Horizon Cloud 環境で Active Directory ドメインを登録し、環境を VMware Workspace ONE と統合した後、True SSO を構成することができます。True SSOWorkspace ONE Access との統合を行い、ユーザーが Windows オペレーティング システムに Active Directory 認証情報を入力することなく Horizon Cloud によって提供される仮想 Windows デスクトップおよびアプリケーションにシングル サインオン (SSO) できるようにする機能です。環境に True SSO が構成されている場合、エンドユーザーは、使用資格が付与されたデスクトップおよびアプリケーションにアクセスするために入力した Workspace ONE URL で認証されます。認証されたら、ユーザーは資格が付与されたデスクトップまたはアプリケーションを、Active Directory 認証情報を求められることなく、起動することができます。

重要: True SSO 構成は、テナント全体の構成です。True SSO 構成は、ポッド フリートのすべての Microsoft Azure の Horizon Cloud ポッドに適用されます。その結果、 Horizon Cloud テナントで初めて True SSO を正常に構成した後で、自動ポッド デプロイ ウィザードを使用して追加の Horizon Cloud ポッドを Microsoft Azure サブスクリプションにデプロイすると、システムはそれらすべてのポッドに同じ True SSO 構成を送信し、それらのポッドに対して同じ True SSO 構成を検証しようとします。

環境で使用するように True SSO を構成することは、複数の手順によるプロセスです。概要レベルでは、手順は次のとおりです。

  1. 以下を実行して、True SSO を操作するために必要なインフラストラクチャを設定します。
    1. Microsoft Windows Server 認証局 (CA) をエンタープライズ CA にするためにインストールおよび構成。このセクションの手順は、Microsoft Windows Server 2012 R2 の場合の手順です。この機能での使用がサポートされているその他の Microsoft Windows Server バージョンでは、同様の手順に従うことができます。
    2. 認証局 (CA) での証明書テンプレートの設定。
      重要: True SSO テンプレートの名前には ASCII 文字のみを使用します。この既知の問題により、True SSO テンプレート名に 非 ASCII 文字または拡張 ASCII 文字が含まれていると Horizon Cloud 環境で True SSO を正しく設定できません。
    3. Horizon Universal Console の Active Directory ページからの Horizon Cloud ペアリング バンドルのダウンロード。ペアリング バンドルは、登録サーバを設定するときに使用されます。
    4. 登録サーバの設定。
      重要: 登録サーバの設定後、 第 1 世代テナント - Horizon Cloud on Microsoft Azure のデプロイ - ホスト名解決の要件、DNS 名に記載されているとおりに登録サーバのポート要件が満たされていることを確認してください。
  2. Horizon Universal Console の Active Directory ページに登録サーバの情報を追加します。

構成が完了すると、ユーザーが資格を持っているデスクトップおよびアプリケーションにユーザーをログインさせるために使用する一時的な証明書を、エンタープライズ CA と登録サーバが連携して発行します。Horizon Cloud ポッドは、登録サーバに対して資格が付与された特定のユーザーの証明書を求めます。登録サーバは要求された証明書を生成する CA に問い合わせて、Horizon Cloud ポッドに証明書を返します。

前提条件

True SSO を設定する前に、少なくとも 1 つの Workspace ONE Access 環境を Horizon Cloud 環境で構成する必要があります。ドキュメントのトピックVMware Workspace ONE およびオプションの True SSO 機能を使用した Horizon Cloud 環境の使用についてを参照して、Horizon Cloud 環境の構成に適した統合手順を実行します。

結果

手順の完了後、環境が True SSO で構成されます。

Horizon Cloud - True SSO - Microsoft Windows Server システムを使用したエンタープライズ認証局の設定

True SSO 機能を使用するために必要な要素は、Microsoft 認証局 (CA) です。認証局 (CA) をまだ設定していない場合、Active Directory Certificate Services (AD CS) ロールを Microsoft Windows Server に追加し、Windows Server がエンタープライズ CA になるように構成する必要があります。この手順を実行するには、Service Manager ウィザードを使用します。

