VMware Horizon True SSO configurazione - pt.1

horizon-saml-true-sso-setup-pt1-01

VMware Horizon True SSO è una configurazione utilizzata per eliminare la richiesta di credenziali da Active Directory mentre si accede ai virtual desktop Horizon e alle applicazioni pubblicate.

Dopo che l'utente ha effettuato il login a VMware Horizon tramite un Identity Provider utilizzando gli UAG, con la funzione True SSO (single sign-on) abilitata all'utente non è richiesto di inserire le credenziali Active Directory due volte per utilizzare le VDI o le applicazioni pubblicate.

Gli UAG possono essere configurati per sfruttare le caratteristiche SAML per abilitare la comunicazione tra l'Identity Provider (Azure ad esempio) ed Horizon utilizzando dei token di sicurezza senza la necessità di condividere le credenziali. Questi token di sicurezza sono certificati SSO generati dalla CA per ciascun utente e richiesti dall'Horizon Enrollment Server. Da tenere presente che SAML non fornisce nessuna password ad Horizon.

horizon-saml-true-sso-setup-pt1-02

 

Blog serie

VMware Horizon True SSO configurazione - pt.1
VMware Horizon True SSO configurazione - pt.2
VMware Horizon True SSO configurazione - pt.3

 

Porte firewall per Horizon True SSO

Le seguenti porte devono essere aperte nel Firewall per permettere il corretto flusso del traffico.

  • TCP 443 - utilizzato principalmente per il traffico di autenticazione.
  • TCP 135 - utilizzato dall'Enrollment Server per la comunicazione iniziale con la CA, poi una porta casuale da 1024 – 5000 e 49152 -65535.
  • TCP 32111 - utilizzato dal Connection Server per usare l'Enrollment Server.

horizon-saml-true-sso-setup-pt1-03

 

Installare l'Enrollment Server

Per implementare il servizio True SSO, è richiesta l'installazione di un VMware Horizon Enrollment Server su una macchina Windows con almeno 4 GB RAM.

L'Enrollment Server è utilizzato per richiedere un certificato di breve durata a nome dell'utente che sta effettuando l'autenticazione in Horizon. Questo certificato è quanto True SSO utilizza per evitare di richiedere all'utente di inserire le credenziali anche per Active Directory.

Almeno un Enrollment Server deve essere installato per far funzionare True SSO ma è consigliato avere due server per ridondanza (cluster attivo-passivo) e non può essere installato nello stesso server del Connection Server. L'Enrollment Server può essere installato nello stesso server della CA e per ottimizzare le prestazioni dovrebbe essere configurato per utilizzare la CA locale.

Per installare l'Enrollment Server è necessario una VM Windows Server e lo stesso file di installazione utilizzato per il Connection Server.

horizon-saml-true-sso-setup-pt1-04

Lanciare il wizard di installazione e cliccare su Next.

horizon-saml-true-sso-setup-pt1-05

Accettare l'EULA e cliccare Next.

horizon-saml-true-sso-setup-pt1-06

Lasciare la Destination Folder di default e cliccare Next.

horizon-saml-true-sso-setup-pt1-07

Dal menu a tendina selezionare l'opzione Horizon Enrollment Server e cliccare Next.

horizon-saml-true-sso-setup-pt1-08

Selezionare Configure Windows Firewall automatically e cliccare Next.

horizon-saml-true-sso-setup-pt1-09

Cliccare su Install per procedere con l'installazione.

horizon-saml-true-sso-setup-pt1-10

Il software viene installato nel sistema.

horizon-saml-true-sso-setup-pt1-11

Quando l'installazione viene correttamente completata, cliccare su Finish per uscire dal wizard.

horizon-saml-true-sso-setup-pt1-12

 

Configurare una Certification Authority

Se una CA non è disponibile nella propria rete, una CA deve essere installata prima di proseguire con la procedura. La Certificate Authority deve essere di tipologia Enterprise CA e può essere installata sullo stesso server dell'Enrollment Server.

 

Installare la CA

Effettuare il login ad una macchina Windows e dal Server Manager cliccare sul link Add roles and features per installare il ruolo di Certification Authority. Poichè l'installazione è piuttosto semplice (c'è solo da cliccare Next), sono mostrati solo gli step principali.

horizon-saml-true-sso-setup-pt1-13

Selezionare il ruolo Active Directory Certificate Services e cliccare Next.

horizon-saml-true-sso-setup-pt1-14

Per la configurazione di True SSO, è richiesta solamente l'opzione Certification Authority come Role Services.

horizon-saml-true-sso-setup-pt1-15

Durante la procedura di configurazione, verificare di aver specificato la CA come Enterprise CA.

horizon-saml-true-sso-setup-pt1-16

Se non è presente nessuna CA nella propria infrastruttura, selezionare Root CA come tipologia da installare. Altrimenti Subordinate CA è l'opzione da selezionare.

horizon-saml-true-sso-setup-pt1-17

 

Configurare la CA nello stesso server

Se la CA è installata nello stesso server dell'Enrollment Server, eseguire il regedit dall'Enrollment Server e posizionarsi in HKLM\Software\VMware, Inc.\VMware VDM. Effettuare un click con il tasto destro del mouse sulla voce VMware VDM e selezionare New > Key.

horizon-saml-true-sso-setup-pt1-18

Per la nuova chiave assegnare il nome Enrollment Service. Effettuare un click con il tasto destro del mouse sulla chiave appena creata e selezionare New > String Value per creare una nuova String (REG_SZ).

horizon-saml-true-sso-setup-pt1-19

Specificare PreferLocalCa come nome della chiave ed effettuare un click con il tasto destro del mouse sulla chiave e selezionare Modify. Digitare TRUE nel campo Value Data e cliccare OK per salvare la configurazione.

horizon-saml-true-sso-setup-pt1-20

 

Configurare la Certificate Authority

Una volta installata la Certification Authority, aprire il Command Prompt ed eseguire il seguente comando per configurare la CA per processare certificati non persistenti.

