このドキュメント ページでは、Horizon Edge で True SSO 機能の使用を構成する SSO 構成を追加する手順について説明します。Horizon Universal Console を使用して SSO 構成を追加し、その SSO 構成を Horizon Edge に関連付けます。

SSO を使用するデスクトップをユーザーが起動する各ドメイン フォレストに SSO 構成を追加します。

これらの手順は Horizon Universal Console を使用して実行します。

同じフォレストに複数の True SSO 構成を作成できます。ドメインは、1 つの True SSO 構成にのみ関連付けることができます(つまり、1 つの True SSO 構成にのみ追加されます)。

このシナリオでは、ユーザーがデスクトップまたはリモート アプリケーションを起動すると、システムは次の基準に基づいて、使用する True SSO 構成を優先順位で選択します。

  1. ユーザーのドメインを含む True SSO 構成。
  2. ユーザーのドメインと同じフォレストからの True SSO 構成。
注: Horizon Edge で SSO を使用するためにサポートされている CA タイプで説明されているように、True SSO 機能では、 Horizon Universal Console[Microsoft CA] ラベルを使用します。 [Microsoft CA] ラベルを見たら、ラベルが True SSO 機能に関連付けられていることに注意してください。

前提条件

ユーザーまたはチームが次のタスクを完了していることを確認します。

  • この SSO 構成で選択する Active Directory ドメインにドメイン登録アカウントを作成します。Active Directory ドメインの設定 画面で説明されているように、ドメイン登録アカウントは、True SSO 機能が Microsoft AD CS (Active Directory Certificate Services) から短期証明書を取得するために使用する登録サービス アカウントです。True SSO は認証に証明書を使用し、ユーザーに Active Directory 認証情報の入力を求めるプロンプトを表示しないようにします。コンソールでは、ドメイン登録アカウント、登録サービス アカウント、およびドメイン登録サービス アカウントという用語が同じ意味で使用されている場合があります。
  • 少なくとも 2 つのドメイン参加エンタープライズ CA が構成されており、True SSO に使用できることを確認します。
  • Active Directory ドメインにユニバーサル セキュリティ グループを作成し、Horizon Cloud を使用した True SSO に必要な証明書テンプレートの設定の説明に従って、それらのドメイン登録アカウントをそのグループに追加します。
  • Horizon Cloud を使用した True SSO に必要な証明書テンプレートの設定の説明に従って、Microsoft Enterprise Certificate Authority で必要なテンプレートを作成する手順を完了します。
  • この SSO 構成で選択する Active Directory ドメインの場合は、Active Directory ドメインの設定の説明に従って、Active Directory ドメイン登録の [ドメイン登録サービス アカウント] セクション内の登録アカウントを指定します。
  • この True SSO 構成を適用する Horizon Edge を決定します。コンソールの [SSO 構成の追加] ユーザー インターフェイス フロー内で、次の手順で説明する Horizon Edge を選択します。

手順

  1. ナビゲーション バーの [統合] をクリックします。
  2. [ID とアクセス] タイルで [管理] をクリックします。
  3. [SSO 構成] をクリックし、次に [追加] > [Microsoft CA] の順に選択して、[SSO 構成の追加] ページに移動します。
    Microsoft CA タイプが選択されている [SSO 構成の追加] ダイアログ ボックス
  4. SSO 構成に一意の [名前] を追加します。
  5. [Horizon Edge の選択] ドロップダウン メニューから Horizon Edge を選択します。
    少なくとも 1 つの Horizon Edge を選択する必要があります。
  6. [ドメインの選択] ドロップダウン メニューから SSO 構成のドメインを選択し、[追加] をクリックします。
    SSO 構成には複数のドメインを追加できます。ドメインは、同じ Active Directory フォレストに属している必要があります。

    このメニューでは、コンソールに環境に登録されているすべてのドメインが一覧表示されます(コンソールの [ID とアクセス] ページの [ドメイン] タブに表示されます)。

    ただし、この新しい SSO 構成レコードに選択する各ドメインは、システムにすでに保存されている別の SSO 構成内ですでに使用されているものにはしないでください。

    別の SSO 構成でまだ指定されていないドメインを選択する必要があります。次のスクリーンショットに示すように、[検出] をクリックすると、ユーザー インターフェイスはこの事実を検証します。この文書の作成時点では、次のように検証メッセージが表示されます。


    使用中のドメインが選択されている場合に [検出] をクリックした後のコンソールの検証メッセージのスクリーンショット
  7. [検出] をクリックして、選択内容を検証します。
    [検出] をクリックすると、システムは、このページの上部で説明されている次のような多くの前提条件を検証します。
    • 選択したドメインのいずれかが別の SSO 構成ですでに使用されているか?
    • 選択したドメインには、ドメイン登録(コンソールの [ID とアクセス] ページの [ドメイン]タブにリストされている登録)で登録サービス アカウントが指定されているか?
    • システムは、True SSO の要件に従って、自分またはチームが構成した Microsoft Enterprise Certificate Authority で必要な証明書テンプレートを見つけられるか?
    すべてのドメインでシステムの検証が成功した場合、ユーザー インターフェイスは選択した次のメニューを使用できるようにします。
  8. [TrueSSO テンプレート] および [登録エージェント テンプレート] ドロップダウン メニューでは、デフォルトの選択を受け入れるか、いずれかまたは両方のメニューから別のテンプレートを選択します。
    注: 選択した 2 つのテンプレートに共通の認証局インスタンスがある場合は、 [認証局] ドロップダウン メニューに表示されます。
  9. [追加] をクリックして、システムへの新しい SSO 構成の保存を完了します。

結果

システムは、選択した Horizon Edge に SSO 設定を送信します。

注: [SSO 構成] ページでは、True SSO 構成がページに一覧表示され、 [タイプ] 列の値として「Microsoft CA」が設定されています。また、Microsoft CA 構成の場合、認証局モードと証明書の有効期限は適用されないため、[認証局モード] 列と [証明書の有効期限] 列は空白のままになります。

次のタスク

SSO 構成が完了したら、その SSO 構成を特定の Horizon Edge に関連付けることができます。[キャパシティ] > [Horizon Edge] を選択し、新しく追加した SSO 構成を関連付ける Horizon Edge を選択して、[編集] をクリックします。[Horizon Edge を編集] ウィザードで、ウィザードの各手順で [次へ] をクリックし、[Horizon Edge Gateway] セクションに移動し、[SSO を使用] トグルを選択して有効にします。新しく追加した SSO 構成の名前を選択し、必要に応じて [次へ] をクリックしてウィザードを完了します。

Horizon Edge が提供するエンド ユーザー デスクトップおよびリモート アプリケーションに対して True SSO の使用を指定できます。デスクトップおよびリモート アプリケーションでの SSO の使用の指定は、プール グループ レベルで設定されます。Horizon Universal Console [リソース] ナビゲーションを使用して関連するプール グループに移動し、関連するプール グループを編集して各プール グループで SSO を有効にします。

コンソールを使用して特定の Horizon Edge で設定された SSO 構成を確認するには、[キャパシティ] > [Horizon Edges] の順に移動し、Horizon Edge の名前を選択して、詳細ページを表示します。