Microsoft 認証局 (CA) の標準的な設定手順を以下に示します。このトピックでは、ラボ環境で使用するのに適した簡単なフォームで手順を説明しますが、実際の本稼動システムでは業界のベスト プラクティスに従って認証局 (CA) を設定することをお勧めします。

認証局 (CA) の設定に関する詳細なガイダンスが必要な場合は、標準の Microsoft テクニカル リファレンスである『ステップ バイ ステップ ガイド - Active Directory 証明書サービス』および『ルート認証局のインストール』を参照してください。

注: このプロセスを説明するために、このトピックの具体的な手順は Windows Server 2012 R2 の使用に基づいています。その他の Windows Server システムでも同様の手順に従うことができます。登録サーバをこの CA をホストするシステムと同じシステムにインストールする場合は、登録サーバでサポートされている Windows Server のバージョンのいずれかを使用していることを確認してください。 第 1 世代の Horizon Cloud - True SSO - 登録サーバの設定を参照してください。

手順

  1. Server Manager ダッシュボードで、[ロールと機能の追加] をクリックしてウィザードを開き、[次へ] をクリックします。
  2. [インストール タイプの選択] ページで、ロールベースまたは機能ベースのインストールを選択し、[次へ] をクリックします。
  3. [サーバの選択] ページで、デフォルトの設定をそのまま使用して [次へ] をクリックします。
  4. [サーバ ロール] ページで以下を実行します。
    1. [Active Directory 証明書サービス] を選択します。
    2. ダイアログで、[管理ツールを含める] を選択し(該当する場合)、[機能の追加] をクリックします。
    3. [次へ] をクリックします。
  5. [機能] ページで、[次へ] をクリックします。
  6. [認証局 CS] ページで、[次へ] をクリックします。
  7. [ロール サービス] ページで、認証局を選択し、[次へ] をクリックします。
  8. [確認] ページで、[必要に応じて自動的にターゲット サーバを再起動する] を選択し、[インストール] をクリックします。
    インストールの進捗状況が表示されます。インストールが完了すると URL リンクが表示され、新しくインストールした認証局 (CA) をターゲット サーバ上で「Active Directory 証明書サービスの構成」として構成できます。
  9. 構成リンクをクリックして構成ウィザードを起動します。
  10. [認証情報] ページで、エンタープライズ管理者グループからユーザー認証情報を入力し、[次へ] をクリックします。
  11. [ロール サービス] ページで、認証局 (CA) を選択し、[次へ] をクリックします。
  12. [セットアップ タイプ] ページで、[エンタープライズ CA] を選択し、[次へ] をクリックします。
  13. [CA のタイプ] ページで、必要に応じて [ルート CA] または [下位 CA] (この例では [ルート CA])を選択し、[次へ] をクリックします。
  14. [プライベート キー] ページで [新しいプライベート キーを作成する] を選択し、[次へ] をクリックします。
  15. [暗号化] ページに以下の情報を入力します。
    フィールド 説明
    暗号化サービス プロバイダ RSA#Microsoft Software Key Storage Provider
    キーの長さ 4096(または別の任意の長さ)
    ハッシュ アルゴリズム SHA256(または別の任意の SHA アルゴリズム)
  16. [CA 名] ページで、任意の値に変更するか、デフォルトの設定をそのまま使用して [次へ] をクリックします。
  17. [有効期間] ページで、必要な設定を行い [次へ] をクリックします。
  18. [証明書データベース] ページで、[次へ] をクリックします。
  19. [確認] ページで情報を確認し、[設定] をクリックします。
  20. 次のタスクを実行して、構成プロセスを完了します(コマンド プロンプトからすべてのコマンドを実行)。
    1. 非パーシステントの証明書の処理用に認証局 (CA) を構成します。 
      certutil –setreg DBFlags 
+DBFLAGS_ENABLEVOLATILEREQUESTS
    2. オフラインの CRL エラーを無視するように認証局 (CA) を構成します。 
      certutil –setreg ca\CRLFlags 
+CRLF_REVCHECK_IGNORE_OFFLINE
    3. 認証局 (CA) サービスを再起動します。 
      net stop certsvc
net start certsvc
  21. Horizon Cloud - True SSO - CA での証明書テンプレートの設定の手順に従って、CA の証明書テンプレートを設定します。

