今回は、
「VMware Horizonのデスクトップと3rd-PartyのSSO製品との連携について」
というタイトルで、お送りします。
エンドユーザ様に納品したシステムの構成になりますが、
そのエンドユーザ様で利用されているSingle Sign onのシステムが(ご存知かもしれませんが)「Passlogy社のPasslogic」でした。
Passlogyさんの公開ナレッジとしても公表されていないので、
実はかなりレア?先進的?な構成を組んできました!!
とか、ちょっと調子に乗ったIntroductionを書きましたが、
やれるとしたらこの機能(TrueSSO連携)を使うしかない(はず)。
というお言葉もあり、紆余曲折しながらではありましたが、
顧客要件である「Horizonで管理されたデスクトップにログインする際にSSO製品の認証処理(AD認証ではなくPasslogicのローカル認証)だけで、ログイン可能にする」ということを実現しました!!
そもそも、なにが問題だったのか・・・、なぜ回避できているのかとかも以下にまとめていきます。
VMware Workspace Oneにログインし、カタログ上のHorizon デスクトッププールにログインする場合、そもそもWorkspace Oneにログインしている時点でADへの認証を行っているので、Horizonのデスクトップへのログインも問題なくシームレスに行きます。
っが、
Passlogicのような製品でローカル認証を行って、HorizonのデスクトップにアクセスしようとするとADへの認証が行われずに、Horizonのデスクトップで「認証を済ませてからアクセスしてこい」と言わんばかりに、デスクトップ側からログイン情報の入力を求められてしまう為、SSOにならないのです。
その為、そのAD認証をごまかす(言葉を選べ!とよく言われます・・・)ために、TrueSSOの仕組みを使って、デスクトップで求められるADの認証を回避できる。。。というわけです。
因みにTrueSSOの仕組みというのは、Microsoft社のADCSのEnterprise CAの機能を使って、証明書認証によってデスクトップ側の認証を回避するという仕組みです。
ご興味がある方がいらっしゃれば、、今後解説しますー!