Horizon Architecture : True SSO

Workspace ONE Access 또는 Unified Access Gateway 사용을 포함하여 사용자가 Horizon에 로그인할 때 사용할 수 있는 다양한 사용자 인증 옵션이 있습니다. Active Directory 인증 정보는 이러한 많은 인증 옵션 중 하나에 불과합니다. 일반적으로 AD 자격 증명 이외의 다른 자격 증명을 사용하면 사용자가 Horizon 가상 데스크톱이나 게시된 애플리케이션에 Single Sign-On할 수 없습니다. 카탈로그에서 데스크톱 또는 게시된 응용 프로그램을 선택한 후 이번에는 AD 자격 증명을 사용하여 다시 인증하라는 메시지가 표시됩니다.

True SSO는 사용되는 인증 메커니즘에 관계없이 사용자에게 Horizon 데스크톱 및 애플리케이션에 대한 SSO를 제공합니다. 사용자가 Active Directory 자격 증명을 사용하여 인증하는 경우 True SSO 기능은 필요하지 않지만, 사용자가 제공하는 AD 자격 증명이 무시되고 True SSO가 사용되도록 True SSO 기능을 구성할 수 있습니다.

True SSO는 SAML을 사용합니다. 여기서 Workspace ONE은 IdP(Identity Provider)이고 Horizon Connection Server는 SP(Service Provider)입니다. True SSO는 로그인 프로세스를 관리하기 위해 고유한 단명(short-lived) 인증서를 생성합니다.

결정True SSO가 구성 및 사용되도록 설정됩니다.
타당한 이유이 기능을 사용하면 사용자가 Active Directory 인증 정보로 인증하지 않은 경우에도 Workspace ONE Access에서 시작할 때 SSO가 리소스를 Horizon으로 이동할 수 있습니다.

True SSO를 사용하려면 Horizon 설치 미디어를 사용하여 Enrollment Server 서비스를 설치해야 합니다.

True SSO 구성 요소

True SSO가 작동하려면 환경 내에 여러 구성 요소를 설치하고 구성해야 합니다. 이 섹션에서는 설계 옵션에 대해 논의하고 요구사항을 충족하는 설계 결정을 자세히 설명합니다.

참고: True SSO를 설치하고 구성하는 방법에 대한 자세한 내용은 Horizon 관리 설명서의 Setting Up True SSOHorizon Configuration의 True SSO 설정 섹션을 참조하십시오.

Enrollment Server는 Connection Server로부터 CSR(certificate signing request)을 수신합니다. 그런 다음 등록 서버가 CSR을 Microsoft Certificate Authority에 전달하여 관련 인증서 템플릿을 사용하여 서명합니다. Enrollment Server는 전용 Windows Server 2019 인스턴스에 설치하거나 Microsoft Certificate Authority와 함께 사용할 수 있는 경량 서비스입니다. Connection Server에 함께 배치할 수 없습니다.

Horizon True SSO의 구성 요소는 다음 표에 설명되어 있습니다.

Enrollment Server인증 방법에 관계없이 Workspace ONE Access에서 시작할 때 사용자가 Horizon 리소스에 Single Sign-On할 수 있도록 하여 True SSO 기능을 제공하는 서버입니다.
Enrollment Server는 Connection Server로부터 인증서 서명 요청을 수신한 다음 인증 기관에 전달하여 서명하는 역할을 합니다.
True SSO에는 Microsoft Certificate Authority 서비스가 필요하며, 이 서비스를 사용하여 로그인 프로세스를 관리하는 데 사용됩니다.
Certificate AuthorityWindows 서버에서 실행 중인 Active Directory Certificate Services (AD CS) 역할입니다.
Certificate TemplateSSO 프로세스의 일부로 사용되는 단명 인증서를 발급하는 데 사용됩니다.

Enrollment Server의 로드 밸런싱

두 개의 Enrollment Server가 환경에 배포되었으며, 배포된 두 Enrollment Server와 통신하도록 Connection Server가 구성되었습니다. 두 개의 인증 기관과 통신하도록 등록 서버를 구성할 수 있습니다.