Horizon Cloud - True SSO - CA での証明書テンプレートの設定

認証局 (CA) 上で証明書テンプレートを構成する必要があります。証明書テンプレートは、認証局 (CA) によって生成される証明書の基本です。

前提条件

Horizon Cloud - True SSO - Microsoft Windows Server システムを使用したエンタープライズ認証局の設定で説明する手順を実行します。

手順

  1. 新しいユニバーサル セキュリティ グループを作成します。
    このグループを作成すると、ユーザーに代わって証明書を発行するために必要な権限を単一のセキュリティ グループに割り当てることができるようになります。VMware 登録サーバがインストールされているすべてのコンピュータは、このグループのメンバーになることによってそれらの権限を継承できます。
    1. [開始] をクリックし、dsa.mscと入力します。
      [Active Directory ユーザーとコンピュータ] ウィンドウが表示されます。
    2. ツリーで、ドメイン コントローラの [ユーザー] フォルダを右クリックし、[新規 > グループ] を選択します。
      [新規オブジェクト - グループ] ウィンドウが表示されます。
    3. [グループ名] フィールドで、新しいグループの名前を入力します。たとえば、「True SSO Enrollment Servers」などです。
    4. 次の値を設定します。
      設定
      グループのスコープ ユニバーサル
      グループ タイプ セキュリティ
    5. [OK] をクリックします。
      [Active Directory ユーザーとコンピュータ] ウィンドウのツリーに新しいグループが表示されます。
    6. グループを右クリックして、[プロパティ] を選択します。
    7. タブのメンバーで、登録サーバをインストールするすべてのコンピュータを追加し、[OK]をクリックします。
    8. 登録サーバをインストールするすべてのコンピュータを再起動します。
  2. 証明書テンプレートを構成します。
    1. [コントロール パネル > 管理ツール > 認証局] の順に選択します。
    2. ツリーで、ローカルの認証局 (CA) 名を展開します。
    3. [証明書テンプレート] フォルダを右クリックし、[管理] を選択します。
      証明書テンプレート コンソールが表示されます。
    4. [スマートカード ログイン] テンプレートを右クリックし、[テンプレートの複製] を選択します。
      [新規テンプレートのプロパティ] ウィンドウが表示されます。
    5. ウィンドウのタブに以下のように情報を入力します。
      タブ 設定
      [互換性]
      • [変更の結果を表示] チェック ボックスをオンにします。
      • 認証局:Windows オペレーティング システムを選択します
      • 証明書受信者:Windows オペレーティング システムを選択します。
      [全般]
      重要: True SSO テンプレートの名前には ASCII 文字のみを使用します。この既知の問題により、True SSO テンプレート名に 非 ASCII 文字または拡張 ASCII 文字が含まれていると Horizon Cloud 環境で True SSO を正しく設定できません。
      • [テンプレートの表示名] - 任意の名前。たとえば、「True SSO Template」などです。
      • [テンプレート名] - 任意の名前。たとえば、「True SSO Template」などです。
      • [有効期間] - 1 時間
      • [更新期間] - 0 週間
      [要求の処理]
      • [目的] - [署名とスマートカード ログイン]
      • [スマートカード証明書の自動更新の場合 . . .] チェック ボックスをオンにします。
      • [登録時にユーザーにプロンプトを表示] ラジオ ボタンをオンにします。
      [暗号化]
      • [プロバイダのカテゴリ] - [キー ストレージ プロバイダ]
      • [アルゴリズム名] - [RSA]
      • [キーの最小サイズ] - [2048]
      • [要求に使用可能な任意のプロバイダを使用できる...] ラジオ ボタンをオンにします。
      • [要求ハッシュ] - [SHA256]
      [サブジェクト名]
      • [この Active Directory 情報からビルド] ラジオ ボタンをオンにします。
      • [サブジェクト名の形式] - [完全識別名 (DN)]
      • [ユーザー プリンシパル名 (UPN)] チェック ボックスをオンにします。
      [サーバ] [CA データベース内に証明書および要求を保存しない] チェック ボックスをオンにします。
      [発行の要件]
      • [登録には以下が必要] - [認証された署名の数] を選択して 1 を入力。
      • [署名に必要なポリシー タイプ] - [アプリケーション ポリシー]
      • [アプリケーション ポリシー] - [証明書要求エージェント]
      • [登録には以下が必要] - [有効な既存の証明書]
      セキュリティ 上部のタブで、作成した新しいグループを選択します。次に、下部のタブでは、読み取りと登録権限に対して [許可] を選択します。
    6. [OK] をクリックします。
  3. True SSO のテンプレートを発行します。
    1. [証明書テンプレート] フォルダをもう一度右クリックし、[新規 > 発行する証明書テンプレート] を選択します。
      [証明書テンプレートを有効にする] ウィンドウが表示されます。
    2. [TrueSsoTemplate] を選択し、[OK] をクリックします。
  4. 登録エージェント テンプレートを発行します。
    1. [証明書テンプレート] フォルダをもう一度右クリックし、[新規 > 発行する証明書テンプレート] を選択します。
      [証明書テンプレートを有効にする] ウィンドウが表示されます。
    2. 登録エージェント コンピュータを選択し、[OK] をクリックします。
      注: このテンプレートには、前の手順で発行されたテンプレートと同じセキュリティ設定が必要です。
    これで、認証局 (CA) は True SSO で使用するための適切な証明書テンプレートを使用して設定および構成されました。
  5. Horizon Cloud - True SSO - Horizon Cloud ペアリング バンドルのダウンロードの手順に従って、Horizon Cloud ペアリング バンドルをダウンロードします。

