對於 Horizon Cloud Service - next-gen,本頁面說明將 True SSO 功能與 Microsoft Azure 中的 Horizon Edge 搭配使用所需的元素。

您可能已經熟悉如何在先前的 Horizon 部署 (例如,Horizon 8 內部部署或第一代 Horizon Cloud on Microsoft Azure 部署) 中使用 True SSO。

對於 Horizon Cloud Service - next-gen 環境,若要使用 True SSO 功能為使用者提供對其桌面和應用程式的單一登入 (SSO) 存取權限,所需的元素是 Microsoft 企業憑證授權機構以及在該 Microsoft 企業憑證授權機構中專門設定的憑證範本。

Microsoft 企業憑證授權機構

使用 True SSO 需要 Microsoft 企業憑證授權機構。

「Microsoft 企業憑證授權機構」一詞是指在企業模式中執行的 Microsoft 企業憑證授權機構 (Microsoft CA)。由於 True SSO 需要企業組態,因此 True SSO 說明文件會使用「Microsoft 企業憑證授權機構」一詞。

提示: 在生產環境中,最佳做法是至少具有兩 (2) 個此類憑證授權機構來提供備援和負載平衡。

如果您尚未設定憑證授權機構,則必須新增 Active Directory 憑證服務 (AD CS) 角色至 Microsoft Windows Server,並將該伺服器設定為企業 CA。

在設定 Microsoft 企業憑證授權機構的 Microsoft 程序中,您需要安裝 Active Directory 憑證服務 (AD CS) 角色。在 AD CS 設定程序中,您可以選擇將 CA 作為企業 CA 或獨立 CA 執行。

使用 Horizon Cloud 設定 True SSO 所需的憑證範本

指定下列設定,包括 True SSO 範本 Windows Server 簽署憑證的最小金鑰大小。對於 Windows Server 簽署憑證,所需的最小金鑰大小為 2048。指定小於 2048 的最小金鑰大小會導致驗證失敗。

對於 True SSO 範本,請在密碼編譯索引標籤上指定下列設定。

  1. 對於提供者類別,選取金鑰儲存區提供者
  2. 對於演算法名稱,選取 RSA
  3. 對於最小金鑰大小,指定 2048
  4. 對於選擇可用於要求的密碼編譯提供者,請選取要求可以使用主體電腦上可用的任何提供者
  5. 對於要求雜湊,指定 SHA384
  6. 按一下儲存

下面顯示了部分螢幕擷取畫面,其中說明 2048 最小金鑰大小值。

[密碼編譯] 索引標籤上的顯示最小金鑰大小為 2048,如文字所述。

啟用非持續性憑證處理

對於 True SSO 使用的每個 Microsoft 企業憑證授權機構,最佳做法是啟用非持續性憑證處理。

若未在 Microsoft 企業憑證授權機構上啟用非持續性憑證處理,True SSO 憑證仍會儲存在企業 CA 的資料庫中,導致:

  • 企業 CA 的資料庫不必要地快速成長。True SSO 為每個新連線要求新憑證。
  • 影響效能,因為企業 CA 將隨著其資料庫的成長而耗盡磁碟空間。

VMware 知識庫文章 2149312 中所述,為避免出現上述問題,建議啟用 DBFLAGS_ENABLEVOLATILEREQUESTS 設定。如需相關步驟,請參閱知識庫文章。

備註: 除了說明啟用 DBFLAGS_ENABLEVOLATILEREQUESTS 的建議外,該知識庫文章也介紹了另一項設定 ( CRLF_REVCHECK_IGNORE_OFFLINE) 的用法。是否啟用 CRLF_REVCHECK_IGNORE_OFFLINE 設定取決於您的 PKI 架構。對於 True SSO 和 Horizon Cloud,啟用 CRLF_REVCHECK_IGNORE_OFFLINE 設定並非嚴格或硬性要求。

