Horizon Cloud Service - next-gen の場合、このページでは、Microsoft Azure の Horizon Edge で True SSO 機能を使用するために必要な要素について説明します。

Horizon 8 オンプレミス環境や第 1 世代の Horizon Cloud on Microsoft Azure 展開などの以前の Horizon 環境で、すでに True SSO の使用に慣れているかもしれません。

Horizon Cloud Service - next-gen 環境の場合、True SSO 機能を使用してエンド ユーザーにデスクトップおよびアプリケーションへのシングル サインオン (SSO) アクセスを提供するために必要な要素は、Microsoft Enterprise Certificate Authority と、その Microsoft Enterprise Certificate Authority で特別に構成されている証明書テンプレートです。

Microsoft Enterprise Certificate Authority

True SSO を使用するには、Microsoft Enterprise 認証局が必要です。

Microsoft Enterprise Certificate Authority という用語は、エンタープライズ モードで実行されている Microsoft 認証局 (Microsoft CA) を指します。True SSO にはエンタープライズ構成が必要であるため、True SSO のドキュメントでは Microsoft Enterprise Certificate Authority という語句を使用します。

ヒント: 本番環境では、冗長性とロード バランシングを提供するために、このような認証局を少なくとも 2 つ使用することがベスト プラクティスです。

認証局をまだ設定していない場合、Active Directory Certificate Services (AD CS) ロールを Microsoft Windows Server に追加し、Windows Server がエンタープライズ CA になるように構成する必要があります。

Microsoft Enterprise Certificate Authority を構成するための Microsoft の手順では、Active Directory Certificate Services (AD CS) ロールをインストールします。AD CS のセットアップ プロセスでは、CA をエンタープライズ CA として実行するか、スタンドアローン CA として実行するかを選択できます。

Horizon Cloudを使用した True SSO に必要な証明書テンプレートの設定

True SSO テンプレートのWindows Server署名証明書の最小キー サイズを含む、次の設定を指定します。Windows Server署名証明書の場合、必要な最小キー サイズは 2048 です。2048 未満の最小キー サイズを指定すると、認証に失敗します。

True SSO テンプレートの場合は、[暗号化] タブで次の設定を指定します。

  1. [プロバイダのカテゴリ] には、[キー格納プロバイダ] を選択します。
  2. [アルゴリズム名] には、[RSA] を選択します。
  3. [最小キー サイズ] には、[2048] を指定します。
  4. [要求に使用できる暗号化プロバイダを選択] には、[要求にはサブジェクトのコンピュータで利用可能な任意のプロバイダを使用できる] を使用します。
  5. [要求ハッシュ] には、[SHA384] を指定します。
  6. [保存] をクリックします。

2048 の最小キー サイズの値を示す部分的なスクリーン ショットを以下に示します。

テキストの説明に従って、[暗号化] タブに最小キー サイズ 2048 が表示されます。

非永続的な証明書処理を有効にする

True SSO で使用される Microsoft Enterprise 認証局ごとに、ベスト プラクティスは、非パーシステント証明書の処理を有効にすることです。

Microsoft Enterprise Certificate Authority で非永続的な証明書処理が有効になっていない場合、True SSO 証明書はエンタープライズ CA のデータベースに保存されたままになり、次のことが発生します。

  • エンタープライズ CA のデータベースが必要を超えて急速に増大します。True SSO が、新しい接続ごとに新しい証明書を要求します。
  • データベースの増大に伴い、エンタープライズ CA のディスク容量が不足するため、パフォーマンスに影響します。

VMware KB 2149312 で説明されているように、上記の問題を回避するために、DBFLAGS_ENABLEVOLATILEREQUESTS設定を有効にすることをお勧めします。手順については、ナレッジベースの記事を参照してください。

注: DBFLAGS_ENABLEVOLATILEREQUESTS を有効にするための推奨事項の説明に加えて、このナレッジベースの記事では、別の設定、 CRLF_REVCHECK_IGNORE_OFFLINE の使用についても説明しています。 CRLF_REVCHECK_IGNORE_OFFLINE 設定を有効にする方法は、公開鍵基盤 (PKI) アーキテクチャによって異なります。 CRLF_REVCHECK_IGNORE_OFFLINE 設定を有効にすることは、True SSO と Horizon Cloud の厳格な要件ではありません。

