注：

• 此教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure Free Tier 。
• 它使用 Oracle Cloud Infrastructure 身份证明、租户和区间示例值。完成实验室时，请将这些值替换为特定于云环境的那些值。

为具有统一访问网关和 OCI IAM 身份域的 VMware Horizon 启用 SAML 2.0 验证

简介

VMware Horizon 帮助从内部部署到云端的高效、安全地交付虚拟桌面和应用。本教程介绍如何将 Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) 身份域配置为 SAML 身份提供者 (IdP) 与 VMware Unified Access GatewayTM 的集成，以访问 VMware Horizon 虚拟桌面和应用程序。

本教程使用 OCI IAM 身份域作为 IdP。这些步骤是顺序的，并且彼此相重叠，因此请确保先完成每个步骤，然后再执行下一步。

体系结构

作为 SAML 2.0 功能的一部分，我们可以使用 VMware Horizon 客户端和 Web 客户端启动 VMware Horizon 桌面和应用程序。

听众

本教程面向 IT 专业人员和 VMware Horizon 管理员。假定在虚拟环境中熟悉网络和存储，包括 Active Directory 和身份解决方案。需要了解 Oracle Cloud VMware Solution 。

先决条件

• 部署 VMware Horizon 7.11（或更高版本）连接服务器并使用至少一个应用程序和桌面池进行配置。
• 为 VMware Horizon 配置了 True SSO。
• 部署统一访问网关 (Unified Access Gateway，UAG) 22.12 并配置 VMware Horizon 边缘服务。
• 在 Windows 10 或 MacOS 客户机上安装 VMware Horizon 客户机。
• 以域管理员身份访问 OCI IAM 身份域环境。

任务 1：配置用于 AD 同步和委派验证的 Microsoft Active Directory (AD) 桥

适用于 OCI IAM 身份域的 Microsoft AD 桥可以轻松配置为同步目录结构，以便将任何新的、更新的或删除的用户或组记录传输到 OCI IAM 中。同步用户配置文件后，用户可以使用其 AD 密码登录 IAM 以访问受 OCI IAM 保护的资源和应用程序。通过委派验证，身份域管理员和安全管理员不必在 AD 和 OCI IAM 之间同步用户密码。

有关更多信息，请参阅设置 Microsoft Active Directory (AD) 桥。

任务 2：为 OCI IAM 身份域中的 VMware 统一访问网关配置 SAML 集成

需要身份提供者元数据才能在 OCI IAM 和 UAG 之间启用集成，从而在验证过程中允许服务提供者 (SP) 与 IdP 之间的通信流。在此部分中，我们在 OCI IAM (IdP) 中配置 SAML 2.0 应用程序，以获取要在统一访问网关 (Unified Access Gateway，SP) 中使用的 IdP 元数据并启用单点登录 (Single Sign-on，SSO)。

1. 登录到 Oracle Cloud，单击应用程序，然后单击添加应用程序。

   

2. 选择 SAML 应用程序，然后单击启动工作流。

   

3. 配置新应用程序的详细信息。

   

   1. 输入 VMware Horizon 作为应用程序名称。

   2. （可选）在说明部分中定义应用程序。

   3. （可选）如果需要在应用程序链接部分中提供应用程序徽标。

      

   4. 如果希望仅当用户获得授权时才允许访问应用程序，请选中强制授权作为授权复选框。

   5. 单击下一步。

4. 配置一次登入设置：将以下参数中的 <UAG-FQDN> 替换为环境中的相应 FQDN。此示例使用 VMware Horizon.asknikhil.com。

   

   1. 为实体 ID 输入 https://<UAG-FQDN>/portal。

   2. 为断言使用者 URL 输入 https://<UAG-FQDN>/portal/samlsso。

   3. 名称 ID 格式为“未指定”。名称 ID 值作为用户名。

   4. 上载从 UAG 控制台下载的签名证书。

   5. 在向下滚动之前，将默认值保留在剩余文本框中，然后单击完成。

5. 激活应用程序并下载 IDP 元数据。

   

   注：配置 SSO 设置并单击完成后，您将重定向到应用程序详细信息页，您可以在其中激活应用程序，然后下载身份提供者元数据。此元数据将在后面的步骤中上载到统一访问网关和 VMware Horizon 连接服务器。

6. 向应用程序分配用户或组：根据要求分配用户/组。

   

任务 3：为 OCI IAM 身份域中的 VMware 统一访问网关配置 SAML 集成

在统一访问网关上，您必须强制执行 SAML 验证并上载 OCI IAM 元数据，以便在启动远程桌面和应用程序时启用第三方 SAML 2.0 验证。在此部分中，我们将上载 IdP 元数据并使用统一访问网关管理控制台为 SAML 验证配置 VMware Horizon 边缘服务。

