對於 Horizon Cloud Service - next-gen,本頁面說明將 True SSO 功能與 Microsoft Azure 中的 Horizon Edge 搭配使用所需的元素。
您可能已經熟悉如何在先前的 Horizon 部署 (例如,Horizon 8 內部部署或第一代 Horizon Cloud on Microsoft Azure 部署) 中使用 True SSO。
對於 Horizon Cloud Service - next-gen 環境,若要使用 True SSO 功能為使用者提供對其桌面和應用程式的單一登入 (SSO) 存取權限,所需的元素是 Microsoft 企業憑證授權機構以及在該 Microsoft 企業憑證授權機構中專門設定的憑證範本。
Microsoft 企業憑證授權機構
使用 True SSO 需要 Microsoft 企業憑證授權機構。
「Microsoft 企業憑證授權機構」一詞是指在企業模式中執行的 Microsoft 企業憑證授權機構 (Microsoft CA)。由於 True SSO 需要企業組態,因此 True SSO 說明文件會使用「Microsoft 企業憑證授權機構」一詞。
如果您尚未設定憑證授權機構,則必須新增 Active Directory 憑證服務 (AD CS) 角色至 Microsoft Windows Server,並將該伺服器設定為企業 CA。
在設定 Microsoft 企業憑證授權機構的 Microsoft 程序中,您需要安裝 Active Directory 憑證服務 (AD CS) 角色。在 AD CS 設定程序中,您可以選擇將 CA 作為企業 CA 或獨立 CA 執行。
使用 Horizon Cloud 設定 True SSO 所需的憑證範本
指定下列設定,包括 True SSO 範本 Windows Server 簽署憑證的最小金鑰大小。對於 Windows Server 簽署憑證,所需的最小金鑰大小為 2048。指定小於 2048 的最小金鑰大小會導致驗證失敗。
對於 True SSO 範本,請在密碼編譯索引標籤上指定下列設定。
- 對於提供者類別,選取金鑰儲存區提供者。
- 對於演算法名稱,選取 RSA。
- 對於最小金鑰大小,指定 2048。
- 對於選擇可用於要求的密碼編譯提供者,請選取要求可以使用主體電腦上可用的任何提供者。
- 對於要求雜湊,指定 SHA384。
- 按一下儲存。
下面顯示了部分螢幕擷取畫面,其中說明 2048 最小金鑰大小值。
啟用非持續性憑證處理
對於 True SSO 使用的每個 Microsoft 企業憑證授權機構,最佳做法是啟用非持續性憑證處理。
若未在 Microsoft 企業憑證授權機構上啟用非持續性憑證處理,True SSO 憑證仍會儲存在企業 CA 的資料庫中,導致:
- 企業 CA 的資料庫不必要地快速成長。True SSO 為每個新連線要求新憑證。
- 影響效能,因為企業 CA 將隨著其資料庫的成長而耗盡磁碟空間。
如 VMware 知識庫文章 2149312 中所述,為避免出現上述問題,建議啟用 DBFLAGS_ENABLEVOLATILEREQUESTS 設定。如需相關步驟,請參閱知識庫文章。
為用於 Horizon Cloud 的 True SSO 設定所需的憑證範本
True SSO 功能需要在您提供的 Microsoft 企業憑證授權機構上設定憑證範本,以便與 True SSO 和 Horizon Edge 搭配使用。
憑證範本是 Microsoft 企業憑證授權機構產生以用於 True SSO 之憑證的基礎。
註冊服務帳戶需要對 TrueSsoEnrollmentAgent 和 TrueSso 這兩個範本具有讀取和註冊權限。
必要條件
- 確認您具有 True SSO 功能所需的 Microsoft 企業憑證授權機構 (AD CS) 執行個體,如支援將 SSO 用於 Microsoft Azure 中的 Horizon Edge 的憑證授權機構類型中所述。
- 設定防火牆,以允許部署的 Horizon Edge 透過所需的通訊協定和連接埠組合與憑證授權機構執行個體通訊,如Microsoft Azure 中 Horizon Cloud 部署的連接埠和通訊協定需求中所述。
通訊將使用執行個體的 Active Directory 憑證服務 (AD CS)。所需的通訊協定為 RPC/TCP (透過 TPC 的 RPC)。第一個連接埠為連接埠 135,第二個連接埠在 49152 至 65535 範圍內。
- 為進行對防火牆更友好的設定,您可以將 Microsoft 企業憑證授權機構 (AD CS) 執行個體設定為使用靜態 DCOM 連接埠,並將防火牆設定為允許連接埠 135 和所選的靜態 DCOM 連接埠,同時在所有執行個體上將該靜態連接埠設定為相同的連接埠。Microsoft TechNet 如何為 AD CS 設定靜態 DCOM 連接埠中對此組態進行了說明。