Horizon Cloud を使用した True SSO に必要な証明書テンプレートの設定

True SSO 機能を使用するには、True SSO および Horizon Edge で使用するために提供する Microsoft Enterprise Certificate Authority で証明書テンプレートを構成する必要があります。

証明書テンプレートは、Microsoft Enterprise Certificate Authority が True SSO で使用するために生成する証明書の基盤となります。

登録サービス アカウントには、TrueSsoEnrollmentAgent テンプレートと TrueSso テンプレートの両方のテンプレートで 読み取り および 登録 権限が必要です。

前提条件

  • Microsoft Azure で Horizon Edge により SSO を使用するためにサポートされる認証局タイプの説明に従って、True SSO 機能で必要な Microsoft Enterprise Certificate Authority (AD CS) インスタンスがあることを確認します。
  • Microsoft Azure での Horizon Cloud 環境のポートとプロトコルの要件の説明に従って、デプロイされた Horizon Edge が、必要なプロトコルとポートの組み合わせを使用して認証局インスタンスと通信できるように、ファイアウォールを構成します。

    通信では、インスタンスの Active Directory Certificate Services (AD CS) が使用されます。必要なプロトコルは RPC/TCP(RPC over TPC)です。最初のポートはポート 135 で、2 番目のポートは 49152 ~ 65535 の範囲内です。

  • よりファイアウォールに適した構成を実現するために、静的 DCOM ポートを使用するように Microsoft Enterprise Certificate Authority (AD CS) インスタンスを構成し、ポート 135 と選択した静的 DCOM ポートを許可するようにファイアウォールを構成し、その静的ポートがすべてのインスタンスで同じになるように構成します。この構成については、Microsoft TechNet の「AD CS の静的 DCOM ポートを構成する方法」を参照してください。
注: 次の手順は、Microsoft Windows Server 2016 Standard オペレーティング システムを実行している Microsoft Enterprise Certificate Authority を使用して実行されました。手順のスクリーンショットは、そのシステムから取得したものです。このため、手順に記載されているラベルとスクリーンショットは、そのオペレーティング システムを反映しています。Microsoft Enterprise Certificate Authority が異なるオペレーティング システム バージョンの Windows Server を実行している場合は、以下のラベルおよびスクリーンショットと比較すると、システムに若干の違いがある可能性があります。

手順

  1. Active Directory で新しいユニバーサル セキュリティ グループを作成します。
    このグループを作成すると、ユーザーに代わって証明書を発行するために必要な権限を単一のセキュリティ グループに割り当てることができるようになります。すべての登録サービス アカウントが、このグループのメンバーになることによってそれらの必要な権限を継承できます。
    1. サーバ マネージャの [ツール] メニューから、または dsa.msc コマンドを実行して、Active Directory ユーザーおよびコンピュータ ツールを開きます。
    2. Active Directory ユーザーおよびコンピュータ ツールで、True SSO が必要とするドメイン登録アカウントの新しいグループを作成します。
      グループに True SSO 登録アカウント など、任意の名前を付けます。また、次の設定も行います。
      設定
      [グループのスコープ] ユニバーサル
      [グループ タイプ] セキュリティ
    3. [OK] をクリックして、新しいグループを保存します。
    4. 次に、ドメイン登録アカウントをこの新しいグループのメンバーとして追加します。
      True SSO を使用する目的で使われる、すべてのドメイン登録サービス アカウントを追加します。

      これらのアカウントは、Active Directory ドメインの設定設定 の説明に従って、Horizon Universal Console を使用して、ドメイン登録 UI フローで追加したものと同じアカウントです。

