Horizon Cloud - True SSO 요구 사항 - Microsoft Enterprise 인증 기관, 필수 인증서 템플릿

Horizon Cloud Service - next-gen의 경우 이 페이지에서는 Microsoft Azure의 Horizon Edge에서 True SSO 기능을 사용하는 데 필요한 요소를 설명합니다.

Horizon 8 온-프레미스 또는 1세대 Horizon Cloud on Microsoft Azure 배포와 같은 이전 Horizon 배포에서 True SSO를 사용하는 데 이미 익숙할 수 있습니다.

Horizon Cloud Service - next-gen 환경의 경우 최종 사용자에게 데스크톱 및 애플리케이션에 대한 SSO(Single Sign-On) 액세스 권한을 제공하기 위해 True SSO 기능을 사용하는 데 필요한 요소는 해당 Microsoft Enterprise 인증 기관으로, 해당 Microsoft Enterprise 인증 기관에서 특수하게 구성된 인증서 템플릿입니다.

Microsoft Enterprise 인증 기관

True SSO를 사용하려면 Microsoft Enterprise Certificate Authority가 필요합니다.

Microsoft Enterprise Certificate Authority라는 용어는 엔터프라이즈 모드에서 실행되는 Microsoft CA(Microsoft 인증 기관)를 나타냅니다. True SSO에는 엔터프라이즈 구성이 필요하므로 True SSO 설명서에서는 Microsoft Enterprise Certificate Authority 라는 문구를 사용합니다.

팁: 운영 환경의 모범 사례는 이중화 및 로드 밸런싱을 제공하기 위해 이러한 인증 기관을 최소 2개 유지하는 것입니다.

이미 인증 기관이 설정되어 있지 않은 경우에는 Microsoft Windows Server에 AD CS(Active Directory Certificate Services) 역할을 추가하고 Enterprise CA로 구성해야 합니다.

Microsoft Enterprise 인증 기관을 구성하기 위한 Microsoft 절차 내에서 AD CS(Active Directory 인증서 서비스) 역할을 설치합니다. AD CS 설정 프로세스에서는 CA를 엔터프라이즈 CA로 실행할지 또는 독립형 CA로 실행할지를 선택할 수 있습니다.

Horizon Cloud 사용하여 True SSO에 대한 필수 인증서 템플릿 설정

True SSO 템플릿에 대한 Windows Server 서명 인증서의 최소 키 크기를 포함하여 다음 설정을 지정합니다. Windows Server 서명 인증서의 경우 필요한 최소 키 크기는 2048입니다. 최소 키 크기를 2048보다 작게 지정하면 인증이 실패합니다.

True SSO 템플릿의 경우 암호화 탭에서 다음 설정을 지정합니다.

제공자 범주에서 키 저장소 제공자를 선택합니다.
알고리즘 이름에서 RSA를 선택합니다.
최소 키 크기에서 2048을 지정합니다.
요청에 사용할 수 있는 암호화 제공자 선택에서 요청에 주체 컴퓨터에서 사용할 수 있는 모든 제공자를 사용할 수 있음을 선택합니다.
요청 해시에서 SHA384를 지정합니다.
저장을 클릭합니다.

2048 최소 키 크기 값을 보여주는 부분 스크린샷이 아래에 표시됩니다.

텍스트에 설명된 대로 [암호화] 탭에 최소 키 크기가 2048로 표시됨

비영구 인증서 처리 사용

True SSO에서 사용하는 각 Microsoft Enterprise Certificate Authority에 대해 비영구 인증서 처리를 사용하도록 설정하는 것이 좋습니다.

Microsoft Enterprise Certificate Authority에서 비영구 인증서 처리를 사용하도록 설정하지 않으면 True SSO 인증서가 엔터프라이즈 CA의 데이터베이스에 저장된 상태로 유지되어 다음이 발생합니다.

엔터프라이즈 CA의 데이터베이스가 불필요하게 빠르게 증가합니다. True SSO는 모든 새 연결에 대해 새 인증서를 요청합니다.
데이터베이스가 커짐에 따라 엔터프라이즈 CA의 디스크 공간이 부족하기 때문에 성능에 영향을 미칩니다.

VMware KB 2149312에 설명된 대로 위의 문제를 방지하려면 DBFLAGS_ENABLEVOLATILEREQUESTS 설정을 사용하도록 지정하는 것이 좋습니다. 단계에 대해서는 KB 문서를 참조하십시오.