将 OCI IAM 身份域元数据上载到统一访问网关

在此处，我们上传 UAG 上的 IDP 元数据，以实现两者之间的信任。

1. 在统一访问网关上的 Advanced Settings 下。单击 Upload Identity Provider Metadata 旁边的 gear 。

   

2. 上载 IDP 元数据：保留 Entity ID 为空，因为将根据元数据 XML 文件定义此值。

   

   1. 针对 IDP 元数据单击选择，然后选择以前从 OCI IAM 下载的 XML 元数据文件。

   2. 单击保存。

在 UAG 中为 SAML 验证配置 VMware Horizon Edge 服务

在此处，我们将 SAML 配置为统一访问网关上 VMware Horizon 服务的验证方法。

1. 单击边缘服务设置旁边的显示切换。

   

2. 单击 VMware Horizon Settings 旁边的齿轮图标。

   注：所有项都应为 GREEN ，表示设备可以通过配置的多个协议与 VMware Horizon Connection Server 进行通信。RED 中提供了不完全功能的项目。

3. 访问验证方法配置：单击 VMware Horizon 设置底部的更多。

   

4. 将 SAML 配置为验证方法。

   

   1. 选择 SAML 。

   2. 为身份提供者选择 https://idcs-#####。https://idcs-##### 是 OCI IAM 身份域元数据中指定的实体 ID 的名称。

   3. 向下滚动并单击保存。

注：当验证方法设置为 SAML 时，SAML 断言通过统一访问网关进行验证，并传递给用户单点登录的后端（利用 True SSO 到远程桌面和应用程序）。当验证方法设置为 SAML + passthrough 时，SAML 断言通过统一访问网关进行验证，连接服务器在启动远程桌面和应用程序时针对 Active Directory 验证用户。在两种 AuthN 方法中，用户都将重定向到 OCI IAM 进行 SAML 验证，并且支持服务提供者 (service provider，SP) 和 IdP 启动的流。

任务 4：为 SAML 和 True SSO 配置 VMware Horizon 与 OCI IAM 身份域的集成

要向最终用户提供端到端 SSO 体验，必须在 VMware Horizon 环境中配置 True SSO。启用 True SSO 时，用户无需输入 Active Directory 凭证即可使用远程桌面或应用程序。

将统一访问网关设置为使用第三方 IdP 并且在 VMware Horizon 上启用了 True SSO 时，必须在 VMware Horizon 管理中创建 SAML 验证器控制台提供相同的端到端单点登录体验，否则最终用户必须输入其 AD 凭证才能登录到桌面或应用程序。SAML 验证器包含 VMware Horizon 与客户机连接到的设备之间的 IdP 信任和元数据交换。

在此部分中，我们在 VMware Horizon 管理控制台上为 OCI IAM 身份域创建 SAML 验证器，并为创建的 OCI IAM SAML 验证器启用 True SSO。

注：将 SAML 验证程序与连接服务器实例关联。如果部署包括多个连接服务器实例，则必须对每个实例配置 SAML 验证器。

为 True SSO 配置 SAML 验证器

在此处，我们将 OCI IAM 身份域配置为 VMware Horizon 的 SAML 验证程序。

1. 要访问 VMware Horizon 管理控制台，请在 Web 浏览器中导航到 https://server/admin，其中 server 是连接服务器实例的主机名。

   

   1. 输入用户名。

   2. 输入密码。

   3. 输入域。

   4. 单击登录。

2. 配置连接服务器设置。

   

   1. 单击设置。

   2. 单击服务器。

   3. 选择连接服务器，然后选择要用作统一访问网关前端服务器的连接服务器。

   4. 单击编辑。

3. 配置 SAML 验证设置。

   

   1. 选择验证选项卡。

   2. 对于将验证委托给 VMware Horizon (SAML 2.0 Authenticator) ，选择允许。

   3. 单击管理 SAML 验证器。

4. 单击添加。

   

5. 为 OCI IAM 身份域配置 SAML 验证器。

   

   1. 为类型选择静态。

   2. 为标签输入 idcs。

   3. 将之前从 OCI IAM 下载的 OCI IAM 身份域元数据 XML 文件的内容粘贴到“SAML 元数据”文本框中。

   4. 确保已选择为连接服务器启用。

   5. 单击确定。

6. 确认已启用 SAML 验证器。

   

   1. 确认 OCI IAM 现已配置为 VMware Horizon 的 SAML 验证器。

   2. 单击确定。

   注：我们可以为连接服务器配置多个 SAML 验证器，并且所有验证器都可以同时处于活动状态。但是，在连接服务器上配置的每个 SAML 验证器的实体 ID 必须不同。

7. 为第三方 SAML 验证器启用 True SSO

   • 如果环境使用 VMware Horizon TrueSSO，则必须在 True SSO 上启用 OCI IAM SAML 验证器。使用以下命令行列出所有验证程序及其真正的 SSO 模式状态。

     vdmutil --authAs <VMware Horizon admin user> --authDomain <fqdn> --authPassword <VMware Horizon admin password> --truesso --list --authenticator