  2. 認証局ツールとその証明書テンプレート コンソールを使用して、True SSO 登録エージェントの証明書テンプレートを構成します。
    1. 認証局ツールを開きます。
      このツールを開くには、サーバ マネージャの [ツール] メニューや、 [開始] メニューの Windows 管理ツールを使用したり、 certsrv.msc を実行したりするなどいくつかの方法があります。
    2. 認証局ツールの左側のツリーで、証明書テンプレート フォルダが表示されるまでローカル CA 名を展開します。
    3. 証明書テンプレート フォルダを右クリックし、[管理] を選択して、証明書テンプレート コンソールを開きます。
      次のスクリーンショットは、Window Server 2016 を実行しているシステムでこの手順を示しています。
      [認証局ツール] の [証明書テンプレート] フォルダにある [管理] メニューのスクリーン ショット
      証明書テンプレート コンソールが表示されます。
    4. [登録エージェント] テンプレートを右クリックし、[テンプレートの複製] を選択します。
      次のスクリーンショットは、Window Server 2016 を実行しているシステムでこの手順を示しています。
      [登録エージェント] の右クリック メニューと [テンプレートの複製] メニュー オプションのスクリーン ショット
      [新規テンプレートのプロパティ] ウィンドウが表示されます。
    5. 次のセクションの説明に従って、ウィンドウのタブに情報を入力します。
      注: 次のスクリーンショットは、Microsoft Windows Server 2016 Standard オペレーティング システムを実行している Microsoft Enterprise Certificate Authority を使用して撮られたものです。Microsoft Enterprise Certificate Authority が別のオペレーティング システム バージョンの Windows Server を実行している場合は、Windows システムのユーザー インターフェイスに若干の違いがある可能性があります。
      [全般] タブ
      重要: True SSO テンプレートの名前には ASCII 文字のみを使用します。この既知の問題により、True SSO テンプレート名に 非 ASCII 文字または拡張 ASCII 文字が含まれていると Horizon Cloud 環境で True SSO を正しく設定できません。
      テンプレートの表示名
      この新しいテンプレートが True SSO 登録エージェント用であることを示す名前を入力します(例: True SSO Enrollment Agent)。
      テンプレート名
      前の [テンプレートの表示名] に入力すると、ツールによってその名前がスペースなしの [テンプレートの表示名] の入力と一致するように自動的に入力されます。

      たとえば、テンプレートの表示名[True SSO EnrollmentAgent] と入力した場合、ツールはこの [テンプレート名] を自動的に TrueSsoEnrollmentAgent に設定します。

      次のスクリーンショットは、[テンプレートの表示名]True SSO Enrollment Agent と入力した後のこのタブを示しています。


      [テンプレートの表示名] に [True SSO Enrollment Agent] と入力した [全般] タブのスクリーンショット
      [セキュリティ] タブ
      [セキュリティ] タブで、True SSO 登録アカウント用に作成した新しいユニバーサル セキュリティ グループに Read 権限と Enroll 権限を付与します。
      1. [グループまたはユーザー名] セクションで、True SSO 登録アカウント用に作成したグループを追加します。
      2. そのグループを選択し、[権限] セクションで Read 権限と Enroll 権限の [許可] を選択します。

      ユニバーサル セキュリティ グループの追加後の [セキュリティ] タブと権限セットを示すスクリーンショット。
    6. 新しい True SSO 登録エージェント テンプレートを保存するには、[新しいテンプレートのプロパティ] ウィンドウで [OK] をクリックします。
    新しい True SSO 登録エージェント テンプレートが証明書テンプレート コンソール内にリストされ、指定した [テンプレート表示名] を使用して表示され、証明書要求エージェントとしての目的が表示されます。

    次のスクリーンショットは、新しくリストされたテンプレートを示しています。


    リスト内の新しい True SSO 登録エージェント テンプレートとそれを指す緑色の矢印のスクリーンショット。
  3. 同じ証明書テンプレート コンソールで、True SSO スマートカード ログイン テンプレートを構成します。
    1. 証明書テンプレート コンソールで、リストされている [スマート カード ログオン] テンプレートを右クリックし、[テンプレートの複製] を選択します。
      次のスクリーンショットは、Window Server 2016 を実行しているシステムでこの手順を示しています。
      スマートカード ログイン テンプレートのメニューと [テンプレートの複製] オプションを示すスクリーンショット。
      [新規テンプレートのプロパティ] ウィンドウが表示されます。
    2. 次のセクションの説明に従って、ウィンドウのタブに情報を入力します。
      注意:

      必ずこれらの事項に従います。従わないと、必要な値を設定できなくなり、手順をキャンセルしてやり直すことになります。この要件は、Windows システムの動作です。

      • 次の箇条書きで説明するように、3 つのタブで必要な設定を決められた所定の順序で行うまでは、[プロパティ] ウィンドウの [適用] および [OK] をクリックしないでください。

