將 Active Directory 網域登錄至您的 Horizon Cloud 環境並將環境與 VMware Workspace ONE 整合後,您可以為其設定 True SSOTrue SSO 是一種與 Workspace ONE Access 整合的功能,可讓使用者直接對 Horizon Cloud 所提供的虛擬 Windows 桌面和應用程式進行單一登入,而不需在 Windows 作業系統中輸入其 Active Directory 認證。為您的環境設定 True SSO 時,使用者會在您為其提供的 Workspace ONE URL 進行驗證,以存取其已授權的桌面和應用程式。通過該驗證後,使用者即可啟動其有權使用的桌面或應用程式,而不會顯示 Active Directory 認證的提示。

重要: True SSO 組態是租用戶範圍的組態類型。True SSO 組態會在 Microsoft Azure 中所有網繭機群的 Horizon Cloud Pod 中套用。因此,在您第一次成功在 Horizon Cloud 租用戶中成功設定 True SSO,然後稍後使用自動網繭部署精靈將其他 Horizon Cloud Pod 部署至您的 Microsoft Azure 訂閱之後,系統會將相同的 True SSO 組態傳送至所有那些網繭,並嘗試針對那些網繭驗證相同的 True SSO 組態。

若要設定您環境所使用的 True SSO,則需要執行含有多個步驟的程序。大致上來說,這些步驟包括:

  1. 設定要讓 True SSO 運作所需的基礎結構,其中包括:
    1. 安裝 Microsoft Windows Server 憑證授權單位 (CA),並將其設定為企業 CA。本節中的程序適用於 Microsoft Windows Server 2012 R2。在支援與此功能搭配使用的其他 Microsoft Windows Server 版本上,可遵循非常類似的步驟。
    2. 設定 CA 上的憑證範本。
      重要: 在您的 True SSO 範本名稱中僅使用 ASCII 字元。受已知問題的影響,如果您的 True SSO 範本名稱包含非 ASCII 或高 ASCII 字元,則無法成功使用 Horizon Cloud 環境來設定 True SSO。
    3. Horizon Universal Console的 [Active Directory] 頁面下載 Horizon Cloud 配對服務包。設定註冊伺服器時將會使用此配對服務包。
    4. 設定註冊伺服器。
      重要: 設定註冊伺服器之後,請確定您符合 第一代租用戶 - Horizon Cloud on Microsoft Azure 部署 - 主機名稱解析需求、DNS 名稱中所述註冊伺服器的連接埠需求。
  2. 將註冊伺服器資訊新增至 Horizon Universal Console的 [Active Directory] 頁面。

組態完成後,企業 CA 和註冊伺服器會搭配運作,以發出用來將使用者登入其有權使用之桌面和應用程式且存留期短的憑證。Horizon Cloud Pod 會要求註冊伺服器提供特定授權使用者的憑證。註冊伺服器會聯繫 CA 以產生要求的憑證,並將憑證傳回至 Horizon Cloud Pod。

必要條件

設定 True SSO 之前,您必須有至少一個 Workspace ONE Access 環境已設定了 Horizon Cloud 環境。請參閱說明文件主題關於將 Horizon Cloud 環境與 VMware Workspace ONE 和選用的 True SSO 功能搭配使用,並遵循適用於您 Horizon Cloud 環境組態的整合程序。

結果

完成前述步驟後,您的環境即完成 True SSO 的設定。

Horizon Cloud - True SSO - 使用 Microsoft Windows Server 系統設定企業憑證授權機構

使用 True SSO 功能所需的元素之一是 Microsoft 憑證授權機構 (CA)。如果您尚未設定憑證授權機構 (CA),則必須新增 Active Directory 憑證服務 (AD CS) 角色至 Microsoft Windows Server,並將該伺服器設定為企業 CA。您可以使用 Service Manager 精靈執行此程序。

以下是安裝 Microsoft CA 的標準步驟。此主題中詳述的步驟適用於實驗室環境的簡易形式,但對於實際生產系統,建議您依照 CA 組態的業界最佳做法進行操作。

如果您在安裝 CA 方面需要進一步的指導方針,請參閱標準 Microsoft 技術參考:《Active Directory 憑證服務逐步指南》和《安裝根憑證授權單位》。

