Horizon Cloud 환경에서 사용하도록 True SSO 구성

Active Directory 도메인을 Horizon Cloud 환경에 등록한 후 VMware Workspace ONE과 통합한 경우 이에 대한 True SSO를 구성할 수 있습니다. True SSO는 Workspace ONE Access와 통합되어 사용자가 Windows 운영 체제에 Active Directory 자격 증명을 입력할 필요 없이 Horizon Cloud에서 제공하는 가상 Windows 데스크톱 및 애플리케이션에 싱글 사인온(SSO)을 사용할 수 있도록 하는 기능입니다. True SSO가 환경에 대해 구성된 경우 최종 사용자는 권한이 부여된 데스크톱 및 애플리케이션에 액세스하기 위해 사용자에게 제공한 Workspace ONE URL에서 인증을 받습니다. 이와 같이 인증하면 Active Directory 자격 증명을 입력하라는 프롬프트 없이 사용자가 사용 권한이 부여된 데스크톱 또는 애플리케이션을 실행할 수 있습니다.

중요: True SSO 구성은 테넌트 전체의 구성 유형입니다. True SSO 구성은 포드 그룹에 있는 Microsoft Azure의 Horizon Cloud 포드 모두에 적용됩니다. 따라서 Horizon Cloud 테넌트에서 True SSO를 처음 성공적으로 구성한 후 나중에 자동화된 포드 배포 마법사를 사용하여 추가 Horizon Cloud 포드를 Microsoft Azure 구독에 배포하면 시스템은 해당하는 모든 포드에 동일한 True SSO 구성을 전송하고 해당 포드에 대해 동일한 True SSO 구성을 검증하려고 합니다.

사용자 환경에 사용하도록 True SSO를 구성하는 작업은 여러 단계로 진행되는 프로세스입니다. 개괄적인 단계는 다음과 같습니다.

다음을 포함하여 True SSO가 작동하는 데 필요한 인프라를 설정합니다.
1. 엔터프라이즈 CA가 될 Microsoft Windows Server CA(인증 기관) 설치 및 구성. 이 섹션에 있는 절차는 Microsoft Windows Server 2012 R2의 경우입니다. 이 기능을 사용하도록 지원되는 다른 Microsoft Windows Server 버전에 대해 매우 유사한 단계를 따를 수 있습니다.
2. CA에서 인증서 템플릿 설정
  중요: True SSO 템플릿의 이름에는 ASCII 문자만 사용하십시오. 알려진 문제로 인해, True SSO 템플릿 이름에 ASCII 이외 문자나 상위 ASCII 문자가 포함된 경우, Horizon Cloud 환경에서 True SSO를 성공적으로 구성할 수 없습니다.
3. Horizon Universal Console의 [Active Directory] 페이지에서 Horizon Cloud 연결 번들 다운로드. 연결 번들은 등록 서버를 설정할 때 사용됩니다.
4. 등록 서버 설정
  중요: 등록 서버를 설정한 후에 1세대 테넌트 - Horizon Cloud on Microsoft Azure 배포 - 호스트 이름 확인 요구 사항, DNS 이름에 설명된 등록 서버에 대한 포트 요구 사항을 충족하는지 확인합니다.
Horizon Universal Console의 [Active Directory] 페이지에 등록 서버 정보 추가.

구성이 완료되면 엔터프라이즈 CA와 등록 서버가 함께 작동하여 사용 권한이 부여된 데스크톱 및 애플리케이션에 사용자를 로그인시키는 데 사용되는 일시적인 인증서를 발행합니다. Horizon Cloud 포드는 특정 사용 권한이 부여된 사용자에게 인증서의 등록 서버를 묻습니다. 등록 서버는 CA에 접속하여 요청된 인증서를 생성한 다음 해당 인증서를 Horizon Cloud 포드에 반환합니다.

사전 요구 사항

True SSO를 구성하기 전에 Horizon Cloud 환경을 사용하여 하나 이상의 Workspace ONE Access 환경을 구성해야 합니다. VMware Workspace ONE 및 True SSO 기능과 함께 Horizon Cloud 환경 사용 정보 설명서 항목을 참조하고 Horizon Cloud 환경의 구성에 적합한 통합 절차를 따르십시오.