        ウィンドウで適用または保存する前に、以下で説明する 3 つのタブの設定を構成するというこのガイダンスに従わない場合、Windows で [暗号化] タブの [プロバイダーのカテゴリ] が強制的に読み取り専用になりますが、この設定は後から True SSO に必要な [キー格納プロバイダー] 設定に変更することはできません。

        したがって、ウィンドウで適用または保存する前に、以下の 3 つのタブで構成を正確に正しい順序で完了する必要があります。

      • これらのタブを、最初に構成を行うタブとして構成し、次の特定の順序で構成します。
        1. [互換性] タブ
        2. [全般] タブ
        3. [暗号化] タブ

      この順序が指定されている理由は、[互換性] タブで設定を変更するにつれて、システムによって関連するオプションが他のタブで動的に使用可能になるためです。[暗号化] タブを更新する前にウィンドウで適用または保存すると、True SSO に必要な構成を設定できなくなります。そのため、ウィンドウで適用または保存する前に、必ず上記および下記に示されている順序でタブの設定を構成してください。

      [互換性] タブ
      注: [互換性] タブでこれらの選択を行い、 [暗号化] タブで適切なオプションを使用できるようにする必要があります。
      • [変更の結果を表示] チェック ボックスをオンにします。
      • [認証局]:Microsoft Windows がこの設定で提供しているオプションが表示されます。True SSO の要件を満たすには、[Windows Server 2008 R2] を選択するか、メニューに表示されるそれ以降のリリースのいずれかを選択します。
      • [証明書の受信者]:Microsoft Windows がこの設定で提供しているオプションが表示されます。True SSO の要件を満たすには、[Windows 7 /Server 2008 R2] を選択するか、メニューに表示されるそれ以降のリリースのいずれかを選択します。

      [互換性] タブのスクリーンショット。
      [全般] タブ
      重要: True SSO テンプレートの名前には ASCII 文字のみを使用します。この既知の問題により、True SSO テンプレート名に 非 ASCII 文字または拡張 ASCII 文字が含まれていると Horizon Cloud 環境で True SSO を正しく設定できません。
      テンプレートの表示名
      この新しいテンプレートが True SSO で使用されることを示す名前( True SSO など)を入力します。
      テンプレート名
      前の [テンプレートの表示名] に入力すると、ツールによってその名前がスペースなしの [テンプレートの表示名] の入力と一致するように自動的に入力されます。

      たとえば、テンプレートの表示名[True SSO] と入力した場合、ツールはこの [True SSO] を自動的に テンプレート名 に設定します。

      有効期間
      1 時間(1 時間)
      更新期間
      0 週間 (ゼロ週間)

      次のスクリーンショットは、[テンプレート表示名]True SSO として入力した後のこのタブを示しています。


      [テンプレートの表示名] フィールドに [True SSO] と入力した後の [全般] タブのスクリーン ショット。
      [暗号化] タブ
      • [プロバイダのカテゴリ] - [キー ストレージ プロバイダ]
      • [アルゴリズム名] - [RSA]
      • [キーの最小サイズ] - [2048]
      • [サブジェクトのコンピューターで利用可能な任意のプロバイダー] ラジオ ボタンを選択します。
      • [ハッシュの要求] - [SHA384]

      [暗号化] タブのスクリーンショット
      [要求の処理] タブ
      • [目的] - [署名とスマートカード ログイン]
      • [スマート カード証明書の自動書き換えで、新しいキーを作成できない場合は既存のキーを使用する] チェック ボックスをオンにします。
      • [登録時にユーザーにプロンプトを表示] ラジオ ボタンをオンにします。

      [要求処理] タブのスクリーンショット
      [サブジェクト名] タブ
      • [Active Directory の情報から構築する] ラジオ ボタンをオンにします。
      • [サブジェクト名の形式] - [完全識別名 (DN)]
      • [ユーザー プリンシパル名 (UPN)] チェック ボックスをオンにします。