Horizon Cloud - True SSO - Horizon Cloud ペアリング バンドルのダウンロード

True SSO の Horizon Cloud 環境を構成しているときに、登録サーバの設定手順を完了するためにこのペアリング バンドルが必要です。Horizon Universal Console の Active Directory ページから、ペアリング バンドルをダウンロードします。

重要: True SSO 構成は、テナント全体の構成です。True SSO 構成は、ポッド フリートのすべての Microsoft Azure の Horizon Cloud ポッドに適用されます。その結果、 Horizon Cloud テナントで初めて True SSO を正常に構成した後で、自動ポッド デプロイ ウィザードを使用して追加の Horizon Cloud ポッドを Microsoft Azure サブスクリプションにデプロイすると、システムはそれらすべてのポッドに同じ True SSO 構成を送信し、それらのポッドに対して同じ True SSO 構成を検証しようとします。
ペアリング バンドルには、 Horizon Cloud 環境で Microsoft Azure にデプロイされた Horizon Cloud ポッドのそれぞれに対する証明書ファイルが含まれています。True SSO を構成する対象となるポッドについては、それらのポッドの証明書ファイルを登録サーバにアップロードします。ポッドが 1 つの場合は、バンドルには CRT 形式の 1 つの証明書ファイルが含まれます。複数のポッドがある場合は、バンドルにはポッドごとに 1 つ、全部で複数の CRT ファイルが含まれています。各 CRT ファイルの名前は次の形式になります。 
podID_truesso.crt
この podID には、ポッドの [サマリ] ページに表示されているポッドの ID が入ります。

手順

  1. コンソールで、[設定] > [Active Directory] に移動します。
  2. [True SSO の設定] 領域で、[ペアリング トークンのダウンロード] をクリックして pairing_bundle.7z ファイルを取得します。
  3. その内容を抽出できる場所にファイルを保存します。
  4. True SSO を構成する対象となるポッドについては、ポッドの CRT ファイルをペアリング バンドルから、登録サーバを設定するときに取得できる場所に抽出します。
    ペアリング バンドルには、環境内の各ポッドの証明書ファイルが含まれています。各 CRT ファイルの名前は、 podID_truesso.crt の形式を取ります。この場合の podID はポッドの ID 値です。
  5. 第 1 世代の Horizon Cloud - True SSO - 登録サーバの設定の手順に従って、登録サーバをセットアップします。

