Active Directory フォレストへの VMware SSO CA バンドルの公開

エンドユーザーにデスクトップおよびアプリケーションへのシングルサインオン (SSO) アクセスを提供するには、対応する Horizon Edge Gateway インスタンスで SSO を管理します。

この手順により、エンドユーザーは認証情報を一度入力した後でデスクトップおよびアプリケーションにアクセスできます。

VMware CA の構成の背景情報については、Horizon Cloud Service - next-gen で SSO に VMware CA を使用するを参照してください。

この手順を完了するには、必要に応じて Microsoft のドキュメントを参照してください。たとえば、エンタープライズ CA をインストールする場合は、認証局のインストールを参照してください。

前提条件

Horizon Universal Console を使用して、認証局 (CA) バンドルを作成およびダウンロードします。Horizon Cloud Service - next-gen への VMware CA 向けの SSO 構成の追加を参照してください。
VMware CA バンドルから抽出された PowerShell スクリプトを実行するには、この手順で説明するように、適切な権限があることを確認します。
この手順では、VMware PowerShell スクリプトを実行する必要があります。Enterprise Admins グループのメンバーとしてスクリプトを実行するなど、VMware PowerShell スクリプトを実行するためのオプションがいくつかあります。次のガイダンスでは、強力でない権限を使用することが示されますが、Enterprise Admins グループのメンバーとしてスクリプトを実行できます。ここでは、次の権限があることを確認することをお勧めします。
- Active Directory の「パブリックキーサービス」コンテナに対するフルコントロールの権限。
- Active Directory の「SubCA」証明書テンプレートに対する登録権限。

手順

ドメインメンバーマシンに接続し、CA バンドルファイルをサーバにアップロードして、ファイルの内容を解凍します。
適切な権限があれば、任意のドメインメンバーマシンから PowerShell スクリプトを実行できます。
PowerShell を開き、コマンドを実行して、次のサブステップの説明に従ってプロンプトに応答します。

重要：環境が複数のドメインコントローラで構成されている場合、またはリモートマシンからバンドルをインストールする場合、CA 証明書をすべてのドメインコントローラに伝達するのに数時間かかる場合があります。すべてのドメインコントローラインスタンスで 'gpupdate.exe /Target:Computer /Force' を実行することで、実行時間を短縮できます。
1. 次のコマンドを実行します。
```
Unblock-File -Path Path to ps1 file
```
2. CA バンドルから抽出された ps1 PowerShell スクリプトを実行し、プロンプトに応答します。
  例： PS C:\ca\VmwAuthEngine-CA_1> .\VmwAuthEngine-CA_1.ps1
  SSO 構成を中間 CA として追加した場合は、VMware CA CSR に署名するための MSFT エンタープライズ CA を選択するように求められます。ルート CA または中間 MSFT エンタープライズ CA を選択して、VMware CA CSR を処理できます。該当する場合は、適切なエンタープライズ CA を選択します。選択したエンタープライズ CA の [Subordinate Certification Authority] テンプレートを有効にする必要があります。
  
  次に示すように、必要な確認プロンプトに Y で応答します。
```
Confirmation required Do you want to publish to AD?
```
  N] No [Y] Yes [?] Help (default is "N"): Y

結果

想定される結果は、スクリプトがエラーなしで実行されることです。ただし、次のタイプのエラーが発生した場合は、提案されるトラブルシューティングの手順を実行してください。

2022-03-22T15:35:39 [INFO ] [VmwAuthEngine-CA-62351bb62ff3dd5966ad3575-1.ps1,67] certutil.exe -dspublish -f C:\SSO-C\Vmw
AuthEngine-CA-62351bb62ff3dd5966ad3575-1.crl
error : 2022-03-22T15:35:39 [ERROR][-2147016563][] Failed to publish base CRL
At C:\SSO-C\VmwAuthEngine-CA-62351bb62ff3dd5966ad3575-1.ps1:303 char:5
+     error $retCode "Failed to publish base CRL"
+     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Write-Error], WriteErrorException
    + FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,error

次の Get-ADRootDSE コマンドを実行し、出力を確認して、SSO 構成の作成に使用される CA 構成ドメイン名が、configurationNamingContext プロパティから返されるものと一致するかどうかを確認します。

C:\>
        Get-ADRootDSE -Server dnsDomainName

例：C:\> Get-ADRootDSE -Server horizonv2.local

出力：

configurationNamingContext       :  "CN=Configuration,DC=horizonv2,DC=local"
        ...other
        output fields...

CA 構成ドメイン名が出力と一致しない場合は、Horizon Universal Console を使用して SSO 構成を編集します。特に CA 構成ドメイン名を修正できます。SSO 構成へのアクセスの詳細については、Horizon Cloud Service - next-gen への VMware CA 向けの SSO 構成の追加を参照してください。SSO 構成を編集するには、SSO 構成の横にある縦に並んだ 3 つのドットをクリックし、[編集] を選択します。ドメイン名を修正したら、更新された CA バンドルをダウンロードして公開できます。

次のタスク

Horizon Edge Gateway をデプロイしたら、SSO 構成ステータスが適切に設定されていることを確認します。Horizon Universal Consoleで、[リソース] > [キャパシティ] を選択し、構成した Horizon Edge Gateway インスタンスの名前をクリックし、構成を編集して [SSO を使用] オプションを有効にします。SSO 構成を選択して、Horizon Edge Gateway に関連付けます。保存してステータスが READY_TO_SERVE に設定されていることを確認します。これは、SSO がエンドユーザーに対して機能していることを示します。