Per utilizzare True SSO in VMware Horizon, l'installazione dei componenti Enrollment Server, CA e configurazione SAML nell'UAG sono gli step richiesti prima di impostare l'autenticazione True SSO nel Connection Server.
Una volta abilitato il True SSO nel Connection Server, il processo di login nelle macchine VDI non richiederà di inserire le credenziali due volte rendendo la procedura più veloce.
Blog serie
VMware Horizon True SSO configurazione - pt.1
VMware Horizon True SSO configurazione - pt.2
VMware Horizon True SSO configurazione - pt.3
Configurare SAML Authenticator
Per configurare il SAML Authenticator, accedere alla pagina di admin del Connection Server ed inserire le credenziali. Cliccare su Login.
Dalla dashboard, posizionarsi nell'area Settings > Servers.
Dalla sezione Connection Servers, selezionare il primo Connection Server e cliccare su Edit.
Posizionarsi nella sezione Authentication e dal menu a tendina Delegation of authentication to VMware Horizon (SAML 2.0 Authenticator) selezionare la voce Allowed.
Cliccare Manage SAML Authenticators.
Cliccare Add.
Selezionare l'opzione Static come Type.
Aprire il file .xml scaricato in precedenza da Azure, selezionare e copiare il contenuto.
Nel Connection Server, inserire un nome della Label per il SAML 2.0 Authenticator (Azure_SSO nell'esempio) ed incollare il contenuto del file .xml nella casella SAML Metadata. Verificare che l'opzione Enable for Connection Server sia abilitata. Cliccare OK.
Il nuovo SAML Authenticator è stato configurato. Cliccare OK per salvare.
L'authenticator appena creato è ora configurato come SAML Authenticator. Cliccare OK.
Configurare il secondo Connection Server
Se la propria infrastruttura Horizon presenta Connection Server multipli, la seguente procedura deve essere applicata a tutti i Connection Server installati.
Selezionare il secondo Connection Server e cliccare Edit.
Nella sezione Authentication, selezionare la voce Allowed dal menu a tendina Delegation of authentication to VMware Horizon (SAML 2.0 Authenticator). Cliccare su Manage SAML Authenticators.
Selezionare l'authenticator configurato nel primo Connection Server (Azure_SSO nell'esempio) e cliccare Edit.
Abilitare l'opzione Enabled for Connection Server e cliccare su OK.
L'authenticator SAML è ora abilitato. Click OK.
L'authenticator configurato è ora impostato in SAML Authenticator. Cliccare OK per salvare.
Verificare lo stato del SAML Authenticator
Dal Connection Server, posizionarsi nell'area Monitor > Dashboard e cliccare View.
Accedere ad Other Components e posizionarsi nella sezione SAML 2.0. Lo Status dell'authenticator è indicato come operativo.
Abilitare Horizon True SSO
Dal Connection Server, aprire il Command Prompt come Administrator.
Eseguire il seguente comando per aggiungere l'Enrollment Server. Ripetere lo stesso comando se si hanno Enrollment Server multipli.
vdmUtil --authAs <administrator> --authDomain <domain> --authPassword <password> --truesso --environment --add --enrollmentServer <enroll-server01, enroll-server02>
C:\> vdmUtil --authAs Administrator --authDomain nolabnoparty.local --authPassword Password --truesso --environment --add --enrollmentServer w16-enroll01.nolabnoparty.local
Verificare le CA disponibili e i template dei certificati per il dominio.
vdmUtil --authAs <administrator> --authDomain <domain> --authPassword <password> --truesso --environment --list --enrollmentServer <enroll-server> --domain <domain>
C:\> vdmUtil --authAs Administrator --authDomain nolabnoparty.local --authPassword Password --truesso --environment --list --enrollmentServer w16-enroll01.nolabnoparty.local --domain nolabnoparty.local
Se sono presenti Enrollment Server multipli, per default vengono configurati come active/passive.
vdmUtil --authAs <administrator> --authDomain <domain> --authPassword <password> --truesso --create --connector --domain <domain> --template <truesso template> --primaryEnrollmentServer <enroll-server01> --secondaryEnrollmentServer <enroll-server02> --certificateServer <ca-common-name01, ca-common-name02> --mode enabled
C:\> vdmUtil --authAs Administrator --authDomain nolabnoparty.local --authPassword Password --truesso --create --connector --domain nolabnoparty.local --template TrueSSO --primaryEnrollmentServer w16-enroll01.nolabnoparty.local --certificateServer lab-ca --mode enabled
Verificare gli Authenticator SAML configurati in Horizon.
vdmUtil --authAs <administrator> --authDomain <domain> --authPassword <password> --truesso --list --authenticator
C:\> vdmUtil --authAs Administrator --authDomain nolabnoparty.local --authPassword Password --truesso --list --authenticator
Abilitare True SSO per l'Authenticator SAML creato.
vdmUtil --authAs <administrator> --authDomain <domain> --authPassword <password> --truesso --authenticator --edit --name <authenticator> --truessoMode enabled
C:\> vdmUtil --authAs Administrator --authDomain nolabnoparty.local --authPassword Password --truesso --authenticator --edit --name Azure_SSO --truessoMode enabled
Verificare lo stato del True SSO
Ritornare nell'area Monitor > Dashboard e cliccare View.
Accedere a Components e posizionarsi nella sezione TrueSSO. Lo Status di TrueSSO è indicato come operativo.
Testare True SSO
Ora che l'infrastruttura Horizon è stata configurata per il True SSO, è tempo di testare la procedura di login.
Accedere ad Horizon inserendo lo username e cliccare Next. Notare che la richiesta di login proviene da login.microsoftonline.com.
Inserire la password e cliccare Sign in.
Cliccare Accept se è stata configurata la schermata di welcome. Notare che l'URL ora proviene dal nome del DNS pubblico di Horizon (vdi.nolabnoparty.com nell'esempio).
Viene visualizzato il Desktop Pool a cui l'utente ha i permessi di accesso. Cliccare sull'icona per accedere alla VDI.
Il processo di login viene completato senza richiedere le credenziali Active Directory.
L'utente è stato correttamente logato alla macchina, True SSO sta funzionando come previsto. Se l'utente si è logato almeno una volta al sistema, al prossimo login non saranno richieste credenziali.
La configurazione di True SSO è ora operativo e gli utenti possono sfruttare una più semplice procedura di login semplificata.
VMware Horizon è disponibile per il download come 60-day trial.