Horizon 7 推出 True SSO 功能後,使用者可以使用智慧卡、RADIUS 或 RSA SecurID 驗證登入 VMware Identity Manager 2.6 和更新版本,而且即使是第一次啟動遠端桌面平台或應用程式,也不會再收到提供 Active Directory 認證的提示。

在舊版中,SSO (Single Sign-On) 的運作方式是在使用者首次啟動遠端桌面平台或已發佈的應用程式,但先前未使用 Active Directory 認證通過驗證時,提示使用者提供 Active Directory 認證。然後系統會快取認證,讓使用者在後續啟動時不必再重新輸入認證。使用 True SSO 將會建立和使用短期憑證而非 AD 認證。

雖然用於設定 VMware Identity Manager 之 SAML 驗證的程序並未改變,但 True SSO 多了一個步驟。您必須設定 VMware Identity Manager,才能啟用 True SSO。

備註: 如果您的部署包含多個連線伺服器執行個體,則必須建立 SAML 驗證器與每個執行個體的關聯。

必要條件

  • 確認已將 Single Sign-On 啟用為全域設定。在 Horizon Administrator 中,選取組態 > 全域設定,並驗證已將 Single Sign-On (SSO) 設定為已啟用
  • 確認已安裝和設定 VMware Identity Manager。請參閱 VMware Identity Manager 說明文件,網址為 https://docs.vmware.com/tw/VMware-Identity-Manager/index.html

  • 確認用於 SAML 伺服器憑證之簽署 CA 的根憑證已安裝在連線伺服器主機上。VMware 建議您不要將 SAML 驗證器設定為使用自我簽署憑證。請參閱《Horizon 7 安裝》文件中〈設定 Horizon 7 Server 的 SSL 憑證〉一章中的〈將根憑證和中繼憑證匯入 Windows 憑證存放區〉。
  • 記下 VMware Identity Manager 伺服器執行個體的 FQDN。

程序

  1. 在 Horizon Administrator 中,選取組態 > 伺服器
  2. 連線伺服器索引標籤上,選取要與 SAML 驗證器建立關聯的伺服器執行個體,然後按一下編輯
  3. 驗證索引標籤上,從將驗證委派給 VMware Horizon (SAML 2.0 驗證器) 下拉式功能表中選取允許必要
    您可以依據需求,將部署中的每個連線伺服器執行個體設定為具有不同的 SAML 驗證設定。
  4. 按一下管理 SAML 驗證器後,按一下新增
  5. 在 [新增 SAML 2.0 驗證器] 對話方塊中設定 SAML 驗證器。
    選項 說明
    標籤 您可以使用 VMware Identity Manager 伺服器執行個體的 FQDN。
    說明 (選用) 您可以使用 VMware Identity Manager 伺服器執行個體的 FQDN。
    中繼資料 URL 用於擷取在 SAML 身分識別提供者與 Horizon Connection Server 執行個體之間交換 SAML 資訊所需之全部資訊的 URL。在 URL https://<YOUR HORIZON SERVER NAME>/SAAS/API/1.0/GET/metadata/idp.xml 中,按一下 <您的 Horizon Server 名稱> 並將其更換為 VMware Identity Manager 伺服器執行個體的 FQDN。
    管理 URL 用於存取 SAML 身分識別提供者 (VMware Identity Manager 執行個體) 之管理主控台的 URL。此 URL 的格式是 https://<Identity-Manager-FQDN>:8443。
  6. 按一下確定以儲存 SAML 驗證器組態。
    如果已提供有效資訊,則必須接受自我簽署憑證 (不建議) 或針對 Horizon 7VMware Identity Manager 使用受信任的憑證。

    SAML 2.0 驗證器下拉式功能表將顯示新建立的驗證器,該驗證器現已設定為選取的驗證器。

  7. 在 Horizon Administrator 儀表板上的 [系統健全狀況] 區段中,選取其他元件 > SAML 2.0 驗證器,選取已新增的 SAML 驗證器,並驗證詳細資料。
    如果設定成功,則驗證器的健全狀況將顯示綠色。如果憑證不受信任、 VMware Identity Manager 服務無法使用,或中繼資料 URL 無效,則驗證器的健全狀況將顯示紅色。如果憑證不受信任,您可以按一下 驗證來驗證並接受此憑證。
  8. 登入 VMware Identity Manager 管理主控台,從類別目錄 > 虛擬應用程式頁面導覽至桌面平台集區,然後選取 True SSO 已啟用核取方塊。

下一步

如需 SAML 驗證運作方式的詳細資訊,請參閱 使用 SAML 驗證