為用於 Horizon CloudTrue SSO 設定所需的憑證範本

True SSO 功能需要在您提供的 Microsoft 企業憑證授權機構上設定憑證範本,以便與 True SSO 和 Horizon Edge 搭配使用。

憑證範本是 Microsoft 企業憑證授權機構產生以用於 True SSO 之憑證的基礎。

註冊服務帳戶需要對 TrueSsoEnrollmentAgentTrueSso 這兩個範本具有讀取註冊權限。

必要條件

  • 確認您具有 True SSO 功能所需的 Microsoft 企業憑證授權機構 (AD CS) 執行個體,如支援將 SSO 用於 Microsoft Azure 中的 Horizon Edge 的憑證授權機構類型中所述。
  • 設定防火牆,以允許部署的 Horizon Edge 透過所需的通訊協定和連接埠組合與憑證授權機構執行個體通訊,如Microsoft Azure 中 Horizon Cloud 部署的連接埠和通訊協定需求中所述。

    通訊將使用執行個體的 Active Directory 憑證服務 (AD CS)。所需的通訊協定為 RPC/TCP (透過 TPC 的 RPC)。第一個連接埠為連接埠 135,第二個連接埠在 49152 至 65535 範圍內。

  • 為進行對防火牆更友好的設定,您可以將 Microsoft 企業憑證授權機構 (AD CS) 執行個體設定為使用靜態 DCOM 連接埠,並將防火牆設定為允許連接埠 135 和所選的靜態 DCOM 連接埠,同時在所有執行個體上將該靜態連接埠設定為相同的連接埠。Microsoft TechNet 如何為 AD CS 設定靜態 DCOM 連接埠中對此組態進行了說明。
備註: 以下步驟是使用執行 Microsoft Windows Server 2016 Standard 作業系統的 Microsoft 企業憑證授權機構執行的。這些步驟中的螢幕擷取畫面是從該系統取得的。因此,這些步驟中提及的標籤和螢幕擷取畫面都反映了該作業系統。如果您的 Microsoft 企業憑證授權機構執行的是不同作業系統版本的 Windows Server,您在系統中看到的標籤和螢幕擷取畫面可能與以下所示略有差異。

程序

  1. 在 Active Directory 中建立新的通用安全群組。
    建立此群組可讓您將代表使用者發行憑證所需的權限指派給單一安全群組。然後,所有註冊服務帳戶均可藉由成為此群組的成員來繼承這些所需權限。
    1. 從 [伺服器管理員] 的工具功能表中或透過執行 dsa.msc 命令,開啟 Active Directory 使用者和電腦工具。
    2. 在 Active Directory 使用者和電腦工具中,為 True SSO 所需的網域註冊帳戶建立一個新群組。
      為該群組選擇一個名稱,例如 True SSO Enrollment Accounts。此外,也請設定以下內容:
      設定
      群組範圍 通用
      群組類型 安全性
    3. 按一下確定以儲存新群組。
    4. 然後,將網域註冊帳戶新增為該新群組的成員。
      新增您將用於使用 True SSO 的每個網域註冊服務帳戶。

      這些帳戶將與您使用 Horizon Universal Console 在 [網域登錄] UI 流程中新增的帳戶相同,如設定 Active Directory 網域中所述。