      [サブジェクト名] タブのスクリーンショット
      サーバ タブ
      [CA データベース内に証明書および要求を保存しない] チェック ボックスをオンにします。
      重要: [発行される証明書に失効情報を含めない] というラベルの付いた 2 番目のチェック ボックスを必ずオフにします。

      最初のチェック ボックスをオンにすると、[発行される証明書に失効情報を含めない] が自動的にオンになります。

      2 番目のチェック ボックス [発行される証明書に失効情報を含めない] を必ずオフにします。


      [サーバ] タブのスクリーンショット
      [発行の要件] タブ
      • [登録には以下が必要] - [認証された署名の数] を選択して 1 を入力。
      • [署名に必要なポリシー タイプ] - [アプリケーション ポリシー]
      • [アプリケーション ポリシー] - [証明書要求エージェント]
      • [次の項目を再登録の要件とする] - [既存の有効な証明書]

      緑色の矢印がキー設定を指している [発行の要件] タブのスクリーンショット。
      [セキュリティ] タブ
      [セキュリティ] タブで、True SSO 登録アカウント用に作成した新しいユニバーサル セキュリティ グループに Read 権限と Enroll 権限を付与します。
      1. [グループまたはユーザー名] セクションで、True SSO 登録アカウント用に作成したグループを追加します。
      2. そのグループを選択し、[権限] セクションで Read 権限と Enroll 権限の [許可] を選択します。

      ユニバーサル セキュリティ グループの追加後の [セキュリティ] タブと権限セットを示すスクリーンショット。
    3. 新しい True SSO テンプレートの [プロパティ] ウィンドウで [OK] をクリックして、この新しい True SSO テンプレートの保存を完了します。
    新しい True SSO テンプレートは、証明書テンプレート コンソール内にリストされ、指定した [テンプレートの表示名]を使用して表示され、クライアント認証、スマート カード ログインの目的も表示されます。

    次のスクリーンショットは、新しくリストされたテンプレートを示しています。


    リストに表示された True SSO テンプレートを示すスクリーンショット
  4. これで、証明書テンプレート コンソールを閉じて、認証局ツールに戻ることができます。
  5. True SSO のテンプレートを発行します。
    1. 認証局ツールで、証明書テンプレート フォルダを右クリックし、[新規作成] > [発行する証明書テンプレート] を選択します。
      次のスクリーンショットは、Window Server 2016 を実行しているシステムでこの手順を示しています。
      [発行する証明書テンプレート] メニュー オプションおよび証明書テンプレート フォルダと [新規作成] メニューを指す緑色の矢印を示すスクリーン ショット。
      [証明書テンプレートを有効にする] ウィンドウが表示されます。
    2. 前の手順で作成した True SSO テンプレートを選択し、[OK] をクリックします。
      次のスクリーンショットは、Window Server 2016 を実行しているシステムでこの手順を示しています。
      [証明書テンプレートの選択] ウィンドウとリスト内で選択した True SSO テンプレートを指す緑色の矢印を示すスクリーン ショット。
    重要: これらのアクションは、True SSO 機能に使用するすべての Microsoft Enterprise Certificate Authority インスタンスで実行する必要があります。
  6. True SSO 登録エージェント テンプレートに対して、同じ発行手順を繰り返します。
    1. 認証局ツールで、証明書テンプレート フォルダを右クリックし、[新規作成] > [発行する証明書テンプレート] を選択します。

      [発行する証明書テンプレート] メニュー オプションおよび証明書テンプレート フォルダと [新規作成] メニューを指す緑色の矢印を示すスクリーン ショット。
      [証明書テンプレートを有効にする] ウィンドウが表示されます。
    2. 上記の手順で作成した True SSO 登録エージェント テンプレートを選択し、[OK] をクリックします。
      次のスクリーンショットは、Window Server 2016 を実行しているシステムでこの手順を示しています。
      [証明書テンプレートの選択] ウィンドウと、リスト内の True SSO 登録エージェント テンプレートを指す緑色の矢印を示すスクリーン ショット。
      重要: これらのアクションは、True SSO に使用するすべての Microsoft Enterprise Certificate Authority インスタンスで実行する必要があります。
    これで、Microsoft Enterprise Certificate Authority が設定され、True SSO 機能で使用するために必要な証明書テンプレートを使用して構成されました。