將 Active Directory 網域登錄至您的 Horizon Cloud 環境並將環境與 VMware Workspace ONE 整合後,您可以為其設定 True SSO。True SSO 是一種與 Workspace ONE Access 整合的功能,可讓使用者直接對 Horizon Cloud 所提供的虛擬 Windows 桌面和應用程式進行單一登入,而不需在 Windows 作業系統中輸入其 Active Directory 認證。為您的環境設定 True SSO 時,使用者會在您為其提供的 Workspace ONE URL 進行驗證,以存取其已授權的桌面和應用程式。通過該驗證後,使用者即可啟動其有權使用的桌面或應用程式,而不會顯示 Active Directory 認證的提示。
若要設定您環境所使用的 True SSO,則需要執行含有多個步驟的程序。大致上來說,這些步驟包括:
- 設定要讓 True SSO 運作所需的基礎結構,其中包括:
- 安裝 Microsoft Windows Server 憑證授權單位 (CA),並將其設定為企業 CA。本節中的程序適用於 Microsoft Windows Server 2012 R2。在支援與此功能搭配使用的其他 Microsoft Windows Server 版本上,可遵循非常類似的步驟。
- 設定 CA 上的憑證範本。
重要: 在您的 True SSO 範本名稱中僅使用 ASCII 字元。受已知問題的影響,如果您的 True SSO 範本名稱包含非 ASCII 或高 ASCII 字元,則無法成功使用 Horizon Cloud 環境來設定 True SSO。
- 從 Horizon Universal Console的 [Active Directory] 頁面下載 Horizon Cloud 配對服務包。設定註冊伺服器時將會使用此配對服務包。
- 設定註冊伺服器。
重要: 設定註冊伺服器之後,請確定您符合 第一代租用戶 - Horizon Cloud on Microsoft Azure 部署 - 主機名稱解析需求、DNS 名稱中所述註冊伺服器的連接埠需求。
- 將註冊伺服器資訊新增至 Horizon Universal Console的 [Active Directory] 頁面。
組態完成後,企業 CA 和註冊伺服器會搭配運作,以發出用來將使用者登入其有權使用之桌面和應用程式且存留期短的憑證。Horizon Cloud Pod 會要求註冊伺服器提供特定授權使用者的憑證。註冊伺服器會聯繫 CA 以產生要求的憑證,並將憑證傳回至 Horizon Cloud Pod。
必要條件
設定 True SSO 之前,您必須有至少一個 Workspace ONE Access 環境已設定了 Horizon Cloud 環境。請參閱說明文件主題關於將 Horizon Cloud 環境與 VMware Workspace ONE 和選用的 True SSO 功能搭配使用,並遵循適用於您 Horizon Cloud 環境組態的整合程序。
結果
完成前述步驟後,您的環境即完成 True SSO 的設定。
Horizon Cloud - True SSO - 使用 Microsoft Windows Server 系統設定企業憑證授權機構
使用 True SSO 功能所需的元素之一是 Microsoft 憑證授權機構 (CA)。如果您尚未設定憑證授權機構 (CA),則必須新增 Active Directory 憑證服務 (AD CS) 角色至 Microsoft Windows Server,並將該伺服器設定為企業 CA。您可以使用 Service Manager 精靈執行此程序。
以下是安裝 Microsoft CA 的標準步驟。此主題中詳述的步驟適用於實驗室環境的簡易形式,但對於實際生產系統,建議您依照 CA 組態的業界最佳做法進行操作。
如果您在安裝 CA 方面需要進一步的指導方針,請參閱標準 Microsoft 技術參考:《Active Directory 憑證服務逐步指南》和《安裝根憑證授權單位》。
程序
Horizon Cloud - True SSO - 設定 CA 上的憑證範本
您必須設定 CA 上的憑證範本。憑證範本是 CA 所產生之憑證的基礎。
必要條件
完成Horizon Cloud - True SSO - 使用 Microsoft Windows Server 系統設定企業憑證授權機構所說明的步驟。
程序
Horizon Cloud - True SSO - 下載 Horizon Cloud 配對服務包
您需要此配對服務包,才能在進行 Horizon Cloud 環境的 True SSO 設定時完成註冊伺服器設定步驟。您可以從 Horizon Universal Console的 [Active Directory] 頁面下載配對服務包。
podID_truesso.crt其中 podID 是網繭摘要頁面中顯示的網繭 ID。
程序
第一代 Horizon Cloud -- True SSO - 設定註冊伺服器
此說明文件頁面介紹了如何設定註冊伺服器,以便與第一代 Horizon Cloud on Microsoft Azure 部署搭配使用。
註冊伺服器 (ES) 是您在設定 True SSO 基礎結構的最後一個步驟中安裝於 Windows Server 機器上的 Horizon Cloud on Microsoft Azure 元件。將註冊代理程式 (電腦) 憑證部署至伺服器之後,表示您授權此 ES 用作註冊代理程式,並代表使用者產生憑證。
如設定用於 Horizon Cloud 環境的 True SSO 頁面的〈重要注意事項〉中所述,True SSO 組態是租用戶範圍的組態類型。系統會傳送相同的 True SSO 組態給租用戶機群中的所有網繭,並嘗試驗證所有網繭上的相同 True SSO 組態。如果您建立一個註冊伺服器以用於 Pod-A,並建立另一個註冊伺服器以用於 Pod-B,則 Pod-A 和 Pod-B 必須都能存取這兩個註冊伺服器。
必要條件
確認您已完成Horizon Cloud - True SSO - 使用 Microsoft Windows Server 系統設定企業憑證授權機構、Horizon Cloud - True SSO - 設定 CA 上的憑證範本和Horizon Cloud - True SSO - 下載 Horizon Cloud 配對服務包中的步驟。
確認您要安裝註冊伺服器軟體所在系統正在執行下列其中一個支援此安裝的作業系統:Windows Server 2012 R2、Windows Server 2016、Windows Server 2019。系統至少應具有 4 GB 的記憶體。
下列步驟中的標籤反映了在 Windows Server 2016 系統上執行這些步驟。
程序
Horizon Cloud - True SSO - 為您的 Horizon Cloud 環境完成設定 True SSO
在設定註冊伺服器之後,您必須在 Horizon Universal Console的 [Active Directory] 頁面中輸入資訊。
必要條件
完成先前的步驟第一代 Horizon Cloud -- True SSO - 設定註冊伺服器。
確認您符合網繭的管理員虛擬機器和註冊伺服器網路流量的連接埠和通訊協定需求,如第一代租用戶 - Horizon Cloud on Microsoft Azure 部署 - 主機名稱解析需求、DNS 名稱所述。如果特定的連接埠不允許流量,則註冊伺服器的配對將會失敗。
程序
結果
現在組態資訊會顯示在 [True SSO 組態] 下方的 [Active Directory] 頁面上。