第 1 世代の Horizon Cloud - True SSO - 登録サーバの設定

このドキュメント ページでは、第 1 世代の Horizon Cloud on Microsoft Azure デプロイで使用するために登録サーバを設定する方法について説明します。

登録サーバ (ES) は、True SSO のインフラストラクチャ設定の最後の手順として Windows Server マシンにインストールする Horizon Cloud on Microsoft Azure コンポーネントです。登録エージェント(コンピュータ)証明書をサーバにデプロイすることにより、この ES が登録エージェントとして機能し、ユーザーに代わって証明書を生成することを承認します。

注目: 第 1 世代テナントでフリート内に複数の Horizon Cloud on Microsoft Azure デプロイがある場合は、登録サーバを設定するときに、これらのデプロイのすべてのポッド マネージャ インスタンスから登録サーバにアクセスできることを確認する必要があります。そうしないと、最後のペアリング手順が失敗します( 完了手順が失敗します)。

True SSO を Horizon Cloud 環境で使用するために構成する」ページの重要な注意事項で説明されているように、True SSO 構成は、テナント全体の構成です。システムは、テナントのフリート内のすべてのポッドに同じ True SSO 構成を送信し、それらのすべてで同じ True SSO 構成を検証しようとします。ポッド A と連携するように登録サーバを立ち上げ、別の登録サーバを立ち上げて Pod-B と連携する場合は、それらの登録サーバの両方が Pod-A と Pod-B の両方からアクセスできる必要があります。

前提条件

Horizon Cloud - True SSO - Microsoft Windows Server システムを使用したエンタープライズ認証局の設定Horizon Cloud - True SSO - CA での証明書テンプレートの設定、および Horizon Cloud - True SSO - Horizon Cloud ペアリング バンドルのダウンロード の手順を完了していることを確認します。

注: このページに記載されている手順の [証明書登録] ウィザードに適切な項目を表示するには、エンタープライズ CA を設定する必要があります。

登録サーバ ソフトウェアをインストールするシステムが、このインストールでサポートされているオペレーティング システム(Windows Server 2012 R2、Windows Server 2016、Windows Server 2019 のいずれか)を実行していることを確認します。システムには、少なくとも 4 GB のメモリが必要です。

注: Windows Server 2022 の使用は、第 1 世代の Horizon Cloud on Microsoft Azure デプロイでの登録サーバの使用のサポートには適していません。