참고: KB 문서에서는 DBFLAGS_ENABLEVOLATILEREQUESTS를 사용하도록 설정하기 위한 권장 사항을 설명하는 것 외에도 다른 설정인 CRLF_REVCHECK_IGNORE의 용도를 설명합니다. CRLF_REVCHECK_IGNORE_OFFLINE 설정을 사용하도록 설정하는 것은 PKI 아키텍처에 따라 좌우됩니다. CRLF_REVCHECK_IGNORE_OFFLINE 설정을 사용하도록 설정하는 것은 True SSO 및 Horizon Cloud에 엄격하거나 어려운 요구 사항이 아닙니다.

Horizon Cloud를 사용하여 True SSO에 대한 필수 인증서 템플릿 설정

True SSO 기능을 사용하려면 True SSO 및 Horizon Edge에서 사용하도록 제공하는 Microsoft Enterprise 인증 기관에서 인증서 템플릿을 구성해야 합니다.

인증서 템플릿은 Microsoft Enterprise 인증 기관이 True SSO에서 사용하기 위해 생성하는 인증서의 기반이 됩니다.

등록 서비스 계정에는 두 템플릿 TrueSsoEnrollmentAgent 및 TrueSso에 대해 읽기 및 등록 권한이 필요합니다.

사전 요구 사항

Microsoft Azure의 Horizon Edge에서 SSO를 사용하기 위해 지원되는 인증 기관 유형에 설명된 대로 True SSO 기능에 필요한 Microsoft Enterprise 인증 기관(AD CS) 인스턴스가 있는지 확인합니다.
배포된 Horizon Edge가 Microsoft Azure에서 Horizon Cloud 배포에 대한 포트 및 프로토콜 요구 사항에 설명된 필수 프로토콜 및 포트 조합을 사용하여 CA(인증 기관) 인스턴스와 통신할 수 있도록 방화벽을 구성합니다.
통신은 인스턴스의 AD CS(Active Directory 인증서 서비스)를 사용합니다. 필요한 프로토콜은 RPC/TCP(TPC를 통한 RPC)입니다. 첫 번째 포트는 135이고 두 번째 포트는 49152 -65535 범위 내에 있습니다.
보다 방화벽 친화적인 구성을 위해 고정 DCOM 포트를 사용하도록 Microsoft Enterprise 인증 기관(AD CS) 인스턴스를 구성하고 포트 135 및 선택한 고정 DCOM 포트를 허용하도록 방화벽을 구성하여 해당 정적 포트가 모든 인스턴스에서 동일하도록 구성할 수 있습니다. 이 구성은 Microsoft TechNet AD CS에 대한 고정 DCOM 포트를 구성하는 방법에 설명되어 있습니다.

참고: 다음 단계는 운영 체제 Microsoft Windows Server 2016 Standard를 실행하는 Microsoft Enterprise 인증 기관을 사용하여 수행되었습니다. 해당 시스템에서 단계의 스크린샷이 작성되었습니다. 따라서 단계 및 스크린샷에 언급된 레이블에는 해당 운영 체제가 반영됩니다. Microsoft Enterprise 인증 기관이 다른 운영 체제 버전의 Windows Server를 실행하는 경우 아래의 레이블 및 스크린샷과 비교할 때 시스템에서 약간 차이가 나타날 수 있습니다.

프로시저

Active Directory에서 새 범용 보안 그룹을 생성합니다.

이 그룹을 생성하면 사용자 대신 인증서를 발행하는 데 필요한 권한을 할당할 수 있는 단일 보안 그룹을 생성할 수 있습니다. 그런 후 모든 등록 서비스 계정이 이 그룹의 구성원이 되어 해당 필수 권한을 상속할 수 있습니다.

서버 관리자의 도구 메뉴에서 또는 dsa.msc 명령을 실행하여 Active Directory 사용자 및 컴퓨터 도구를 엽니다.

Active Directory 사용자 및 컴퓨터 도구에서 True SSO에 필요한 도메인 등록 계정에 대한 새 그룹을 생성합니다.

그룹에 원하는 이름(예: True SSO 등록 계정)을 지정합니다. 또한 다음을 설정합니다.