備註: 為了說明此程序,本主題中的特定步驟以使用 Windows Server 2012 R2 為基礎。在 Windows Server 系統上可遵循大致相同的步驟。如果您想要在裝載此 CA 的相同系統上安裝註冊伺服器,請確定您使用的是註冊伺服器支援的 Windows Server 版本之一。請參閱 第一代 Horizon Cloud -- True SSO - 設定註冊伺服器

程序

  1. 在 [伺服器管理員] 儀表板上按一下新增角色及功能以開啟精靈,然後按下一步
  2. 在 [選取安裝類型] 頁面上選取角色型或功能型安裝,然後按下一步
  3. 在 [伺服器選取] 頁面上保留預設值,然後按下一步
  4. 在 [伺服器角色] 頁面上:
    1. 選取 [Active Directory 憑證服務]。
    2. 在對話方塊中,選取 [包含管理工具] (如適用),然後按一下新增功能
    3. 下一步
  5. 在 [功能] 頁面上,按下一步
  6. 在 [AD CS] 頁面上,按下一步
  7. 在 [角色服務] 頁面上選取 [憑證授權單位],然後按下一步
  8. 在 [確認] 頁面上,選取 [必要時自動重新啟動目的地伺服器],然後按一下安裝
    安裝進度即會顯示。安裝完成後會顯示一個 URL 連結,讓您在目的地伺服器上將新安裝的 CA 設定為「設定 Active Directory 憑證服務」。
  9. 按一下組態連結以啟動組態精靈。
  10. 在 [認證] 頁面上,輸入「企業管理員」群組中的使用者認證,然後按下一步
  11. 在 [角色服務] 頁面上選取 [CA],然後按下一步
  12. 在 [安裝類型] 頁面上選取 [企業 CA],然後按下一步
  13. 在 [CA 類型] 頁面上,視情況選取 [根 CA] 或 [次級 CA] (在此範例中為根 CA),然後按下一步
  14. 在 [私密金鑰] 頁面上,選取 [建立新的私密金鑰],然後按下一步
  15. 在 [密碼編譯] 頁面上,輸入如下資訊。
    欄位 說明
    密碼編譯提供者 RSA#Microsoft 軟體金鑰儲存提供者
    金鑰長度 4096 (或根據您偏好的其他長度)
    雜湊演算法 SHA256 (或根據您偏好的其他 SHA 演算法)
  16. 在 [CA 名稱] 頁面上,設定為慣用名稱或接受預設值,然後按下一步
  17. 在 [有效期間] 頁面上設定為慣用期間,然後按下一步
  18. 在 [憑證資料庫] 頁面上,按下一步
  19. 在 [確認] 頁面上檢閱資訊,然後按一下設定
  20. 執行下列工作 (從命令提示字元執行所有命令) 以完成組態程序。
    1. 設定 CA 以進行非持續性憑證處理 
      certutil –setreg DBFlags 
+DBFLAGS_ENABLEVOLATILEREQUESTS
    2. 將 CA 設定為忽略離線 CRL 錯誤 
      certutil –setreg ca\CRLFlags 
+CRLF_REVCHECK_IGNORE_OFFLINE
    3. 重新啟動 CA 服務 
      net stop certsvc
net start certsvc
  21. 依照Horizon Cloud - True SSO - 設定 CA 上的憑證範本中的步驟設定 CA 上的憑證範本。