  2. 使用憑證授權機構工具及其憑證範本主控台設定 True SSO 註冊代理程式憑證範本。
    1. 開啟憑證授權機構工具。
      開啟此工具的一些方法包括使用 [伺服器管理員] 的 工具功能表、使用 開始功能表的 Windows 系統管理工具,或是執行 certsrv.msc
    2. 在憑證授權機構工具的左側樹狀結構中,展開本機 CA 名稱,直到看到 [憑證範本] 資料夾。
    3. 在 [憑證範本] 資料夾上按一下滑鼠右鍵並選取管理,以開啟 [憑證範本主控台]。
      以下螢幕擷取畫面顯示在執行 Window Server 2016 的系統中的此一步驟。
      此螢幕擷取畫面顯示憑證授權機構工具中 [憑證範本] 資料夾上的 [管理] 功能表
      [憑證範本主控台] 隨即顯示。
    4. 註冊代理程式範本上按一下滑鼠右鍵,然後選取複製範本
      以下螢幕擷取畫面顯示在執行 Window Server 2016 的系統中的此一步驟。
      此螢幕擷取畫面顯示註冊代理程式上的右鍵功能表和 [複製範本] 功能表選項
      新範本的內容視窗隨即顯示。
    5. 依照下列區段所述,在該視窗的索引標籤上輸入相關資訊。
      備註: 以下螢幕擷取畫面是使用執行 Microsoft Windows Server 2016 Standard 作業系統的 Microsoft 企業憑證授權機構擷取的。如果您的 Microsoft 企業憑證授權機構執行的是不同作業系統版本的 Windows Server,您可能會在 Windows 系統的 UI 中看到細微差異。
      一般索引標籤
      重要: 在您的 True SSO 範本名稱中僅使用 ASCII 字元。受已知問題的影響,如果您的 True SSO 範本名稱包含非 ASCII 或高 ASCII 字元,則無法成功使用 Horizon Cloud 環境來設定 True SSO。
      範本顯示名稱
      輸入指出此新範本係用於 True SSO 註冊代理程式的名稱,例如 True SSO 註冊代理程式
      範本名稱
      在您輸入上述 範本顯示名稱時,該工具會自動在此處輸入該名稱,以符合您為 範本顯示名稱輸入的不含空格的內容。

      例如,如果您在範本顯示名稱中輸入 True SSO 註冊代理程式,則該工具會自動將此範本名稱設定為 TrueSsoEnrollmentAgent

      以下螢幕擷取畫面顯示將範本顯示名稱輸入為 True SSO 註冊代理程式後,此索引標籤的外觀。


      此螢幕擷取畫面顯示為 [範本顯示名稱] 輸入 [True SSO 註冊代理程式] 後的 [一般] 索引標籤
      [安全性] 索引標籤
      安全性索引標籤上,向您為 True SSO 註冊帳戶建立的新通用安全群組授與 ReadEnroll 權限。
      1. 群組或使用者名稱區段中,新增您為 True SSO 註冊帳戶建立的群組。
      2. 選取該群組,然後在 [權限] 區段中,為 ReadEnroll 權限選取允許

      此螢幕擷取畫面顯示新增通用安全群組並設定權限後的 [安全性] 索引標籤。
    6. 按一下新範本的內容視窗中的確定,以儲存新的 True SSO 註冊代理程式範本。
    新的 True SSO 註冊代理程式範本會列在憑證範本主控台中,以您為範本指定的 範本顯示名稱顯示,而顯示的用途為憑證要求代理程式。

    下列螢幕擷取畫面顯示所列出的新範本。


    此螢幕擷取畫面顯示清單中新增的 True SSO 註冊代理程式範本,即綠色箭頭所指處。
  3. 在同一個憑證範本主控台中,設定 True SSO 智慧卡登入範本。
    1. 在憑證範本主控台中,以滑鼠右鍵按一下列出的智慧卡登入範本,然後選取複製範本
      以下螢幕擷取畫面顯示在執行 Window Server 2016 的系統中的此一步驟。
      此螢幕擷取畫面顯示智慧卡登入範本上的功能表和 [複製範本] 選項。
      新範本的內容視窗隨即顯示。
    2. 依照下列區段所述,在該視窗的索引標籤上輸入相關資訊。
      注意:

      請確保遵循這些要點,否則系統將阻止您設定所需的值,迫使您取消並重新執行這些步驟。此需求屬於 Windows 系統行為。

      • 請先依照下列項目符號中所述,依指定的特定順序在三個索引標籤中進行必要的設定,然後再按一下 [內容] 視窗中的套用確定

        若您在視窗中執行套用或儲存之前,未遵循這項指引,依照如下所述方式在三個索引標籤上進行設定,Windows 會強制將 [密碼編譯] 索引標籤的提供者類別設定為唯讀,且此後無法將該設定變更為 True SSO 所需的金鑰儲存提供者設定。