C:\> certutil -setreg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS

horizon-saml-true-sso-setup-pt1-21

Eseguire ora il comando indicato per ignorare gli errori nella CRL offline (certificate revocation list):

C:\> certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE

horizon-saml-true-sso-setup-pt1-22

Riavviare il servizio.

C:\> sc stop certsvc
C:\> sc start certsvc

horizon-saml-true-sso-setup-pt1-23

 

Configurare il Certificate Template

Aprire la Certification Authority ed effettuare un click con il tasto destro del mouse sul folder Certificate Templates. Selezionare l'opzione Manage.

horizon-saml-true-sso-setup-pt1-24

Dalla lista, effettuare un click con il tasto destro del mouse sul template Smartcard Logon e selezionare Duplicate Template.

horizon-saml-true-sso-setup-pt1-25

Nel template duplicato, configurare le seguenti impostazioni:

 

Compatibility

  • Selezionare la voce Windows Server 2008 R2 dal menu a tendina Certification Authority.

horizon-saml-true-sso-setup-pt1-26

  • Cliccare OK per confermare.

horizon-saml-true-sso-setup-pt1-27

  • Selezionare la voce Windows 7 / Server 2008 R2 dal menu a tendina Certificate Recipient.

horizon-saml-true-sso-setup-pt1-28

  • Cliccare OK per confermare.

horizon-saml-true-sso-setup-pt1-29

 

General

  • Specificare un Template display name.
  • Impostare a 1 day il Validity period e 18 hours il Renewal period.

horizon-saml-true-sso-setup-pt1-30

 

Request Handling

  • Selezionare la voce Signature and smartcard logon nel campo Purpose.
  • Abilitare l'opzione For automatic renewal of smart card certificates, use the existing key if a new key cannot be created.

horizon-saml-true-sso-setup-pt1-31

 

Cryptography

  • Selezionare Key Storage Provider come Provider Category.

horizon-saml-true-sso-setup-pt1-32

 

Server

  • Abilitare l'opzione Do not store certificates and requests in the CA database.
  • Rimuovere la spunta dall'opzione Do not include revocation information in issued certificates.

horizon-saml-true-sso-setup-pt1-33

 

Issuance Requirements

  • Spuntare l'opzione This number of authorized signatures ed inserire 1.
  • Selezionare l'opzione Application policy dal menu a tendina Policy type required in signature.
  • Selezionare l'opzione Certificate Request Agent dal menu Application policy.
  • Selezionare la voce Valid existing certificate.

horizon-saml-true-sso-setup-pt1-34

 

Security

  • Cliccare sul bottone Add ed aggiungere l'Enrollment Server creato in precedenza.
  • Selezionare l'Enrollment Server aggiunto ed abilitare l'opzione Allow per il permesso Enroll.
  • Cliccare OK per salvare la configurazione del template.

horizon-saml-true-sso-setup-pt1-35

Il certificate template appena creato.

horizon-saml-true-sso-setup-pt1-36

Ora effettuare un click con il tasto destro del mouse sul template Enrollment Agent (Computer) e selezionare Properties.

horizon-saml-true-sso-setup-pt1-37

Nella sezione Security, aggiungere l'Enroll Server ed abilitare l'opzione Allow per il permesso Enroll.

horizon-saml-true-sso-setup-pt1-38

Effettuare un click con il tasto destro del mouse su Certificate Templates e selezionare New > Certificate Template to Issue.

horizon-saml-true-sso-setup-pt1-39

Selezionare il template creato in precedenza (True SSO nell'esempio) e cliccare OK.

horizon-saml-true-sso-setup-pt1-40

Effettuare un click con il tasto destro del mouse su Certificate Templates e selezionare nuovamente New > Certificate Template to Issue.

horizon-saml-true-sso-setup-pt1-41

Selezionare il template Enrollment Agent (Computer) e cliccare su OK.

horizon-saml-true-sso-setup-pt1-42

I template dei certificati configurati. Se è già presente una CA nella propria rete e si sta configurando una subCA, cancellare tutti i template dei certificati ad eccezione dei due nuovi template appena creati.

horizon-saml-true-sso-setup-pt1-43

 

Installare il certificato nell'Enrollment Server

Ora è necessario effettuare l'importazione del certificato nell'Enrollment Server.

Effettuare il login all'Enrollment Server e dalla finestra Run eseguire il comando certlm.msc per aprire la console Certification. Cliccare OK.

horizon-saml-true-sso-setup-pt1-44

Effettuare un click con il tasto destro sulla voce Personal e selezionare All Tasks > Request New Certificate.

horizon-saml-true-sso-setup-pt1-45

Cliccare Next.

horizon-saml-true-sso-setup-pt1-46

Selezionare Active Directory Enrollment Policy (default) e cliccare Next.

horizon-saml-true-sso-setup-pt1-47

Selezionare Enrollment Agent (Computer) e cliccare Enroll.

horizon-saml-true-sso-setup-pt1-48

Cliccare su Finish.

horizon-saml-true-sso-setup-pt1-49

Il certificato è stato installato correttamente.

horizon-saml-true-sso-setup-pt1-50

Nella parte 2 verrà illustrata la procedura di export/import del certificato e la configurazione dell'autenticazione SAML nell'UAG.

signature

Leave a Reply