설정	값
그룹 범위	범용
그룹 유형	보안

확인을 클릭하여 새 그룹을 저장합니다.
그런 다음, 도메인 등록 계정을 이 새 그룹의 멤버로 추가합니다.
True SSO를 사용하기 위해 사용할 모든 도메인 등록 서비스 계정을 추가합니다.
이러한 계정은 Active Directory 도메인 설정에 설명된 대로 Horizon Universal Console을 사용하여 도메인 등록 UI 흐름에 추가한 계정과 동일합니다.

인증 기관 도구 및 해당 인증서 템플릿 콘솔을 사용하여 True SSO 등록 에이전트 인증서 템플릿을 구성합니다.
1. 인증 기관 도구를 엽니다.
  이 도구를 여는 몇 가지 방법은 서버 관리자의 도구 메뉴, 시작 메뉴의 Windows 관리 도구를 사용하거나 certsrv.msc를 실행하는 것입니다.
2. 인증 기관 도구의 왼쪽 트리에서 Certificate Templates 폴더가 표시될 때까지 로컬 CA 이름을 확장합니다.
3. Certificate Templates 폴더를 마우스 오른쪽 버튼으로 클릭하고 관리를 선택하여 인증서 템플릿 콘솔을 엽니다.
  다음 스크린샷에서는 Window Server 2016을 실행하는 시스템에서 이 단계를 보여 줍니다.
  
  인증서 템플릿 콘솔이 표시됩니다.
4. 나열된 등록 에이전트 템플릿을 마우스 오른쪽 버튼으로 클릭하고 템플릿 복제를 선택합니다.
  다음 스크린샷에서는 Window Server 2016을 실행하는 시스템에서 이 단계를 보여 줍니다.
  
  새 템플릿의 속성 창이 표시됩니다.
5. 다음 섹션에 설명된 대로 창 탭에 정보를 입력합니다.
  참고: 아래 스크린샷은 운영 체제 Microsoft Windows Server 2016 Standard를 실행하는 Microsoft Enterprise 인증 기관을 사용하여 작성되었습니다. Microsoft Enterprise 인증 기관이 다른 운영 체제 버전의 Windows Server를 실행하는 경우 Windows 시스템의 UI에서 약간 차이가 나타날 수 있습니다.
  일반 탭
  
  중요: True SSO 템플릿의 이름에는 ASCII 문자만 사용하십시오. 알려진 문제로 인해, True SSO 템플릿 이름에 ASCII 이외 문자나 상위 ASCII 문자가 포함된 경우, Horizon Cloud 환경에서 True SSO를 성공적으로 구성할 수 없습니다.
  
  템플릿 표시 이름
  
  이 새 템플릿이 True SSO 등록 에이전트용임을 나타내는 이름(예: True SSO 등록 에이전트)을 입력합니다.
  
  템플릿 이름
  
  앞의 템플릿 표시 이름을 입력하면 도구는 공백 없는 템플릿 표시 이름 항목과 일치하도록 해당 이름을 여기에 자동으로 입력합니다.
  예를 들어 템플릿 표시 이름에 True SSO 등록 에이전트를 입력한 경우 이 도구는 이 템플릿 이름을 자동으로 TrueSsoEnrollmentAgent로 설정합니다.
  
  다음 스크린샷은 템플릿 표시 이름을 True SSO 등록 에이전트로 입력한 후의 이 탭 모습을 보여 줍니다.
  
  [보안] 탭
  보안 탭에서 True SSO 등록 계정에 대해 생성한 새 범용 보안 그룹에 Read 및 Enroll 사용 권한을 부여합니다.
  
  그룹 또는 사용자 이름 섹션에서 True SSO 등록 계정에 대해 생성한 그룹을 추가합니다.
  
  해당 그룹을 선택하고 [사용 권한] 섹션에서 Read 및 Enroll 사용 권한에 대해 허용을 선택합니다.
6. 새 템플릿의 속성 창에서 확인을 클릭하여 새 True SSO 등록 에이전트 템플릿을 저장합니다.
새 True SSO 등록 에이전트 템플릿은 인증서 템플릿 콘솔에 나열되며 사용자가 지정한 템플릿 표시 이름을 사용하여 표시되고 용도를 인증서 요청 에이전트로 표시합니다.
다음 화면에서는 나열된 새 템플릿을 보여 줍니다.
동일한 인증서 템플릿 콘솔에서 True SSO 스마트 카드 로그온 템플릿을 구성합니다.
1. 인증서 템플릿 콘솔에서 나열된 스마트 카드 로그온 템플릿을 마우스 오른쪽 버튼으로 클릭하고 템플릿 복제를 선택합니다.
  다음 스크린샷에서는 Window Server 2016을 실행하는 시스템에서 이 단계를 보여 줍니다.
  
