware Identity Manager サーバインスタンスの FQDN を使用できます。
説明	（オプション）VMware Identity Manager サーバインスタンスの FQDN を使用できます。
メタデータ URL	SAML ID プロバイダと Horizon Connection Server インスタンス間で SAML 情報を交換するために必要な情報すべてを取得するための URL。URL https://<YOUR HORIZON SERVER NAME>/SAAS/API/1.0/GET/metadata/idp.xml で、[<YOUR HORIZON SERVER NAME>] をクリックして VMware Identity Manager サーバインスタンスの FQDN に置換します。
管理 URL	SAML ID プロバイダ（VMware Identity Manager インスタンス）の管理コンソールにアクセスするための URL。この URL の形式は、`https://<Identity-Manager-FQDN>:8443.` です。

[OK] をクリックして SAML 認証子の構成を保存します。
有効な情報を指定した場合、自己署名の証明書を受け入れるか（推奨されません）、 Horizon 7 および VMware Identity Manager の信頼できる証明書を使用する必要があります。
[SAML 2.0 認証子] ドロップダウンメニューに、新規に作成された認証子が表示され、選択した認証子として設定されます。
Horizon Administrator ダッシュボードの [システムの健全性] セクションで、[その他のコンポーネント] > [SAML 2.0 認証子] を選択し、追加した SAML 認証子を選択して詳細を確認します。
構成に成功した場合、認証子の健全性は緑色です。証明書が信頼されていない場合、 VMware Identity Manager サービスを利用できない場合、またはメタデータ URL が使用不可の場合、認証子の健全性が赤色で表示されることがあります。証明書が信頼されていない場合は、 [検証] をクリックして証明書を検証してから受け入れることができます。
VMware Identity Manager 管理コンソールにログインしてデスクトッププールに移動し、[カタログ] > [仮想アプリケーション] ページの順に移動して、[True SSO が有効] チェックボックスを選択します。

次のタスク

Connection Server のメタデータの有効期間を延長して、リモートセッションが 24 時間経過後に終了されないようにします。Connection Server でのサービスプロバイダメタデータの有効期間の変更を参照してください。
vdmutil コマンドラインインターフェイスを使用して、Connection Server の True SSO を構成します。True SSO のための Horizon 接続サーバの構成を参照してください。

SAML 認証の仕組みの詳細については、SAML 認証の使用を参照してください。