결과

이러한 단계를 완료하면 환경이 True SSO를 사용하도록 구성됩니다.

Horizon Cloud - True SSO - SSO Microsoft Windows Server 시스템을 사용하여 엔터프라이즈 CA(인증 기관) 설정

True SSO 기능을 사용하는 데 필요한 요소는 Microsoft CA(인증 기관)입니다. 이미 CA(인증 기관)가 설정되어 있지 않은 경우에는 Microsoft Windows Server에 AD CS(Active Directory Certificate Services) 역할을 추가하고 서버를 Enterprise CA로 구성해야 합니다. Service Manager 마법사를 사용하여 이 절차를 수행할 수 있습니다.

다음은 Microsoft CA를 설정하는 표준 단계입니다. 이 항목에서는 랩 환경에서 사용하기에 적합한 간단한 형식으로 단계를 상세화하지만, 실제 생산 시스템의 경우 CA 구성을 위한 업계 모범 사례를 따르는 것이 좋습니다.

CA 설정에 대한 추가 안내가 필요한 경우, 표준 Microsoft 기술 참조서(Active Directory 인증서 서비스 단계별 가이드 및 루트 인증 기관 설치)를 확인하십시오.

참고: 이 프로세스를 설명하기 위해 이 항목의 특정 단계는 Windows Server 2012 R2 사용을 기준으로 합니다. 다른 Windows Server 시스템에서도 유사한 단계를 진행할 수 있습니다. 이 CA를 호스팅하는 동일한 시스템에 등록 서버를 설치하려면 등록 서버에 대해 지원되는 Windows Server 버전 중 하나를 사용하고 있는지 확인하십시오. 1세대 Horizon Cloud - True SSO - 등록 서버 설정 항목을 참조하십시오.

프로시저

서버 관리자 대시보드에서 역할 및 기능 추가를 클릭하여 마법사를 열고 다음을 클릭합니다.
설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치를 선택하고 다음을 클릭합니다.
서버 선택 페이지에서 기본값을 그대로 두고 다음을 클릭합니다.
서버 역할 페이지에서:
1. Active Directory 인증서 서비스를 선택합니다.
2. 대화 상자에서 관리 도구 포함(있는 경우)을 선택하고 기능 추가를 클릭합니다.
3. 다음을 클릭합니다.
기능 페이지에서 다음을 클릭합니다.
AD CS 페이지에서 다음을 클릭합니다.
역할 서비스 페이지에서 인증 기관을 선택하고 다음을 클릭합니다.
확인 페이지에서 [자동으로 대상 서버를 다시 시작해야 함]을 선택하고 설치를 클릭합니다.
설치 진행률이 표시됩니다. 설치가 완료되면 URL 링크가 표시되어, 대상 서버에서 "Active Directory 인증서 서비스 구성"으로 새로 설치된 CA를 구성할 수 있습니다.
구성 링크를 클릭하여 구성 마법사를 시작합니다.
[자격 증명] 페이지의 엔터프라이즈 관리자 그룹에서 사용자 자격 증명을 입력하고 다음을 클릭합니다.
역할 서비스 페이지에서 CA를 선택하고 다음을 클릭합니다.
설정 유형 페이지에서 [엔터프라이즈 CA]를 선택하고 다음을 클릭합니다.
[CA 유형] 페이지에서 적절한 루트 또는 하위 CA(이 예제에서는 루트 CA)를 선택하고 다음을 클릭합니다.
[개인 키] 페이지에서 [새 개인 키 만들기]를 선택하고 다음을 클릭합니다.

[암호화] 페이지에서 다음과 같이 정보를 입력합니다.


