透過 True SSO 功能,使用者可以使用智慧卡、RADIUS 或 RSA SecurID 驗證登入 VMware Workspace ONE Access,且即使是第一次啟動遠端桌面平台或應用程式,也不會再收到提供 Active Directory 認證的提示。
在舊版中,SSO (Single Sign-On) 的運作方式是在使用者首次啟動遠端桌面平台或已發佈的應用程式,但先前未使用 Active Directory 認證通過驗證時,提示使用者提供 Active Directory 認證。然後系統會快取認證,讓使用者在後續啟動時不必再重新輸入認證。使用 True SSO 將會建立和使用短期憑證而非 AD 認證。
雖然用於設定 VMware Workspace ONE Access 之 SAML 驗證的程序並未改變,但 True SSO 多了一個步驟。您必須設定 VMware Workspace ONE Access,才能啟用 True SSO。
備註: 如果您的部署包含多個連線伺服器執行個體,則必須建立 SAML 驗證器與每個執行個體的關聯。
必要條件
- 確認已將 Single Sign-On 啟用為全域設定。在 Horizon Console 中,選取設定 > 全域設定,並驗證已將 Single Sign-On (SSO) 設定為已啟用。
-
確認已安裝和設定 VMware Workspace ONE Access。請參閱 VMware Workspace ONE Access 說明文件,網址為 https://docs.vmware.com/tw/VMware-Workspace-ONE-Access/index.html。
- 確認用於 SAML 伺服器憑證之簽署 CA 的根憑證已安裝在連線伺服器主機上。VMware 建議您不要將 SAML 驗證器設定為使用自我簽署憑證。請參閱《用於設定 Horizon 之 TLS 憑證的案例》文件中〈設定 Horizon Server 的 SSL 憑證〉一章的「將根憑證和中繼憑證匯入 Windows 憑證存放區」。
- 記下 VMware Workspace ONE Access 伺服器執行個體的 FQDN。
程序
下一步
- 延長連線伺服器中繼資料的到期期限,使遠端工作階段不會在 24 小時後即終止。請參閱在連線伺服器上變更服務提供者中繼資料的到期期限。
- 使用 vdmutil 命令列介面在連線伺服器上設定 True SSO。請參閱設定 Horizon 連線伺服器使用 True SSO。
如需 SAML 驗證運作方式的詳細資訊,請參閱使用 SAML 驗證。