기본적으로 Enrollment Server는 로드 밸런싱에 Active/Failover 방법을 사용합니다. 고가용성을 달성하기 위해 포드당 두 대의 Enrollment Server를 구성할 때 이 설정을 라운드 로빈으로 변경하는 것이 좋습니다.

결정Connection Server는 두 Enrollment Server 간에 라운드 로빈을 사용해서 요청을 도르 밸런싱하도록 구성합니다.
타당한 이유가용성 설계에서 포드당 두 대의 Enrollment 서버가 권장됩니다.

Enrollment Server의 가용성을 극대화하기 위해 vSphere HA 및 VMware vSphere® Storage DRS™를 사용할 수 있습니다. DRS 규칙은 디바이스가 동일한 vSphere 호스트에 있지 않도록 구성됩니다.

True SSO 확장성

단일 Enrollment Server에서 단일 Horizon 포드의 모든 요청을 처리할 수 있습니다. 제약 요인은 일반적으로 CA(Certificate Authority)입니다. 단일 CA는 단일 vCPU를 기반으로 초당 약 70개의 인증서를 생성할 수 있습니다. CA VM에 vCPU가 여러 개 할당되면 일반적으로 100개 이상으로 증가합니다.

가용성을 보장하려면 포드(n+1)당 두 번째 Enrollment Server를 배포해야 합니다. 또한 완벽한 솔루션 이중화를 보장하기 위해 인증 기관 서비스가 고가용성 방식으로 배포되었는지 확인하십시오.

두 개의 Enrollment Server를 사용하여 고가용성을 달성하려면 다음을 수행하는 것이 좋습니다.

  • Enrollment Server 서비스를 동일한 시스템에서 Certificate Authority 서비스와 함께 호스트합니다.
  • 로컬 Certificate Authority 서비스를 사용하도록 Enrollment Server를 구성하십시오.
  • 두 Enrollment Server 간의 요청을 로드 밸런싱하도록 Connection Server를 구성하십시오.
결정포드당 두 대의 Enrollment Server가 배포되었습니다.
내부 네트워크에 위치한 전용 Windows Server 2019 VM에서 실행되었습니다.
이러한 서버에는 Microsoft Certificate Authority 서비스도 설치되어 있습니다.
타당한 이유하나의 Enrollment Server는 12,000개의 세션을 지원할 수 있습니다.
두번째 서버는 가용성(n+1)을 제공합니다.

Active Directory 도메인

True SSO는 단일 도메인 및 다중 도메인 환경에서 모두 지원됩니다. 도메인이 여러 개인 경우 도메인 간에 양방향 트러스트를 사용해야 합니다.

동일한 활성 디렉터리 포리스트에 있는 두 개의 활성 디렉터리 도메인 트리(A & X)가 있는 예를 살펴봅니다. 각 도메인 트리는 해당 트리의 모든 도메인 간에 전이 트러스트를 가집니다. 또한 도메인 A 트리와 도메인 X 트리는 서로 양방향의 전이적 트러스트 관계를 가집니다.

이 시나리오에서는 True SSO가 지원되며 Enrollment Server는 모든 도메인에 배치할 수 있습니다.

각각 고유한 Active Directory 도메인 트리가 포함된 두 개의 Active Directory 포리스트가 있는 다른 예제를 살펴봅니다. 각 포리스트에서 각 도메인 트리는 트리의 모든 도메인 간에 전이적 트러스트를 가집니다. 또한 두 포리스트는 양방향의 포리스트 레벨 트러스트가 있습니다.

등록 서버는 포리스트의 모든 도메인 내에 배치할 수 있습니다.

신뢰할 수 없는 도메인에 속한 사용자는 True SSO를 사용할 수 있습니다. Configuring Untrusted Domains을 참조하십시오.

도메인 및 포리스트 트러스트에 대한 자세한 내용은 Understanding the Active Directory Logical Model를 참조하십시오.

출처 : https://techzone.vmware.com/resource/horizon-architecture
답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

You May Also Like