在 Horizon 7 推出 True SSO 功能後,使用者可以使用智慧卡、RADIUS 或 RSA SecurID 驗證登入 VMware Identity Manager 2.6 和更新版本,而且即使是第一次啟動遠端桌面平台或應用程式,也不會再收到提供 Active Directory 認證的提示。
在舊版中,SSO (Single Sign-On) 的運作方式是在使用者首次啟動遠端桌面平台或已發佈的應用程式,但先前未使用 Active Directory 認證通過驗證時,提示使用者提供 Active Directory 認證。然後系統會快取認證,讓使用者在後續啟動時不必再重新輸入認證。使用 True SSO 將會建立和使用短期憑證而非 AD 認證。
雖然用於設定 VMware Identity Manager 之 SAML 驗證的程序並未改變,但 True SSO 多了一個步驟。您必須設定 VMware Identity Manager,才能啟用 True SSO。
備註: 如果您的部署包含多個連線伺服器執行個體,則必須建立 SAML 驗證器與每個執行個體的關聯。
必要條件
- 確認已將 Single Sign-On 啟用為全域設定。在 Horizon Administrator 中,選取組態 > 全域設定,並驗證已將 Single Sign-On (SSO) 設定為已啟用。
-
確認已安裝和設定 VMware Identity Manager。請參閱 VMware Identity Manager 說明文件,網址為 https://docs.vmware.com/tw/VMware-Identity-Manager/index.html。
- 確認用於 SAML 伺服器憑證之簽署 CA 的根憑證已安裝在連線伺服器主機上。VMware 建議您不要將 SAML 驗證器設定為使用自我簽署憑證。請參閱《Horizon 7 安裝》文件中〈設定 Horizon 7 Server 的 SSL 憑證〉一章中的〈將根憑證和中繼憑證匯入 Windows 憑證存放區〉。
- 記下 VMware Identity Manager 伺服器執行個體的 FQDN。
程序
下一步
- 延長連線伺服器中繼資料的到期期限,使遠端工作階段不會在 24 小時後即終止。請參閱在連線伺服器上變更服務提供者中繼資料的到期期限。
- 使用 vdmutil 命令列介面在連線伺服器上設定 True SSO。請參閱設定 Horizon 連線伺服器使用 True SSO。
如需 SAML 驗證運作方式的詳細資訊,請參閱 使用 SAML 驗證。