True SSO のための Horizon Connection Server の構成

vdmutil コマンドラインインターフェイスを使用して、True SSO の構成や有効化/無効化を行うことができます。

この手順は、クラスタ内の 1 つの Connection Server でのみ実行する必要があります。

重要：この手順では、True SSO を有効にするために必要なコマンドのみを使用します。True SSO 構成の管理に使用できるすべての構成オプションとその説明のリストについては、 True SSO 構成のコマンドラインリファレンスを参照してください。

前提条件

管理者ロールを持つユーザーとしてコマンドを実行できることを確認します。Horizon Console を使用して管理者ロールをユーザーに割り当てることができます。ロールベースの委任管理の構成を参照してください。
次のサーバの完全修飾ドメイン名 (FQDN) があることを確認します。
- Connection Server
- 登録サーバ
  詳細については、登録サーバのインストールおよび設定を参照してください。
- エンタープライズ認証局
  詳細については、エンタープライズ認証局の設定を参照してください。
ドメインの Netbios 名または FQDN を把握していることを確認します。
証明書テンプレートが作成されていることを確認します。True SSO とともに使用する証明書テンプレートの作成を参照してください。
認証を VMware Workspace ONE Access に委任するための SAML 認証子が作成されていることを確認します。True SSO と連携するための SAML 認証の構成を参照してください。

手順

クラスタ内の Connection Server で、コマンドプロンプトを開き、登録サーバを追加するためのコマンドを入力します。
```
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --environment --add --enrollmentServer enroll-server-fqdn
```
登録サーバがグローバルリストに追加されます。
登録サーバの情報をリストするコマンドを入力します。
```
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --environment --list --enrollmentServer enroll-server-fqdn --domain domain-fqdn
```
出力には、フォレスト名、登録サーバの証明書が有効かどうか、使用できる証明書テンプレートの名前と詳細、認証局の共通名が表示されます。登録サーバが接続できるドメインを構成するには、登録サーバの Windows レジストリ設定を使用します。デフォルトでは、すべての信頼する側のドメインに接続されます。
重要：次の手順で認証局の共通名を指定する必要があります。
構成情報を保持する True SSO コネクタを作成して有効化するコマンドを入力します。
```
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --create --connector --domain domain-fqdn --template TrueSSO-template-name --primaryEnrollmentServer enroll-server-fqdn --certificateServer ca-common-name --mode enabled
```
このコマンドの TrueSSO-template-name は、前の手順の出力に表示されていたテンプレートの名前で、ca-common-name は、その出力に表示されていたエンタープライズ認証局の共通名です。
True SSO コネクタは、指定されたドメインのプールまたはクラスタで有効になります。プールレベルで True SSO を無効にするには、 vdmUtil --certsso --edit --connector <domain> --mode disabled を実行します。個別の仮想マシンで True SSO を無効にするには、GPO (vdm_agent.adm) を使用できます。
使用可能な SAML 認証子を検出するコマンドを入力します。
```
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --list --authenticator
```
認証子は、Horizon Console を使用して VMware Workspace ONE Access と Connection Server の間の SAML 認証を構成すると作成されます。
出力には、認証子の名前や True SSO が有効になっているかどうかが表示されます。
重要：次の手順で認証子の名前を指定する必要があります。
認証子で True SSO モードを使用できるようにするコマンドを入力します。
```
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --authenticator --edit --name authenticator-fqdn --truessoMode {ENABLED|ALWAYS}
```
ユーザーが VMware Workspace ONE Access にログインしたときにパスワードを入力しなかった場合にのみ True SSO を使用するには、--truessoMode に ENABLED を使用します。この場合、パスワードが使用されていてキャッシュされていれば、そのパスワードが使用されます。ユーザーが VMware Workspace ONE Access にログインしたときにパスワードを入力した場合でも True SSO を使用するには、--truessoMode を ALWAYS に設定します。

次のタスク

Horizon Console で、True SSO 構成の健全性ステータスを確認します。詳細については、ダッシュボードを使用した True SSO に関する問題のトラブルシューティングを参照してください。

詳細設定オプションを構成するには、適切なシステムの Windows の詳細設定を使用します。True SSO の詳細設定を参照してください。