Horizon Cloud - True SSO - 設定 CA 上的憑證範本

您必須設定 CA 上的憑證範本。憑證範本是 CA 所產生之憑證的基礎。

必要條件

完成Horizon Cloud - True SSO - 使用 Microsoft Windows Server 系統設定企業憑證授權機構所說明的步驟。

程序

  1. 建立新的通用安全群組。
    建立此群組可讓您將代表使用者發行憑證所需的權限指派給單一安全群組。安裝 VMware 註冊伺服器所在的所有電腦,均可藉由成為此群組的成員而繼承那些權限。
    1. 按一下開始,然後輸入 dsa.msc
      [Active Directory 使用者和電腦] 視窗隨即顯示。
    2. 在樹狀結構中,在網域控制站的使用者資料夾上按一下滑鼠右鍵,然後選取新增 > 群組
      [新增物件 — 群組] 視窗隨即顯示。
    3. 群組名稱欄位中,輸入新群組的名稱。例如,True SSO 註冊伺服器。
    4. 設定下列值。
      設定
      群組範圍 通用
      群組類型 安全性
    5. 按一下確定
      新的群組會顯示在 [Active Directory 使用者和電腦] 視窗的樹狀結構中。
    6. 在群組上按一下滑鼠右鍵,然後選取內容
    7. 在 [屬於] 索引標籤上,新增您將要安裝註冊伺服器所在的每部電腦,然後按一下確定
    8. 重新啟動您將要安裝註冊伺服器所在的每部電腦。
  2. 設定憑證範本。
    1. 選取控制台 > 系統管理工具 > 憑證授權單位
    2. 在樹狀結構中,展開本機 CA 名稱。
    3. 在 [憑證範本] 資料夾上按一下滑鼠右鍵,然後選取管理
      [憑證範本主控台] 隨即顯示。
    4. 在智慧卡登入範本上按一下滑鼠右鍵,然後選取複製範本
      [新範本的內容] 視窗隨即顯示。
    5. 在視窗的索引標籤上輸入資訊,如下所述。
      索引標籤 設定
      相容性
      • 選取顯示產生的變更核取方塊。
      • 憑證授權機構 - 選取 Windows 作業系統
      • 憑證收件者 - 選取 Windows 作業系統
      一般
      重要: 在您的 True SSO 範本名稱中僅使用 ASCII 字元。受已知問題的影響,如果您的 True SSO 範本名稱包含非 ASCII 或高 ASCII 字元,則無法成功使用 Horizon Cloud 環境來設定 True SSO。
      • 範本顯示名稱 - 您選擇的名稱。例如,True SSO 範本。
      • 範本名稱 - 您選擇的名稱。例如,True SSO 範本。
      • 有效期間 - 1 小時
      • 更新期間 - 0 週
      要求處理
      • 用途 - 簽章和智慧卡登入
      • 選取自動更新智慧卡憑證... 核取方塊
      • 選取註冊期間提示使用者選項按鈕
      密碼編譯
      • 提供者類別 - 金鑰儲存提供者
      • 演算法名稱 - RSA
      • 最小金鑰大小 - 2048
      • 選取要求可使用任何可用的提供者... 選項按鈕
      • 要求雜湊 - SHA256
      主體名稱
      • 選取從此 Active Directory 資訊建立選項按鈕。
      • 主體名稱格式 - 完整的辨別名稱
      • 選取使用者主體名稱 (UPN) 核取方塊。
      伺服器 選取不在 CA 資料庫中儲存憑證及要求核取方塊
      發行需求
      • 註冊的需求如下 — 選取授權簽章的數目,並輸入 1
      • 簽章中所需的原則類型 - 應用程式原則
      • 應用程式原則 - 憑證要求代理程式
      • 註冊的需求如下 - 有效的現有憑證
      安全性 在索引標籤上半部選取您建立的新群組。然後,在索引標籤的下半部,針對 [讀取] 和 [註冊] 權限選取允許
    6. 按一下確定
  3. 發出 True SSO 的範本。
    1. 再次於 [憑證範本] 資料夾上按一下滑鼠右鍵,然後選取新增 > 要發出的憑證範本
      [啟用憑證範本] 視窗隨即顯示。
    2. 選取 TrueSsoTemplate,然後按一下確定
  4. 發出註冊代理程式範本。
    1. 再次於 [憑證範本] 資料夾上按一下滑鼠右鍵,然後選取新增 > 要發出的憑證範本
      [啟用憑證範本] 視窗隨即顯示。
    2. 選取註冊代理程式電腦,然後按一下確定
      備註: 此範本必須與上一個步驟中所發行範本具有相同的安全性設定。
    CA 現在已使用適用於搭配 True SSO 的憑證範本完成設定和配置。
  5. 依照Horizon Cloud - True SSO - 下載 Horizon Cloud 配對服務包中的步驟下載 Horizon Cloud 配對服務包。

Horizon Cloud - True SSO - 下載 Horizon Cloud 配對服務包

您需要此配對服務包,才能在進行 Horizon Cloud 環境的 True SSO 設定時完成註冊伺服器設定步驟。您可以從 Horizon Universal Console的 [Active Directory] 頁面下載配對服務包。