필드	설명
암호화 공급자	RSA#Microsoft 소프트웨어 키 스토리지 제공자
키 길이	4096(또는 원하는 경우 다른 길이)
해시 알고리즘	SHA256(또는 원하는 경우 다른 SHA 알고리즘)

CA 이름 페이지에서 원하는 대로 구성하거나 기본값을 승인하고 다음을 클릭합니다.
[유효 기간] 페이지에서 원하는 대로 구성하고 다음을 클릭합니다.
[인증서 데이터베이스] 페이지에서 다음을 클릭합니다.
[확인] 페이지에서 정보를 검토하고 구성을 클릭합니다.
다음 작업을 수행하여 구성 프로세스를 완료합니다(명령 프롬프트에서 모든 명령 실행).
1. 비영구 인증서 처리를 위한 CA 구성
```
certutil –setreg DBFlags 
+DBFLAGS_ENABLEVOLATILEREQUESTS
```
2. CA가 오프라인 CRL 오류를 무시하도록 구성
```
certutil –setreg ca\CRLFlags 
+CRLF_REVCHECK_IGNORE_OFFLINE
```
3. CA 서비스 다시 시작
```
net stop certsvc
net start certsvc
```
Horizon Cloud - True SSO - CA에서 인증서 템플릿 설정의 단계에 따라 CA에서 인증서 템플릿을 설정합니다.

Horizon Cloud - True SSO - CA에서 인증서 템플릿 설정

CA에서 인증서 템플릿을 구성해야 합니다. 인증서 템플릿은 CA가 생성하는 인증서의 기준입니다.

사전 요구 사항

Horizon Cloud - True SSO - SSO Microsoft Windows Server 시스템을 사용하여 엔터프라이즈 CA(인증 기관) 설정에 설명된 단계를 완료하십시오.

프로시저

새 범용 보안 그룹을 생성합니다.

이 그룹을 생성하면 사용자 대신 인증서를 발행하는 데 필요한 권한을 할당할 수 있는 단일 보안 그룹을 생성할 수 있습니다. VMware 등록 서버가 설치된 모든 컴퓨터는 이 그룹의 구성원이 되어 이러한 권한을 상속할 수 있습니다.

시작을 클릭하고 dsa.msc를 입력합니다.
[Active Directory 사용자 및 컴퓨터] 창이 표시됩니다.
트리에서 도메인 컨트롤러에 대한 Users 폴더를 마우스 오른쪽 버튼으로 클릭하고 새로 만들기 > 그룹을 선택합니다.
[새 개체 - 그룹] 창이 표시됩니다.
그룹 이름 필드에 새 그룹의 이름을 입력합니다. 예: True SSO 등록 서버.

다음 값을 설정합니다.


설정	값
그룹 범위	범용
그룹 유형	보안

확인을 클릭합니다.
새 그룹이 [Active Directory 사용자 및 컴퓨터] 창의 트리에 나타납니다.
그룹을 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다.
[구성원] 탭에서 등록 서버를 설치할 모든 컴퓨터를 추가한 후 확인을 클릭합니다.
등록 서버를 설치할 모든 컴퓨터를 다시 시작합니다.

인증서 템플릿을 구성합니다.

제어판 > 관리 도구 > 인증 기관을 선택합니다.
트리에서 로컬 CA 이름을 확장합니다.
Certificate Templates 폴더를 마우스 오른쪽 버튼으로 클릭하고 관리를 선택합니다.
인증서 템플릿 콘솔이 표시됩니다.
스마트카드 로그온 템플릿을 마우스 오른쪽 버튼으로 클릭하고 템플릿 복제를 선택합니다.
[새 템플릿의 속성] 창이 표시됩니다.

아래에 설명된 대로 창의 탭에 정보를 입력합니다.


