在 Horizon 7 推出 True SSO 功能後,使用者可以使用智慧卡、RADIUS 或 RSA SecurID 驗證登入 VMware Identity Manager 2.6 和更新版本,而且即使是第一次啟動遠端桌面平台或應用程式,也不會再收到提供 Active Directory 認證的提示。

執行這項作業的原因和時機

在舊版中,SSO (Single Sign-On) 的運作方式是在使用者首次啟動遠端桌面平台或已發佈的應用程式,但先前未使用 Active Directory 認證通過驗證時,提示使用者提供 Active Directory 認證。然後系統會快取認證,讓使用者在後續啟動時不必再重新輸入認證。使用 True SSO 將會建立和使用短期憑證而非 AD 認證。

雖然用於設定 VMware Identity Manager 之 SAML 驗證的程序並未改變,但 True SSO 多了一個步驟。您必須設定 VMware Identity Manager 來隱藏密碼快顯視窗。

備註︰

如果您的部署包含多個 View 連線伺服器執行個體,則必須將 SAML 驗證器與每個執行個體建立關聯。

先決條件

  • 確認已將 Single Sign-On 啟用為全域設定。在 View Administrator 中,選取組態 > 全域設定,並驗證已將 Single Sign-On (SSO) 設定為已啟用

  • 確認已安裝和設定 VMware Identity Manager。請參閱 VMware Identity Manager 說明文件,網址為 https://www.vmware.com/support/pubs/vidm_pubs.html

  • 確認用於 SAML 伺服器憑證之簽署 CA 的根憑證已安裝在連線伺服器主機上。VMware 建議您不要將 SAML 驗證器設定為使用自我簽署憑證。請參閱 《View 安裝》文件中〈設定 View Server 的 SSL 憑證〉一章中的〈將根憑證和中繼憑證匯入 Windows 憑證存放區〉。

  • 記下 VMware Identity Manager 伺服器執行個體的 FQDN。

程序

  1. 在 Horizon Administrator 中,選取組態 > 伺服器
  2. 連線伺服器索引標籤上,選取要與 SAML 驗證器建立關聯的伺服器執行個體,然後按一下編輯
  3. 驗證索引標籤上,從將驗證委派給 VMware Horizon (SAML 2.0 驗證器) 下拉式功能表中選取允許必要

    視您的需求而定,可以將部署中的每個 View 連線伺服器執行個體設定為具有不同的 SAML 驗證設定。

  4. 按一下管理 SAML 驗證器後,按一下新增
  5. 在 [新增 SAML 2.0 驗證器] 對話方塊中設定 SAML 驗證器。

    選項

    說明

    標籤

    您可以使用 VMware Identity Manager 伺服器執行個體的 FQDN。

    說明

    (選用) 您可以使用 VMware Identity Manager 伺服器執行個體的 FQDN。

    中繼資料 URL

    用於擷取在 SAML 身分識別提供者與 View 連線伺服器執行個體之間交換 SAML 資訊所需之全部資訊的 URL。在 URL https://<YOUR HORIZON SERVER NAME>/SAAS/API/1.0/GET/metadata/idp.xml 中,按一下 <您的 Horizon Server 名稱> 並將其更換為 VMware Identity Manager 伺服器執行個體的 FQDN。

    管理 URL

    用於存取 SAML 身分識別提供者 (VMware Identity Manager 執行個體) 之管理主控台的 URL。此 URL 的格式是 https://<Identity-Manager-FQDN>:8443。

  6. 按一下確定以儲存 SAML 驗證器組態。

    如果已提供有效資訊,則必須接受自我簽署憑證 (不建議) 或針對 ViewVMware Identity Manager 使用受信任的憑證。

    SAML 2.0 驗證器下拉式功能表將顯示新建立的驗證器,該驗證器現已設定為選取的驗證器。

  7. 在 View Administrator 儀表板上的 [系統健全狀況] 區段中,選取其他元件 > SAML 2.0 驗證器,選取已新增的 SAML 驗證器,並驗證詳細資料。

    如果設定成功,則驗證器的健全狀況將顯示綠色。如果憑證不受信任、VMware Identity Manager 服務無法使用,或中繼資料 URL 無效,則驗證器的健全狀況將顯示紅色。如果憑證不受信任,您可以按一下驗證來驗證並接受此憑證。

  8. 登入 VMware Identity Manager 管理主控台,前往 [View 集區] 頁面,然後選取隱藏密碼快顯視窗核取方塊。

下一步

如需 SAML 驗證運作方式的詳細資訊,請參閱 使用 SAML 驗證