本說明文件頁面說明新增 SSO 組態的步驟,該組態針對將 True SSO 功能用於 Horizon Edge 進行設定。您可以使用 Horizon Universal Console 來新增 SSO 組態,並將該 SSO 組態與 Horizon Edge 相關聯。

為網域樹系新增 SSO 組態,使用者將其中每個樹系啟動使用 SSO 的桌面。

您可以使用 Horizon Universal Console來執行這些步驟。

您可以為同一個樹系建立多個 True SSO 組態。一個網域只能與一個 True SSO 組態相關聯 (或是換句話說,只能新增至一個 True SSO 組態)。

在此案例中,當使用者啟動桌面或遠端應用程式時,系統會根據下列依優先順序排列的準則,選擇要使用的 True SSO 組態:

  1. 包含使用者網域的 True SSO 組態。
  2. 與使用者網域同在一個樹系的 True SSO 組態。
備註:支援將 SSO 用於 Horizon Edge 的 CA 類型中所述,對於 True SSO 功能, Horizon Universal Console 將使用標籤 Microsoft CA。當您看到標籤 Microsoft CA 時,請注意該標籤與 True SSO 功能相關聯。

必要條件

確認您或您的團隊已完成下列工作。

  • 在您要在此 SSO 組態中選取的 Active Directory 網域中建立網域註冊帳戶。如設定 Active Directory 網域頁面中所述,網域註冊帳戶是一個註冊服務帳戶,True SSO 功能會使用該帳戶從 Microsoft AD CS (Active Directory 憑證服務) 取得短期憑證。True SSO 使用憑證進行驗證,以避免提示使用者輸入 Active Directory 認證。您可能會看到主控台互換使用「網域註冊帳戶」、「註冊服務帳戶」和「網域註冊服務帳戶」這三個詞彙。
  • 確保您至少設定了兩個已加入網域的企業 CA,且可用於 True SSO。
  • 依照為用於 Horizon Cloud 的 True SSO 設定所需的憑證範本中所述,在 Active Directory 網域中建立一個通用安全群組,並將這些網域註冊帳戶新增至該群組。
  • 依照為用於 Horizon Cloud 的 True SSO 設定所需的憑證範本中所述,完成在 Microsoft 企業憑證授權機構中建立所需範本的步驟。
  • 對於要在此 SSO 組態中選取的 Active Directory 網域,依照設定 Active Directory 網域中所述,在 Active Directory 網域登錄的網域註冊服務帳戶區段中指定註冊帳戶。
  • 決定您要將此 True SSO 組態套用至哪個 Horizon Edge。您將在主控台的新增 SSO 組態 UI 流程中選取 Horizon Edge,如下列步驟中所述。

程序

  1. 按一下導覽列中的整合
  2. 按一下身分識別與存取動態磚上的管理
  3. 按一下 SSO 組態,然後選取新增 > Microsoft CA 以導覽至新增 SSO 組態頁面。
    具有選定 Microsoft CA 類型的 [新增 SSO 組態] 對話方塊
  4. 為 SSO 組態新增唯一的名稱
  5. 選取 Horizon Edge 下拉式功能表中選取 Horizon Edge
    您必須選取至少一個 Horizon Edge。
  6. 選取網域下拉式功能表中,為您的 SSO 組態選取網域,然後按一下新增
    您可以為 SSO 組態新增多個網域。網域必須屬於同一個 AD 樹系。

    在此功能表中,主控台列出了已登錄至環境的所有網域 (顯示在主控台 [身分識別與存取] 頁面的網域索引標籤中)。

    但是,您為此新的 SSO 組態記錄選取的每個網域,都不能是已儲存至系統的其他 SSO 組態中使用的網域。

    您必須選取尚未在其他 SSO 組態中指定的網域。當您按一下探索時,UI 即會對此一情況進行驗證,如下列螢幕擷取畫面所示。在撰寫本文時,驗證訊息如圖所示。


    此螢幕擷取畫面顯示選取了正在使用的網域時,按一下 [探索] 後出現的主控台驗證訊息
  7. 按一下探索以驗證您的選擇。
    當您按一下 探索時,系統會驗證此頁面頂端所述的一些先決條件,例如:
    • 是否有任何選取的網域已在其他 SSO 組態中使用?
    • 選取的網域是否在其網域登錄 (主控台 [身分識別與存取] 頁面的網域索引標籤中列出的登錄) 中指定了註冊服務帳戶?
    • 系統是否可以在您或您的團隊根據 True SSO 要求設定的 Microsoft 企業憑證授權機構中找到所需的憑證範本?
    如果系統成功驗證了所有網域,則 UI 會提供以下功能表供您選擇。
  8. 對於 TrueSSO 範本註冊代理程式範本下拉式功能表,可以接受預設選取項目,或是從其中一或兩個功能表中選取其他範本。
    備註: 如果所選的兩個範本具有任何共用的憑證授權機構執行個體,則會在 憑證授權機構下拉式功能表中列出這些執行個體。
  9. 按一下新增以完成在系統中儲存新 SSO 組態的程序。

結果

系統會將該 SSO 組態傳送至選取的 Horizon Edge。

備註: 對於 [SSO 組態] 頁面,在頁面上列出了 True SSO 組態,並將 [Microsoft CA] 作為 [類型] 資料欄的值。此外,對於 Microsoft CA 組態,憑證授權機構模式和憑證到期時間不適用,因此,[憑證授權機構模式] 和 [憑證到期時間] 資料欄保留空白。

下一步

SSO 組態現已完成,您可以將該 SSO 組態與特定的 Horizon Edge 相關聯。選取容量 > Horizon Edge,選取一個要與新增的 SSO 組態相關聯的 Horizon Edge,然後按一下編輯。在編輯 Horizon Edge 精靈中,對於精靈的每個步驟,按下一步,直至到達 Horizon Edge 閘道區段,然後選取使用 SSO 切換以將其啟用。選取新增的 SSO 組態的名稱,然後根據需要按下一步以完成精靈。

您可以指定將 True SSO 用於使用者桌面以及這些 Horizon Edges 提供的遠端應用程式。指定對桌面和遠端應用程式使用 SSO 是在集區群組層級設定的。使用 Horizon Universal Console 資源導覽功能表,導覽至相關集區群組,然後編輯相關集區群組以在每個集區群組上啟用 SSO。

若要使用主控台來驗證對特定 Horizon Edge 設定的 SSO 組態,請檢視其詳細資料頁面,方法是導覽至容量 > Horizon Edge,然後選取該 Horizon Edge 的名稱。