탭	설정
호환성	결과 변경 내용 표시 확인란 선택. 인증 기관 - Windows 운영 체제 선택 인증서 수신자 - Windows 운영 체제 선택
일반	중요: True SSO 템플릿의 이름에는 ASCII 문자만 사용하십시오. 알려진 문제로 인해, True SSO 템플릿 이름에 ASCII 이외 문자나 상위 ASCII 문자가 포함된 경우, Horizon Cloud 환경에서 True SSO를 성공적으로 구성할 수 없습니다. 템플릿 표시 이름 - 선택사항의 이름. 예: True SSO 템플릿. 템플릿 이름 - 선택사항의 이름. 예: True SSO 템플릿. 유효 기간 - 1시간 갱신 기간 - 0주
요청 처리	목적 - 서명 및 스마트 카드 로그온 스마트 카드 인증서를 자동 리뉴얼할 경우... 확인란 선택 등록 중 사용자 증명 라디오 버튼 선택
암호화	제공자 범주 - 키 스토리지 제공자 알고리즘 이름 - RSA 최소 키 크기 - 2048 요청에 사용 가능한 모든 제공자를 사용할 수 있음.... 라디오 버튼 선택 요청 해시 - SHA256
주체 이름	이 Active Directory 정보에서 빌드 라디오 버튼 선택. 주체 이름 형식 - 완전히 고유한(Fully distinguished) 이름 UPN(사용자 계정 이름) 확인란 선택.
서버	CA 데이터베이스에 인증서 및 요청 저장 안 함 확인란 선택
발급 요구사항	등록을 위한 필수 작업 - 인증된 서명 수를 선택하고 `1`을 입력합니다. 서명 - 애플리케이션 정책에서 정책 유형 필수 애플리케이션 정책 - 인증서 요청 에이전트 등록을 위한 필수 작업 - 유효한 기존 인증서
보안	탭의 상단부에서 앞서 만든 새 그룹을 선택합니다. 탭의 하단부에서 읽기 및 등록 권한에 대해 허용을 선택합니다.

확인을 클릭합니다.

True SSO에 대한 템플릿을 발행합니다.
1. Certificate Templates 폴더를 다시 마우스 오른쪽 버튼으로 클릭하고 새로 만들기 > 발급할 인증서 템플릿을 선택합니다.
  [인증서 템플릿 사용] 창이 표시됩니다.
2. TrueSsoTemplate을 선택하고 확인을 클릭합니다.
등록 에이전트 템플릿을 발행합니다.
1. Certificate Templates 폴더를 다시 마우스 오른쪽 버튼으로 클릭하고 새로 만들기 > 발급할 인증서 템플릿을 선택합니다.
  [인증서 템플릿 사용] 창이 표시됩니다.
2. 등록 에이전트 컴퓨터를 선택하고 확인을 클릭합니다.
  
  참고: 이 템플릿은 보안 설정이 이전 단계에서 발급된 템플릿과 동일해야 합니다.
이제 True SSO와 함께 사용하기에 적합한 인증서 템플릿으로 CA가 설정되고 구성되었습니다.
Horizon Cloud - True SSO - Horizon Cloud 페어링 번들 다운로드의 단계에 따라 Horizon Cloud 연결 번들을 다운로드합니다.

Horizon Cloud - True SSO - Horizon Cloud 페어링 번들 다운로드

True SSO에 대한 Horizon Cloud 환경을 구성할 때 등록 서버 설정 단계를 완료하려면 이 연결 번들이 필요합니다. Horizon Universal Console의 [Active Directory] 페이지에서 연결 번들을 다운로드합니다.

연결 번들에는 Horizon Cloud 환경에 대해 Microsoft Azure에 배포된 각 Horizon Cloud 포드에 대한 인증서 파일이 포함되어 있습니다. True SSO를 구성하려는 포드에 대해 해당 포드의 인증서 파일을 등록 서버에 업로드합니다. 하나의 포드가 있으면 CRT 형식의 인증서 파일 하나가 번들에 포함됩니다. 둘 이상의 포드가 있으면 포드당 하나씩 여러 개의 CRT 파일이 번들에 포함됩니다. 각 CRT 파일의 이름은 다음 패턴을 따릅니다.

podID_truesso.crt

여기서 podID는 포드의 요약 페이지에 표시되는 포드의 ID입니다.

프로시저

콘솔에서 설정 > Active Directory로 이동합니다.
True SSO 구성 영역에서 연결 토큰 다운로드를 클릭하여 pairing_bundle.7z 파일을 가져옵니다.
해당 컨텐츠를 추출할 수 있는 위치에 파일을 저장합니다.
True SSO를 구성하려는 포드의 경우 등록 서버를 설정할 때 검색할 수 있는 위치에 연결 번들의 포드 CRT 파일을 추출합니다.
연결 번들에는 사용자 환경의 각 포드에 대한 인증서 파일이 포함되어 있습니다. 각 CRT 파일 이름은 podID_truesso.crt 패턴을 따릅니다. 여기서 podID는 포드의 ID 값입니다.
1세대 Horizon Cloud - True SSO - 등록 서버 설정의 단계에 따라 등록 서버를 설정합니다.