重要: True SSO 組態是租用戶範圍的組態類型。True SSO 組態會在 Microsoft Azure 中所有網繭機群的 Horizon Cloud Pod 中套用。因此,在您第一次成功在 Horizon Cloud 租用戶中成功設定 True SSO,然後稍後使用自動網繭部署精靈將其他 Horizon Cloud Pod 部署至您的 Microsoft Azure 訂閱之後,系統會將相同的 True SSO 組態傳送至所有那些網繭,並嘗試針對那些網繭驗證相同的 True SSO 組態。
在配對服務包中,您 Horizon Cloud 環境中每個部署於 Microsoft Azure 中的 Horizon Cloud Pod 皆包含一個憑證檔案。針對要設定 True SSO 的網繭,您可以將這些網繭的憑證檔案上傳至註冊伺服器。如果您有一個網繭,服務包會包含一個 CRT 格式的憑證檔案。如果您有多個網繭,則服務包會包含多個 CRT 檔案,每個網繭各一個。每個 CRT 檔案的名稱皆遵循下列模式: 
podID_truesso.crt
其中 podID 是網繭摘要頁面中顯示的網繭 ID。

程序

  1. 在主控台中,導覽至設定 > Active Directory
  2. 在 [True SSO 組態] 區域中,按一下下載配對權杖以取得 pairing_bundle.7z 檔案。
  3. 將檔案儲存至可解壓縮其內容的位置。
  4. 針對要設定 True SSO 的網繭,請將網繭的 CRT 檔案從配對服務包中解壓縮至您在設定註冊伺服器時可擷取該檔案的位置。
    配對服務包內含您環境中每個網繭的憑證檔案。每個 CRT 檔案名稱皆遵循 podID_truesso.crt 模式,其中 podID 是網繭的 ID 值。
  5. 依照第一代 Horizon Cloud -- True SSO - 設定註冊伺服器中的步驟設定註冊伺服器。

第一代 Horizon Cloud -- True SSO - 設定註冊伺服器

此說明文件頁面介紹了如何設定註冊伺服器,以便與第一代 Horizon Cloud on Microsoft Azure 部署搭配使用。

註冊伺服器 (ES) 是您在設定 True SSO 基礎結構的最後一個步驟中安裝於 Windows Server 機器上的 Horizon Cloud on Microsoft Azure 元件。將註冊代理程式 (電腦) 憑證部署至伺服器之後,表示您授權此 ES 用作註冊代理程式,並代表使用者產生憑證。

小心: 如果第一代租用戶的機群包含多個 Horizon Cloud on Microsoft Azure 部署,在您設定註冊伺服器時,您必須確定所有這些部署的網繭管理員執行個體都可以連線至這些註冊伺服器。否則,最後的配對步驟將失敗 ( 完成步驟將失敗)。

設定用於 Horizon Cloud 環境的 True SSO 頁面的〈重要注意事項〉中所述,True SSO 組態是租用戶範圍的組態類型。系統會傳送相同的 True SSO 組態給租用戶機群中的所有網繭,並嘗試驗證所有網繭上的相同 True SSO 組態。如果您建立一個註冊伺服器以用於 Pod-A,並建立另一個註冊伺服器以用於 Pod-B,則 Pod-A 和 Pod-B 必須都能存取這兩個註冊伺服器。

必要條件

確認您已完成Horizon Cloud - True SSO - 使用 Microsoft Windows Server 系統設定企業憑證授權機構Horizon Cloud - True SSO - 設定 CA 上的憑證範本Horizon Cloud - True SSO - 下載 Horizon Cloud 配對服務包中的步驟。

備註: 必須按照此頁面中記載的步驟來設定 [企業 Ca],您才能在 [憑證註冊] 精靈中看到適當的項目。

確認您要安裝註冊伺服器軟體所在系統正在執行下列其中一個支援此安裝的作業系統:Windows Server 2012 R2、Windows Server 2016、Windows Server 2019。系統至少應具有 4 GB 的記憶體。

備註: 使用的 Windows Server 2022 不符合條件,因而不支援在第一代 Horizon Cloud on Microsoft Azure 部署中使用註冊伺服器。

