您可以使用 vdmutil 命令列介面來設定及啟用或停用 True SSO。
程序
- 在叢集的某個連線伺服器上,開啟命令提示字元,然後輸入命令來新增註冊伺服器。
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --environment --add --enrollmentServer enroll-server-fqdn
註冊伺服器隨即新增到全域清單中。
- 輸入命令來列出該註冊伺服器的資訊。
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --environment --list --enrollmentServer enroll-server-fqdn --domain domain-fqdn
命令的輸出會顯示樹系名稱、註冊伺服器的憑證是否有效、可使用之憑證範本的名稱和詳細資料,以及憑證授權機構的一般名稱。若要設定註冊伺服器可連線到的網域,可在註冊伺服器上使用 [Windows 登錄] 設定。預設是連線到所有信任的網域。
重要: 您必須在下一個步驟中指定憑證授權機構的一般名稱。
- 輸入命令以建立用來保存組態資訊的 True SSO 連接器,並啟用連接器。
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --create --connector --domain domain-fqdn --template TrueSSO-template-name --primaryEnrollmentServer enroll-server-fqdn --certificateServer ca-common-name --mode enabled
在此命令中,TrueSSO-template-name 是上一個步驟的輸出中所顯示範本的名稱,而 ca-common-name 則是該輸出中所顯示之企業憑證授權機構的一般名稱。
指定網域的集區或叢集上已啟用 True SSO 連接器。若要在集區層級停用 True SSO,請執行
vdmUtil --certsso --edit --connector <domain> --mode disabled。若要停用個別虛擬機器的 True SSO,您可以使用 GPO (vdm_agent.adm)。
- 輸入命令來探索可使用的 SAML 驗證器。
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --list --authenticator
當您使用 Horizon Console 設定 VMware Workspace ONE Access 和連線伺服器之間的 SAML 驗證時,即會建立驗證器。
輸出中會顯示驗證器名稱並顯示是否已啟用 True SSO。
重要: 您必須在下一個步驟中指定驗證器名稱。
- 輸入命令啟用驗證器,以使用 True SSO 模式。
vdmUtil --authAs admin-role-user --authDomain domain-name --authPassword admin-user-password --truesso --authenticator --edit --name authenticator-fqdn --truessoMode {ENABLED|ALWAYS}
針對 --truessoMode,若您只想在使用者已登入 VMware Workspace ONE Access 但未提供密碼的情況下使用 True SSO,請使用 ENABLED。在此案例中,若已使用並快取密碼,系統將會使用該密碼。若在使用者已登入 VMware Workspace ONE Access 且已提供密碼的情況下,您仍想使用 True SSO,請將 --truessoMode 設為 ALWAYS。
下一步
在 Horizon Console 中,確認 True SSO 組態的健全狀況狀態。如需詳細資訊,請參閱使用儀表板來排解與 True SSO 有關的問題。
若要設定進階選項,請在合適的系統上使用 Windows 進階設定。請參閱True SSO 的進階組態設定。