        因此,在該視窗中執行套用或儲存之前,必須確實依照下列指定的正確順序,在以下三個索引標籤上完成相關設定。

      • 請依照下列特定順序,對這些必須優先設定的索引標籤進行設定:
        1. 相容性索引標籤
        2. 一般索引標籤
        3. 密碼編譯索引標籤

      之所以規定以此順序進行,是因為當您變更 [相容性] 索引標籤上的設定時,系統會動態地在其他索引標籤中提供相關選項。如果您在更新 [密碼編譯] 索引標籤之前,即在視窗中執行套用或儲存,您將無法設定 True SSO 所需的組態。因此,請務必先依照上方和下方所列順序對索引標籤進行設定,然後再於視窗中執行套用或儲存。

      [相容性] 索引標籤
      備註: 您必須在 相容性索引標籤中選取這些項目, 密碼編譯索引標籤中的相應選項才會變得可用。
      • 選取顯示產生的變更核取方塊。
      • 憑證授權機構 - 系統會顯示 Microsoft Windows 為該設定提供的選項。若要符合 True SSO 的需求,請選取 Windows Server 2008 R2 選項或功能表中顯示的更新版本之一。
      • 憑證收件者 - 系統會顯示 Microsoft Windows 為該設定提供的選項。若要符合 True SSO 的需求,請選取 Windows 7 / Server 2008 R2 選項或功能表中顯示的更新版本之一。

      此螢幕擷取畫面顯示 [相容性] 索引標籤。
      一般索引標籤
      重要: 在您的 True SSO 範本名稱中僅使用 ASCII 字元。受已知問題的影響,如果您的 True SSO 範本名稱包含非 ASCII 或高 ASCII 字元,則無法成功使用 Horizon Cloud 環境來設定 True SSO。
      範本顯示名稱
      輸入指出此新範本係用於 True SSO 的名稱,例如 True SSO
      範本名稱
      在您輸入上述 範本顯示名稱時,該工具會自動在此處輸入該名稱,以符合您為 範本顯示名稱輸入的不含空格的內容。

      例如,如果您在範本顯示名稱中輸入 True SSO,則該工具會自動將此範本名稱設定為 TrueSSO

      有效期間
      1 小時 (一小時)
      更新期間
      0 週 (零週)

      以下螢幕擷取畫面顯示將範本顯示名稱輸入為 True SSO 後,此索引標籤的外觀。


      此螢幕擷取畫面顯示在 [範本顯示名稱] 欄位中輸入 [True SSO] 後,[一般] 索引標籤的外觀。
      [密碼編譯] 索引標籤
      • 提供者類別 - 金鑰儲存提供者
      • 演算法名稱 - RSA
      • 最小金鑰大小 - 2048
      • 選取要求可使用該主體的電腦上任何可用的提供者選項按鈕
      • 要求雜湊 - SHA384

      此螢幕擷取畫面顯示 [密碼編譯] 索引標籤
      [要求處理] 索引標籤
      • 用途 - 簽章和智慧卡登入
      • 選取對於智慧卡憑證的自動更新,如果無法建立新金鑰,則使用現有金鑰核取方塊
      • 選取註冊期間提示使用者選項按鈕。

      此螢幕擷取畫面顯示 [要求處理] 索引標籤
      [主體名稱] 索引標籤
      • 選取從此 Active Directory 資訊建立選項按鈕。
      • 主體名稱格式 - 完整的辨別名稱
      • 選取使用者主體名稱 (UPN) 核取方塊。