下列步驟中的標籤反映了在 Windows Server 2016 系統上執行這些步驟。

程序

  1. 在系統上安裝註冊伺服器。
    1. 從 My VMware 網站下載 Enrollment Server.exe 檔案。檔案名稱應類似於 VMware-HorizonCloud-TruessoEnrollmentServer-x86_64-7.3.0-xxxxx.exe
    2. 確認系統符合前述必要條件。
    3. 執行安裝程式,並遵循精靈指示操作。
  2. 在註冊伺服器上,將憑證嵌入式管理單元新增至 MMC (Microsoft Management Console)。
    1. 開啟 MMC,並選取檔案 > 新增/移除嵌入式管理單元
    2. 可用的嵌入式管理單元下方,選取憑證,然後按一下新增
    3. 在 [憑證嵌入式管理單元] 視窗中,選取電腦帳戶,然後按下一步
    4. 在 [選取電腦] 視窗中,保留預設值 (本機電腦),然後按一下完成
    5. 返回 [新增或刪除嵌入式管理單元] 視窗,按一下確定,以完成新增憑證嵌入式管理單元。
  3. 在此註冊伺服器上部署註冊代理程式憑證。
    1. 在 MMC 中,展開您在上一步中新增的憑證 (本機電腦),在個人資料夾上按一下滑鼠右鍵,然後選取所有工作 > 要求新憑證
      此時將啟動 [憑證註冊] 精靈。
    2. 繼續完成 [憑證註冊] 精靈,接受預設值,直至您抵達要求憑證步驟。
    3. 在精靈的要求憑證步驟中,選取註冊代理程式 (電腦) 核取方塊,然後按一下註冊
    4. 繼續完成精靈,在其餘步驟中接受預設值,並在最後一個步驟中按一下完成
  4. 針對那些要設定 True SSO 的網繭,匯入從 pairing_bundle.7z 檔案解壓縮的網繭憑證 CRT 檔案。
    配對服務包內含您環境中每個網繭的憑證檔案。每個 CRT 檔案名稱皆遵循 podID_truesso.crt 模式,其中 podID 是網繭的 ID 值。
    1. 在 MMC 中,在 VMware Horizon View 註冊伺服器信任的根憑證資料夾下的憑證子資料夾上按一下滑鼠右鍵,然後選取所有工作 > 匯入
    2. 在 [憑證匯入] 精靈中,遵循提示瀏覽至您從 pairing_bundle.7z 服務包擷取憑證檔案後的放置位置。
      如果您只有一個網繭,則服務包將僅會包含一個 CRT 檔案。如果您有多個網繭,則服務包會針對每個網繭包含一個 CRT 檔案。
    3. 匯入一或多個憑證檔案取決於您所設定的網繭數目。
    4. 下一步,然後按一下完成
  5. 完成Horizon Cloud - True SSO - 為您的 Horizon Cloud 環境完成設定 True SSO 中所述的剩餘組態步驟。

Horizon Cloud - True SSO - 為您的 Horizon Cloud 環境完成設定 True SSO

在設定註冊伺服器之後,您必須在 Horizon Universal Console的 [Active Directory] 頁面中輸入資訊。

必要條件

完成先前的步驟第一代 Horizon Cloud -- True SSO - 設定註冊伺服器

確認您符合網繭的管理員虛擬機器和註冊伺服器網路流量的連接埠和通訊協定需求,如第一代租用戶 - Horizon Cloud on Microsoft Azure 部署 - 主機名稱解析需求、DNS 名稱所述。如果特定的連接埠不允許流量,則註冊伺服器的配對將會失敗。

程序

  1. 在主控台中,導覽至設定 > Active Directory
  2. 按一下 [True SSO 組態] 旁的新增

    [True SSO 組態] 對話方塊隨即顯示。

    備註: 由於您已設定註冊伺服器,因此可以忽略此對話方塊中的 下載配對權杖連結。
  3. 主要註冊伺服器欄位中輸入註冊伺服器的完整網域名稱 (FQDN),然後按一下該欄位旁的測試配對按鈕。
    其他必要欄位會自動填入。
  4. 按一下儲存
  5. 若要設定次要註冊伺服器以達到高可用性,請執行下列作業。
    1. 在第二個機器上重複執行第一代 Horizon Cloud -- True SSO - 設定註冊伺服器中所述的程序。
    2. 編輯 True SSO 組態,並在 [次要註冊伺服器] 欄位中新增第二個 ES 位址,然後測試配對。
    3. 再次儲存組態。

結果

現在組態資訊會顯示在 [True SSO 組態] 下方的 [Active Directory] 頁面上。

重要: True SSO 組態是租用戶範圍的組態類型。True SSO 組態會在 Microsoft Azure 中所有網繭機群的 Horizon Cloud Pod 中套用。因此,在您第一次成功在 Horizon Cloud 租用戶中成功設定 True SSO,然後稍後使用自動網繭部署精靈將其他 Horizon Cloud Pod 部署至您的 Microsoft Azure 訂閱之後,系統會將相同的 True SSO 組態傳送至所有那些網繭,並嘗試針對那些網繭驗證相同的 True SSO 組態。