若要讓使用者能夠透過單一登入 (SSO) 存取其桌面和應用程式,請管理相對應的 Horizon Edge 閘道執行個體上的 SSO。

此程序可讓使用者只需輸入一次憑證後,即可存取其桌面和應用程式。

如需設定 VMware CA 時的相關背景資訊,請參閱關於在 Horizon Cloud Service - next-gen 中使用 VMware CA 實現 SSO

請視需要參閱 Microsoft 說明文件,以完成此程序。例如,若要安裝企業 CA,請參閱安裝憑證授權機構

必要條件

  • 使用 Horizon Universal Console 來建立及下載憑證授權機構 (CA) 服務包。請參閱新增 SSO 組態
  • 若要如同此程序中所述,執行擷取自 VMware CA 服務包的 PowerShell 指令碼,請確認您具有適當的權限。

    此程序會要求您執行 VMware PowerShell 指令碼。您可以使用幾個選項,來執行 VMware PowerShell 指令碼,包括以「企業管理員」群組成員的身分來執行該指令碼。以下的指引會建議您使用較低的權限,但是您可以用「企業管理員」群組成員身分來執行指令碼。這裡的建議旨在確認您具有以下權限。

    • 對 Active Directory 中的「公開金鑰服務」容器具有完整控制權。
    • 對 Active Directory 中的「SubCA」憑證範本具有註冊權限。

程序

  1. 連線至網域成員機器,將 CA 服務包檔案上傳到伺服器,然後解壓縮檔案內容。
    只要您具有適當的權限,就可以從任何網域成員機器中,執行 PowerShell 指令碼。
  2. 開啟 PowerShell,執行命令,然後按照以下子步驟中所述,來對提示做出回應。
    重要: 如果您的部署包含多個網域控制站,或者您是從遠端機器來安裝服務包,則將 CA 憑證傳播到所有網域控制站的過程,可能需要數小時。您可以在所有網域控制站執行個體上執行 'gpupdate.exe /Target:Computer /Force',來縮短執行時間。
    1. 執行下列命令。
      Unblock-File -Path Path to ps1 file
    2. 執行擷取自 CA 服務包中的 ps1 PowerShell 指令碼,並對提示做出回應。
      例如, PS C:\ca\VmwAuthEngine-CA_1> .\VmwAuthEngine-CA_1.ps1

      如果您將 SSO 組態新增成中繼 CA,系統會提示您選取根 CA,以簽署 SSO 中繼 CA。如果適用的話,請選取適當的根 CA。

      輸入 Y,對以下的必要確認提示做出回應,如圖所示。

      Confirmation required Do you want to publish to AD?
      N] No [Y] Yes [?] Help (default is "N"): Y

結果

預期的結果是指令碼執行時不會發生錯誤。但是,如果遇到下列類型的錯誤,請執行所提供的疑難排解建議。
2022-03-22T15:35:39 [INFO ] [VmwAuthEngine-CA-62351bb62ff3dd5966ad3575-1.ps1,67] certutil.exe -dspublish -f C:\SSO-C\Vmw
AuthEngine-CA-62351bb62ff3dd5966ad3575-1.crl
error : 2022-03-22T15:35:39 [ERROR][-2147016563][] Failed to publish base CRL
At C:\SSO-C\VmwAuthEngine-CA-62351bb62ff3dd5966ad3575-1.ps1:303 char:5
+     error $retCode "Failed to publish base CRL"
+     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Write-Error], WriteErrorException
    + FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,error

執行以下 Get-ADRootDSE 命令並檢查輸出,看看用來建立 SSO 組態的 CA 組態網域名稱,是否與下列內容所傳回的內容相符:configurationNamingContext

C:\>
        Get-ADRootDSE -Server dnsDomainName

例如,C:\> Get-ADRootDSE -Server horizonv2.local

輸出:
configurationNamingContext       :  "CN=Configuration,DC=horizonv2,DC=local"
        ...other
        output fields...

如果 CA 組態網域名稱與輸出不相符,您可以使用 Horizon Universal Console,來編輯 SSO 組態,尤其是更正 CA 組態網域名稱。如需有關存取 SSO 組態的資訊,請參閱新增 SSO 組態。若要編輯 SSO 組態,請按一下 SSO 組態旁的三個垂直點,然後選取編輯。更正網域名稱後,您可以下載並發佈已更新的 CA 服務包。

下一步

部署 Horizon Edge 閘道後,請確認 SSO 組態狀態設定適當。在 Horizon Universal Console 中,選取資源 > 容量,按一下您設定的 Horizon Edge 閘道執行個體的名稱,然後捲動至 [SSO 組態] 區段。如果設定正確,該狀態將設定為 READY_TO_SERVE,這表示對於使用者來是說,SSO 可發揮功能。