      此螢幕擷取畫面顯示 [主體名稱] 索引標籤
      [伺服器] 索引標籤
      選取 不在 CA 資料庫中儲存憑證及要求核取方塊。
      重要: 請確保取消選取標記為 不在已核發的憑證中包含撤銷資訊的第二個核取方塊。

      當您選取第一個核取方塊時,系統會自動選取不在已核發的憑證中包含撤銷資訊

      請確保清除第二個核取方塊:不在已核發的憑證中包含撤銷資訊


      此螢幕擷取畫面顯示 [伺服器] 索引標籤
      [發行需求] 索引標籤
      • 註冊的需求如下 — 選取授權簽章的數目,並輸入 1
      • 簽章中所需的原則類型 - 應用程式原則
      • 應用程式原則 - 憑證要求代理程式
      • 重新註冊的需求如下 - 有效的現有憑證

      此螢幕擷取畫面顯示 [發行需求] 索引標籤,並以綠色箭頭指向關鍵設定。
      [安全性] 索引標籤
      安全性索引標籤上,向您為 True SSO 註冊帳戶建立的新通用安全群組授與 ReadEnroll 權限。
      1. 群組或使用者名稱區段中,新增您為 True SSO 註冊帳戶建立的群組。
      2. 選取該群組,然後在 [權限] 區段中,為 ReadEnroll 權限選取允許

      此螢幕擷取畫面顯示新增通用安全群組並設定權限後的 [安全性] 索引標籤。
    3. 按一下新範本的內容視窗中的確定,以完成儲存此新 True SSO 範本的程序。
    新的 True SSO 範本會列在憑證範本主控台中,以您為範本指定的 範本顯示名稱顯示,而顯示的用途為用戶端驗證、智慧卡登入。

    下列螢幕擷取畫面顯示所列出的新範本。


    此螢幕擷取畫面顯示清單中的 True SSO 範本
  4. 現在,您可以關閉憑證範本主控台,並返回憑證授權機構工具。
  5. 發出 True SSO 的範本。
    1. 在憑證授權機構工具中,於 [憑證範本] 資料夾上按一下滑鼠右鍵,然後選取新增 > 要發出的憑證範本
      以下螢幕擷取畫面顯示在執行 Window Server 2016 的系統中的此一步驟。
      此螢幕擷取畫面顯示 [要發出的憑證範本] 功能表選項,並以綠色箭頭指向 [憑證範本] 資料夾和 [新增] 功能表。
      [啟用憑證範本] 視窗隨即顯示。
    2. 選取您在上述步驟中建立的 True SSO 範本,然後按一下確定
      以下螢幕擷取畫面顯示在執行 Window Server 2016 的系統中的此一步驟。
      此螢幕擷取畫面顯示 [啟用憑證範本] 視窗,並以綠色箭頭指向在清單中選取的 True SSO 範本。
    重要: 您必須對要用於 True SSO 功能的每個 Microsoft 企業憑證授權機構執行個體執行這些動作。
  6. 對 True SSO 註冊代理程式範本重複相同的發行步驟。
    1. 在憑證授權機構工具中,於 [憑證範本] 資料夾上按一下滑鼠右鍵,然後選取新增 > 要發出的憑證範本

      此螢幕擷取畫面顯示 [要發出的憑證範本] 功能表選項,並以綠色箭頭指向 [憑證範本] 資料夾和 [新增] 功能表。
      [啟用憑證範本] 視窗隨即顯示。
    2. 選取您在上述步驟中建立的 True SSO 註冊代理程式範本,然後按一下確定
      以下螢幕擷取畫面顯示在執行 Window Server 2016 的系統中的此一步驟。
      此螢幕擷取畫面顯示 [啟用憑證範本] 視窗,並以綠色箭頭指向清單中的 True SSO 註冊代理程式範本。
      重要: 您必須對要用於 True SSO 的每個 Microsoft 企業憑證授權機構執行個體執行這些動作。
    Microsoft 企業憑證授權機構現已設定完成,並設定了與 True SSO 功能搭配使用時所需的憑證範本。