1세대 Horizon Cloud - True SSO - 등록 서버 설정

이 설명서 페이지에서는 1세대 Horizon Cloud on Microsoft Azure 배포에 사용할 등록 서버를 설정하는 방법을 설명합니다.

등록 서버(ES)는 True SSO용 인프라 설정의 마지막 단계로 Windows Server 시스템에 설치하는 Horizon Cloud on Microsoft Azure 구성 요소입니다. 등록 에이전트(컴퓨터) 인증서를 서버에 배포하여 이 ES를 등록 에이전트 역할을 하고 사용자 대신 인증서를 생성하기 위한 요소로 인증합니다.

주의: 1세대 테넌트에 여러 Horizon Cloud on Microsoft Azure 배포가 있는 경우 등록 서버를 설정할 때 해당 배포의 모든 포드 관리자 인스턴스에서 등록 서버에 연결할 수 있는지 확인해야 합니다. 그러지 않으면 최종 연결 단계가 실패합니다( 완료 단계가 실패함).

Horizon Cloud 환경에서 사용할 True SSO 구성 페이지의 중요 참고 사항에 설명된 것처럼 True SSO 구성은 테넌트 차원의 구성 유형입니다. 시스템은 테넌트 그룹의 모든 포드에 동일한 True SSO 구성을 전송하고 모든 포드에서 동일한 True SSO 구성을 검증하려고 시도합니다. 포드 A와 함께 작업하기 위해 등록 서버를 설정하고 포드 B와 함께 작동하도록 별도의 등록 서버를 설정하는 경우 포드 A 및 포드 B 둘 다에서 해당 등록 서버에 연결할 수 있어야 합니다.

사전 요구 사항

Horizon Cloud - True SSO - SSO Microsoft Windows Server 시스템을 사용하여 엔터프라이즈 CA(인증 기관) 설정, Horizon Cloud - True SSO - CA에서 인증서 템플릿 설정 및 Horizon Cloud - True SSO - Horizon Cloud 페어링 번들 다운로드의 단계를 완료했는지 확인합니다.

참고: 이 페이지에 설명된 단계의 [인증서 등록] 마법사에서 해당 항목을 보려면 엔터프라이즈 CA를 설정해야 합니다.

등록 서버 소프트웨어를 설치할 시스템에서 이 설치에 대해 지원되는 운영 체제, 즉 Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 중 하나를 실행 중인지 확인합니다. 시스템에는 최소 4GB의 메모리가 있어야 합니다.

참고: Windows Server 2022를 사용할 경우 1세대 Horizon Cloud on Microsoft Azure 배포에서 등록 서버 사용을 지원할 수 있는 자격이 없습니다.

다음 단계의 레이블은 Windows Server 2016 시스템에서 실행 단계를 반영합니다.