  새 템플릿의 속성 창이 표시됩니다.
2. 다음 섹션에 설명된 대로 창 탭에 정보를 입력합니다.
  경고:
  이러한 사항을 따라야 합니다. 그렇지 않으면 시스템에서 필요한 값을 설정하지 못하게 되며 강제로 단계를 취소하고 다시 실행하게 됩니다. 이 요구 사항은 Windows 시스템 동작입니다.
  - 다음 글머리 기호에 설명된 대로 미리 지정된 특정 순서에 따라 3개의 탭에서 필요한 설정을 지정할 때까지 [속성] 창에서 적용 및 확인을 선택하지 마십시오.
    창에서 적용하거나 저장하기 전에 아래 설명된 3개 탭에서 설정을 구성하기 위한 이러한 지침을 따르지 못할 경우 Windows는 [암호화] 탭의 제공자 범주를 강제로 읽기 전용으로 설정한 다음, 나중에 True SSO에서 요구하는 키 스토리지 제공자 설정으로 변경할 수 없습니다.
    따라서 창에 적용하거나 저장하기 전에 아래에 지정된 올바른 순서로 다음 3개 탭에서 구성을 완료해야 합니다.
  - 이러한 탭을 구성한 첫 번째 탭으로 구성하고 다음과 같은 특정 순서로 구성합니다.
    
    호환성 탭
    
    일반 탭
    
    암호화 탭
  이렇게 순서가 규정된 이유는 [호환성] 탭에서 설정을 변경하면 시스템이 다른 탭에서 관련 옵션을 동적으로 사용할 수 있도록 하기 때문입니다. [암호화] 탭을 업데이트하기 전에 창에서 적용하거나 저장하면 True SSO에서 요구하는 구성을 설정하지 못하게 됩니다. 따라서 창에서 적용하거나 저장하기 전에 나열된 순서대로 탭의 설정을 위 및 아래로 구성해야 합니다.
  [호환성] 탭
  참고: 암호화 탭에서 적절한 옵션을 사용할 수 있도록 호환성 탭에서 이러한 선택을 수행해야 합니다.
  
  결과 변경 내용 표시 확인란 선택.
  
  인증 기관 - 시스템에서는 Microsoft Windows에서 이 설정에 사용할 수 있는 선택 항목을 제공합니다. True SSO 요구 사항을 충족하려면 Windows Server 2008 R2 선택 항목 또는 메뉴에 표시된 이후 릴리스 중 하나를 선택합니다.
  
  인증서 수신자 - 시스템에서는 Microsoft Windows에서 이 설정에 사용할 수 있는 선택 항목을 제공합니다. True SSO 요구 사항을 충족하려면 Windows 7/Server 2008 R2 선택 항목 또는 메뉴에 표시된 이후 릴리스 중 하나를 선택합니다.
  일반 탭
  
  중요: True SSO 템플릿의 이름에는 ASCII 문자만 사용하십시오. 알려진 문제로 인해, True SSO 템플릿 이름에 ASCII 이외 문자나 상위 ASCII 문자가 포함된 경우, Horizon Cloud 환경에서 True SSO를 성공적으로 구성할 수 없습니다.
  
  템플릿 표시 이름
  
  이 새 템플릿이 True SSO에서 사용 중임을 나타내는 이름(예: True SSO)을 입력합니다.
  
  템플릿 이름
  
  앞의 템플릿 표시 이름을 입력하면 도구는 공백 없는 템플릿 표시 이름 항목과 일치하도록 해당 이름을 여기에 자동으로 입력합니다.
  예를 들어 템플릿 표시 이름에 True SSO를 입력한 경우 이 도구는 이 템플릿 이름을 자동으로 TrueSSO로 설정합니다.
  
  유효 기간
  
  1시간
  
  갱신 기간
  
  0주
  
  다음 스크린샷은 템플릿 표시 이름을 True SSO로 입력한 후의 이 탭 모습을 보여 줍니다.
  
  [암호화] 탭
  제공자 범주 - 키 스토리지 제공자
  
  알고리즘 이름 - RSA
  
  최소 키 크기 - 2048
  
  요청에 주체 컴퓨터에서 사용할 수 있는 모든 제공자를 사용할 수 있음 라디오 버튼을 선택합니다.
  