次の手順のラベルは、Windows Server 2016 システムでの手順の実行を反映しています。

手順

  1. 登録サーバをシステムにインストールします。
    1. My VMware サイトから登録サーバの .exe ファイルをダウンロードします。ファイル名は VMware-HorizonCloud-TruessoEnrollmentServer-x86_64-7.3.0-xxxxx.exe のようになります。
    2. システムが前述の前提条件を満たしていることを確認します。
    3. インストーラを実行し、ウィザードに従います。
  2. 登録サーバで、証明書スナップインを MMC (Microsoft 管理コンソール) に追加します。
    1. MMC を開き、[ファイル ] > [スナップインの追加と削除] の順に選択します。
    2. [利用できるスナップイン][証明書] を選択し、[追加] をクリックします。
    3. [証明書スナップイン] ウィンドウで、[コンピュータ アカウント] を選択し、[次へ] をクリックします。
    4. [コンピュータの選択] ウィンドウで、デフォルトの [ローカル コンピュータ] を選択したままにして、[終了] をクリックします。
    5. [スナップインの追加と削除] ウィンドウに戻り、[OK] をクリックして証明書スナップインの追加を完了します。
  3. この登録サーバに登録エージェント証明書をデプロイします。
    1. MMC で、前の手順で追加した [証明書 (ローカル コンピュータ)] を展開し、[個人] フォルダを右クリックして、[すべてのタスク > 新しい証明書の要求] を選択します。
      [証明書登録] ウィザードが起動します。
    2. [証明書登録] ウィザードを続行し、[証明書の要求] 手順に達するまでデフォルト値を受け入れます。
    3. ウィザードの [証明書の要求] 手順で、[登録エージェント (コンピュータ)] チェック ボックスをオンにして、[登録] をクリックします。
    4. ウィザードを続行し、残りの手順のデフォルト値を受け入れて、最後の手順で [終了] をクリックします。
  4. pairing_bundle.7z ファイルから抽出された、True SSO を構成する対象となるポッドの証明書 CRT ファイルをインポートします。
    ペアリング バンドルには、環境内の各ポッドの証明書ファイルが含まれています。各 CRT ファイルの名前は、 podID_truesso.crt の形式を取ります。この場合の podID はポッドの ID 値です。
    1. MMC で、[VMware Horizon View 登録サーバの信頼されたルート] フォルダの [証明書] サブフォルダを右クリックし、[すべてのタスク > インポート] を選択します。
    2. [証明書のインポート] ウィザードで、プロンプトに従って、pairing_bundle.7z バンドルから証明書ファイルを抽出した場所を参照します。
      1 つのみのポッドがある場合は、バンドルに含まれている CRT ファイルは 1 つのみです。複数のポッドがある場合は、バンドルにはそれぞれのポッドの CRT ファイルが含まれています。
    3. 構成しているポッドの数に応じて、1 つまたは複数の証明書ファイルをインポートします。
    4. [次へ] をクリックし、[終了] をクリックします。
  5. Horizon Cloud - True SSO - Horizon Cloud 環境の True SSO の構成を完了するで説明されている残りの構成の手順を完了します。

Horizon Cloud - True SSO - Horizon Cloud 環境の True SSO の構成を完了する

登録サーバが設定されたら、Horizon Universal Console の [Active Directory] ページに情報を入力します。

前提条件

前の手順第 1 世代の Horizon Cloud - True SSO - 登録サーバの設定を完了します。

ポッドのマネージャの仮想マシンと登録サーバのネットワーク トラフィックが、第 1 世代テナント - Horizon Cloud on Microsoft Azure のデプロイ - ホスト名解決の要件、DNS 名に記載されているとおりにポートとプロトコルの要件を満たしていることを確認します。適切なポートでトラフィックが許可されない場合、登録サーバのペアリングは失敗します。

手順

  1. コンソールで、[設定] > [Active Directory] に移動します。
  2. True SSO の設定の横にある [追加] をクリックします。

    [True SSO の設定] ダイアログが表示されます。

    注: 登録サーバはすでに構成されているため、このダイアログの [ペアリング トークンのダウンロード] リンクは無視してかまいません。
  3. 登録サーバの完全修飾ドメイン名 (FQDN) を [プライマリ登録サーバ] フィールドに入力し、フィールドの横にある [ペアリングのテスト] ボタンをクリックします。
    その他の必須フィールドには自動的に入力されます。
  4. [保存] をクリックします
  5. 高可用性のためにセカンダリ登録サーバを構成するには、次の手順を実行します。
    1. 第 1 世代の Horizon Cloud - True SSO - 登録サーバの設定 に記載されたプロセスを 2 台目のマシンに対して繰り返します。
    2. True SSO の設定を編集し、[セカンダリ登録サーバ] フィールドに 2 番目の ES アドレスを追加して、ペアリングをテストします。
    3. もう一度設定を保存します。

結果

構成情報が [Active Directory] ページの [True SSO の設定] に表示されます。

重要: True SSO 構成は、テナント全体の構成です。True SSO 構成は、ポッド フリートのすべての Microsoft Azure の Horizon Cloud ポッドに適用されます。その結果、 Horizon Cloud テナントで初めて True SSO を正常に構成した後で、自動ポッド デプロイ ウィザードを使用して追加の Horizon Cloud ポッドを Microsoft Azure サブスクリプションにデプロイすると、システムはそれらすべてのポッドに同じ True SSO 構成を送信し、それらのポッドに対して同じ True SSO 構成を検証しようとします。