최종 사용자에게 데스크톱 및 애플리케이션에 대한 SSO(Single Sign-On) 액세스 권한을 제공하려면 해당 Horizon Edge 게이트웨이 인스턴스에서 SSO를 관리합니다.

이 절차를 통해 최종 사용자는 자격 증명을 한 번 입력한 후 데스크톱 및 애플리케이션에 액세스할 수 있습니다.

VMware CA 구성에 대한 배경 정보는 Horizon Cloud Service - next-gen에서 SSO을 위해 VMware CA 사용 항목을 참조하십시오.

이 절차를 완료하려면 필요에 따라 Microsoft 설명서를 참조하십시오. 예를 들어 엔터프라이즈 CA를 설치하려면 인증 기관 설치를 참조하십시오.

사전 요구 사항

  • Horizon Universal Console을 사용하여 CA(인증 기관) 번들을 생성하고 다운로드합니다. VMware CA에 대한 Horizon Cloud Service - next-gen에 SSO 구성 추가 항목을 참조하십시오.
  • 이 절차에 설명된 대로 VMware CA 번들에서 추출된 PowerShell 스크립트를 실행하려면 적절한 사용 권한이 있는지 확인합니다.

    이 절차를 수행하려면 VMware PowerShell 스크립트를 실행해야 합니다. VMware PowerShell 스크립트를 실행하려는 경우 엔터프라이즈 관리자 그룹의 멤버 권한으로 스크립트 실행을 비롯한 몇 가지 옵션을 사용할 수 있습니다. 다음에 나와 있는 지침은 덜 강력한 사용 권한을 사용하지만 엔터프라이즈 관리자 그룹의 멤버로 스크립트를 실행할 수 있음을 제안합니다. 여기에서 제안되는 내용은 다음 사용 권한이 있는지 확인하는 것입니다.

    • Active Directory의 "공용 키 서비스" 컨테이너에 대한 모든 사용 권한.
    • Active Directory의 "SubCA" 인증서 템플릿에 대한 등록 사용 권한.

프로시저

  1. 도메인 멤버 시스템에 연결하고 CA 번들 파일을 서버에 업로드한 후 파일 컨텐츠의 압축을 풉니다.
    적절한 사용 권한이 있는 한 도메인 멤버 시스템에서 PowerShell 스크립트를 실행할 수 있습니다.
  2. PowerShell을 열고 명령을 실행한 후 다음 하위 단계에 설명된 대로 프롬프트에 응답합니다.
    중요: 배포가 여러 도메인 컨트롤러로 구성되거나 원격 시스템에서 번들을 설치하는 경우 CA 인증서를 모든 도메인 컨트롤러에 전파하는 데 몇 시간이 걸릴 수 있습니다. 모든 도메인 컨트롤러 인스턴스에서 'gpupdate.exe /Target:Computer /Force'를 실행하여 실행 시간을 줄일 수 있습니다.
    1. 다음 명령을 실행합니다. 
      Unblock-File -Path Path to ps1 file
    2. CA 번들에서 추출된 ps1 PowerShell 스크립트를 실행하고 프롬프트에 응답합니다.
      예를 들면 PS C:\ca\VmwAuthEngine-CA_1> .\VmwAuthEngine-CA_1.ps1과 같습니다.

      SSO 구성을 중간 CA로 추가한 경우 VMware CA CSR에 서명할 MSFT 엔터프라이즈 CA를 선택하라는 메시지가 표시됩니다. 루트 또는 중간 MSFT 엔터프라이즈 CA를 선택하여 VMware CA CSR을 처리할 수 있습니다. 해당하는 경우 적절한 엔터프라이즈 CA를 선택합니다. 선택한 엔터프라이즈 CA에 대해 하위 인증 기관 템플릿을 사용하도록 설정해야 합니다.

      다음과 같이 Y를 사용하여 다음 필수 확인 프롬프트에 응답합니다.

      확인 필요 AD에 게시하시겠습니까?
      [N] 아니요[Y] 예 [?] 도움말(기본값: "N"): Y

결과

예상된 결과는 스크립트가 오류 없이 실행되는 것입니다. 따라서 다음과 같은 유형의 오류가 발생하면 제공된 문제 해결 제안을 수행합니다. 
2022-03-22T15:35:39 [INFO ] [VmwAuthEngine-CA-62351bb62ff3dd5966ad3575-1.ps1,67] certutil.exe -dspublish -f C:\SSO-C\Vmw
AuthEngine-CA-62351bb62ff3dd5966ad3575-1.crl
error : 2022-03-22T15:35:39 [ERROR][-2147016563][] Failed to publish base CRL
At C:\SSO-C\VmwAuthEngine-CA-62351bb62ff3dd5966ad3575-1.ps1:303 char:5
+     error $retCode "Failed to publish base CRL"
+     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Write-Error], WriteErrorException
    + FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,error

다음 Get-ADRootDSE 명령을 실행하고 출력을 확인하여 SSO 구성을 생성하는 데 사용되는 CA 구성 도메인 이름이 다음 속성이 반환하는 값과 일치하는지 확인합니다. configurationNamingContext.

C:\>
        Get-ADRootDSE -Server dnsDomainName

예를 들면 C:\> Get-ADRootDSE -Server horizonv2.local과 같습니다.

출력: 
configurationNamingContext       :  "CN=Configuration,DC=horizonv2,DC=local"
        ...other
        output fields...

CA 구성 도메인 이름이 출력과 일치하지 않는 경우 Horizon Universal Console을 사용하여 SSO 구성을 편집할 수 있습니다. 특히 CA 구성 도메인 이름을 수정할 수 있습니다. SSO 구성 액세스에 대한 자세한 내용은 VMware CA에 대한 Horizon Cloud Service - next-gen에 SSO 구성 추가 항목을 참조하십시오. SSO 구성을 편집하려면 SSO 구성 옆에 있는 세로 점 3개를 클릭하고 편집을 선택합니다. 도메인 이름을 수정한 후 업데이트된 CA 번들을 다운로드하여 게시할 수 있습니다.

다음에 수행할 작업

Horizon Edge 게이트웨이를 배포한 후 SSO 구성 상태가 올바르게 설정되어 있는지 확인합니다. Horizon Universal Console에서 리소스 > 용량을 선택하고 구성한 Horizon Edge 게이트웨이 인스턴스의 이름을 클릭한 후 구성을 편집하여 SSO 사용 옵션을 활성화합니다. SSO 구성을 선택하여 Horizon Edge 게이트웨이에 연결합니다. 저장하고 상태가 최종 사용자에게 SSO가 작동한다는 것을 나타내는 READY_TO_SERVE로 설정되어 있는지 확인합니다.