  요청 해시 - SHA384
  [요청 처리] 탭
  목적 - 서명 및 스마트 카드 로그온
  
  스마트 카드 인증서의 자동 갱신을 위해 새 키를 생성할 수 없는 경우 기존 키 사용 확인란을 선택합니다.
  
  등록 중 사용자 증명 라디오 버튼을 선택합니다.
  [주체 이름] 탭
  이 Active Directory 정보에서 빌드 라디오 버튼을 선택합니다.
  
  주체 이름 형식 - 완전히 고유한(Fully distinguished) 이름
  
  UPN(사용자 계정 이름) 확인란 선택.
  [서버] 탭
  
  CA 데이터베이스에 인증서 및 요청 저장 안 함 확인란을 선택합니다.
  중요: 발행된 인증서에 해지 정보를 포함하지 않음 레이블이 지정된 두 번째 확인란을 선택 취소해야 합니다.
  첫 번째 확인란을 선택하면 발급된 인증서에 해지 정보를 포함하지 않음이 자동으로 선택됩니다.
  
  두 번째 확인란인 발행된 인증서에 해지 정보를 포함하지 않음을 선택 취소해야 합니다.
  
  [발급 요구 사항] 탭
  등록을 위한 필수 작업 - 인증된 서명 수를 선택하고 1을 입력합니다.
  
  서명 - 애플리케이션 정책에서 정책 유형 필수
  
  애플리케이션 정책 - 인증서 요청 에이전트
  
  재등록을 위한 필수 작업 - 유효한 기존 인증서
  [보안] 탭
  보안 탭에서 True SSO 등록 계정에 대해 생성한 새 범용 보안 그룹에 Read 및 Enroll 사용 권한을 부여합니다.
  
  그룹 또는 사용자 이름 섹션에서 True SSO 등록 계정에 대해 생성한 그룹을 추가합니다.
  
  해당 그룹을 선택하고 [사용 권한] 섹션에서 Read 및 Enroll 사용 권한에 대해 허용을 선택합니다.
3. 새 템플릿의 속성 창에서 확인을 클릭하여 새 True SSO 템플릿 저장을 완료합니다.
새 True SSO 템플릿은 인증서 템플릿 콘솔에 나열되며 사용자가 지정한 템플릿 표시 이름을 사용하여 표시되고 클라이언트 인증의 용도를 스마트 카드 로그온으로 표시합니다.
다음 화면에서는 나열된 새 템플릿을 보여 줍니다.
이제 인증서 템플릿 콘솔을 닫고 인증 기관 도구로 돌아갈 수 있습니다.
True SSO에 대한 템플릿을 발행합니다.
1. 인증 기관 도구에서 Certificate Templates 폴더를 마우스 오른쪽 버튼으로 클릭하고 새로 생성 > 발급할 인증서 템플릿을 선택합니다.
  다음 스크린샷에서는 Window Server 2016을 실행하는 시스템에서 이 단계를 보여 줍니다.
  
  [인증서 템플릿 사용] 창이 표시됩니다.
2. 이전 단계에서 생성한 True SSO 템플릿을 선택하고 확인을 클릭합니다.
  다음 스크린샷에서는 Window Server 2016을 실행하는 시스템에서 이 단계를 보여 줍니다.
중요: True SSO 기능에 사용하려는 모든 Microsoft Enterprise 인증 기관 인스턴스에서 이러한 작업을 수행해야 합니다.
True SSO 등록 에이전트 템플릿에 대해 동일한 발급 단계를 반복합니다.
1. 인증 기관 도구에서 Certificate Templates 폴더를 마우스 오른쪽 버튼으로 클릭하고 새로 생성 > 발급할 인증서 템플릿을 선택합니다.
  
  [인증서 템플릿 사용] 창이 표시됩니다.
2. 이전 단계에서 생성한 True SSO 등록 에이전트 템플릿을 선택하고 확인을 클릭합니다.
  다음 스크린샷에서는 Window Server 2016을 실행하는 시스템에서 이 단계를 보여 줍니다.
  
  중요: True SSO에 사용하려는 모든 Microsoft Enterprise 인증 기관 인스턴스에서 이러한 작업을 수행해야 합니다.
이제 Microsoft Enterprise 인증 기관이 True SSO 기능에 사용하는 데 필요한 인증서 템플릿으로 설정되고 구성됩니다.