     将 <VMware Horizon admin user> 替换为 VMware Horizon 管理员用户 <fqdn>，将 VMware Horizon 管理员用户 <VMware Horizon admin password> 的全限定域名替换为 VMware Horizon 管理员的密码

     

   • 对于尝试配置的验证程序，如果 True SSO 模式为 DISABLED，请执行以下命令行以启用。

     vdmutil --authAs <VMware Horizon admin user> --authDomain <fqdn> --authPassword <VMware Horizon admin password> --truesso --authenticator --edit --name <SAML authenticator name> --truessoMode ENABLED

   • 启用 True SSO（验证器的 True SSO mode）后，将启用显示为：ENABLE_IF_NO_PASSWORD

任务 5：通过 SAML 和 True SSO 验证桌面和应用程序

在此处，我们启动 VMware Horizon Client 以通过统一访问网关启动远程桌面和应用程序，并验证 SAML 和 True SSO 验证流。

1. 配置 VMware Horizon Client 。

   

   1. 启动 VMware Horizon Client 。

   2. 单击添加服务器。

   3. 输入统一访问网关 IP/FQDN 。

   4. 单击连接。

2. 由 OCI IAM 进行验证。

   

   用户被重定向到 OCI IAM 进行验证。用户输入其 AD 用户名和密码，在成功验证（委派验证）后，它们将重定向回具有有效令牌的 VMware Horizon 客户机。

3. 启动虚拟桌面或应用程序。

   

   验证成功后，将向用户显示有权访问的桌面和应用程序。双击其中一个桌面或应用程序图标以启动资源。

4. 确认虚拟桌面或应用程序已启动。

   

任务 6：配置 MyConsole 应用程序以启动 Horizon Desktop 和应用程序

在此任务中，您将配置一个机密应用程序来启动 Horizon 桌面。可以重复相同的步骤以创建多个应用程序。

1. 添加新应用程序。

   

   1. 导航到应用程序，然后单击添加应用程序。

   2. 选择机密应用程序，然后单击启动工作流。

   

   1. 在新的应用程序向导上，提供应用程序名称和应用程序 URL 。

      注：要使用 OCI IAM Identity Domain My Console 从桌面池启动名为 Demo-win1- 的虚拟桌面，URL 语法如下：https://<UAG-hostname>/portal/webclient/index.html?desktopName=Win10Desktop。例如，从应用程序池启动记事本的 URL 语法为 https://<UAG-hostname>/portal/webclient/index.html?applicationName=Notepad。

   

   1. 在显示设置中，选择在我的应用程序中显示选项。

   2. 在验证和授权部分中选择强制授权作为授权，然后单击下一步。

      

   3. 在 Configure OAuth 部分中，为 Resource Server configuration 和 Client configuration 选择 Skip for Later 选项，然后单击 Next 。

      

   4. 在配置策略部分中选择跳过并稍后执行选项，然后单击完成。

2. 创建应用程序后激活。

   

3. 分配用户和组：单击用户或组以分配相应的用户或用户组。

   

任务 7：从 OCI IAM MyConsole 验证桌面和应用程序启动。

1. 登录到 OCI 控制台并导航到我的概要信息。

   

2. 单击更多操作下的查看我的应用程序控制台。

   

3. 成功登录将显示分配给您账户的所有应用程序。选择要启动的应用程序。

   

   • VMware UAG- 这是用于生成 IdP 元数据的 SAML 2.0 应用程序。启动此应用会将您重定向到 Horizon HTML 客户端。您可以在 OCI IAM 管理控制台上隐藏此应用程序。
   • 记事本 - 指记事本应用程序池，它将启动新的记事本会话。
   • Windows Server- 指演示 -win1- 桌面池，该池将启动新的桌面会话。

4. 确认虚拟桌面或应用程序已启动。

   

   1. 单击选项。

   2. 单击连接，然后单击断开连接。

由于 VMware Horizon 中的 SAML 验证器和 True SSO 配置，配置了单点登录并自动登录用户。

相关链接

• VMware Oracle Cloud VMware Solution 上的 Horizon
• 部署和配置 VMware Unified Access GatewayTM
• Oracle Cloud VMware Solution
• 为 AD 同步和委派验证配置 Microsoft Active Directory (AD) 桥

确认

Authors - Gautam Mishra（高级云工程师），Nikhil Verma（主要云架构师）。

更多学习资源

探索 docs.oracle.com/learn 上的其他实验室，或者访问 Oracle Learning YouTube 频道上的更多免费学习内容。此外，请访问 education.oracle.com/learning-explorer 成为 Oracle Learning Explorer。

有关产品文档，请访问 Oracle 帮助中心。

---

标题和版权信息

Enable SAML 2.0 authentication for VMware Horizon with Unified Access Gateway and OCI IAM Identity Domains

F78558-02

September 2023

Copyright © 2023, Oracle and/or its affiliates.