프로시저

시스템에 등록 서버를 설치합니다.
1. My VMware 사이트에서 Enrollment Server.exe 파일을 다운로드합니다. 파일 이름은 VMware-HorizonCloud-TruessoEnrollmentServer-x86_64-7.3.0-xxxxx.exe와 비슷합니다.
2. 시스템이 이전에 언급한 사전 요구 사항을 충족하는지 확인합니다.
3. 설치 관리자를 실행하고 마법사를 따릅니다.
등록 서버에서 MMC(Microsoft Management Console)에 인증서 스냅인을 추가합니다.
1. MMC를 열고 파일 > 스냅인 추가/제거를 선택합니다.
2. 사용 가능한 스냅인에서 인증서를 선택하고 추가를 클릭합니다.
3. [인증서 스냅인] 창에서 컴퓨터 계정을 선택하고 다음을 클릭합니다.
4. [컴퓨터 선택] 창에서 기본값인 로컬 컴퓨터를 그대로 두고 마침을 클릭합니다.
5. [스냅인 추가 또는 제거] 창에서 확인을 클릭하여 인증서 스냅인 추가를 완료합니다.
이 등록 서버에 등록 에이전트 인증서를 배포합니다.
1. MMC에서 이전 단계에서 추가한 인증서(로컬 컴퓨터)를 확장한 후 개인 폴더를 마우스 오른쪽 버튼으로 클릭한 후 모든 작업 > 새 인증서 요청을 선택합니다.
  인증서 등록 마법사가 시작됩니다.
2. 인증서 요청 단계에 도달할 때까지 기본값을 수락하고 [인증서 등록] 마법사를 계속 진행합니다.
3. 마법사의 인증서 요청 단계에서 등록 에이전트(컴퓨터) 확인란을 선택하고 등록을 클릭합니다.
4. 나머지 단계에서 기본값을 수락하여 마법사를 계속 진행하고 마지막 단계에서 마침을 클릭합니다.
True SSO를 구성하려는 포드에 대해 pairing_bundle.7z 파일에서 추출된 포드의 인증서 CRT 파일을 가져옵니다.
연결 번들에는 사용자 환경의 각 포드에 대한 인증서 파일이 포함되어 있습니다. 각 CRT 파일 이름은 podID_truesso.crt 패턴을 따릅니다. 여기서 podID는 포드의 ID 값입니다.
1. MMC에서 VMware Horizon View Enrollment Server Trusted Roots 폴더 아래 Certificates 하위 폴더를 마우스 오른쪽 버튼으로 클릭하고 모든 작업 > 가져오기를 선택합니다.
2. [인증서 가져오기] 마법사에서 지침에 따라 pairing_bundle.7z 번들에서 인증서 파일을 추출한 위치로 이동합니다.
  하나의 포드만 있으면 하나의 CRT 파일만 번들에 포함됩니다. 둘 이상의 포드가 있으면 각 포드에 대한 CRT 파일이 번들에 포함됩니다.
3. 구성 중인 포드의 수에 따라 하나 이상의 인증서 파일을 가져옵니다.
4. 다음을 클릭한 다음 마침을 클릭합니다.
Horizon Cloud - True SSO - Horizon Cloud 환경에 대한 True SSO 구성 완료에 설명된 나머지 구성 단계를 완료합니다.

Horizon Cloud - True SSO - Horizon Cloud 환경에 대한 True SSO 구성 완료

등록 서버가 설정된 후 Horizon Universal Console의 [Active Directory] 페이지에 정보를 입력합니다.

사전 요구 사항

이전 단계 1세대 Horizon Cloud - True SSO - 등록 서버 설정을 완료합니다.

1세대 테넌트 - Horizon Cloud on Microsoft Azure 배포 - 호스트 이름 확인 요구 사항, DNS 이름에 설명된 대로 포드 관리자 VM 및 등록 서버 네트워크 트래픽에 대한 포트 및 프로토콜 요구 사항을 충족하는지 확인합니다. 해당 포트가 트래픽을 허용하지 않는 경우 등록 서버의 연결이 실패합니다.

프로시저

콘솔에서 설정 > Active Directory로 이동합니다.
True SSO 구성 옆에 있는 추가를 클릭합니다.

True SSO 구성 대화상자가 표시됩니다.

참고: 등록 서버를 이미 구성했으므로 이 대화상자의 연결 토큰 다운로드 링크를 무시할 수 있습니다.
기본 등록 서버 필드에 등록 서버의 FQDN(정규화된 도메인 이름)을 입력하고 필드 옆에 있는 연결 테스트 버튼을 클릭합니다.
다른 필수 필드는 자동으로 채워집니다.
저장을 클릭합니다.
고가용성을 위해 보조 등록 서버를 구성하려면 다음을 수행합니다.
1. 두 번째 시스템에서 1세대 Horizon Cloud - True SSO - 등록 서버 설정에 설명된 프로세스를 반복합니다.
2. True SSO 구성을 편집하고 [보조 등록 서버] 필드에 두 번째 ES 주소를 추가한 후 연결을 테스트합니다.
3. 구성을 다시 저장합니다.

결과

이제 구성 정보는 True SSO 구성 아래 Active Directory 페이지에 나타납니다.