Use as etapas aqui quando seu ambiente de tenant do Horizon Cloud estiver configurado para usar a intermediação de pod único e você quiser usar o Workspace ONE Access com ele. Integrando seu pod ao Microsoft Azure ao ambiente do Workspace ONE Access hospedado em nuvem, você pode proporcionar aos usuários finais a capacidade de se autenticar nas áreas de trabalho e aplicativos autorizados provisionados pelo pod por meio de um único catálogo unificado no Workspace ONE Access. Você deve implantar um conector do Workspace ONE Access que liga seu ambiente do Workspace ONE Access ao pod. Esse conector oferece a capacidade de sincronizar os direitos do usuário final do pod para o Workspace ONE Access.

Dica:
  • O nome antigo do Workspace ONE Access era VMware Identity Manager™. O nome antigo do conector era o conector do VMware Identity Manager™. Você pode continuar visualizando referências ao nome antigo nos artigos do produto, da documentação e do KB, especialmente se continua usando versões mais antigas do conector.
  • Consulte a VMware Digital Workspace Tech Zone para ler um excelente artigo descrevendo a integração entre o Horizon Cloud e o Workspace ONE Access.
  • A documentação do Workspace ONE Access usa os direitos de termo quando descreve a sincronização do conector do pod com o Workspace ONE Access. No Horizon Cloud, uma atribuição representa a combinação de um recurso e direito. No Console administrativo do Horizon Cloud, adicionar um usuário a uma atribuição concede a ele o recurso de provisionamento de pod da atribuição, tal quando você cria uma atribuição de área de trabalho VDI dedicada.

O Workspace ONE Access é uma oferta de Identidade como um Serviço (IDaaS) que fornece provisionamento de aplicativos, um catálogo de autoatendimento, controles de acesso condicional e Single Sign-On (SSO) para SaaS, para a web, para a nuvem e para aplicativos móveis originais. O Workspace ONE Access lida com a autenticação de usuários para acessar os itens que você configurou para eles no catálogo do Workspace ONE Access. Os clientes do Horizon Cloud normalmente usam o Workspace ONE Access hospedado na nuvem, hospedado pela VMware.

Para obter uma visão geral dessa integração da perspectiva do ambiente do Workspace ONE Access, consulte a visão geral Fornecendo acesso a áreas de trabalhos e aplicativos do VMware Horizon Cloud Service. Configure atribuições de áreas de trabalho e aplicativo remoto a seus usuários e grupos no Console administrativo do Horizon Cloud como de costume. Depois de concluir as etapas para integrar o seu pod ao seu ambiente do Workspace ONE Access, sincronize as informações de atribuição do pod com o Workspace ONE Access. Em seguida, você poderá ver as áreas de trabalho e os aplicativos no console administrativo do Workspace ONE Access e seus usuários finais poderão se autenticar nos recursos atribuídos do Workspace ONE Access. Você pode definir uma programação de sincronização regular para sincronizar as informações de atribuição do Horizon Cloud com o seu ambiente do Workspace ONE Access.

Observação: As capturas de tela da documentação do Workspace ONE Access podem parecer diferentes dos elementos da interface do usuário que você visualiza no seu ambiente do Workspace ONE Access específico.

Visão de alto nível dos componentes principais

quando seu ambiente de tenant do Horizon Cloud está configurado para usar a intermediação de pod único, você integra cada pod individual ao Microsoft Azure com o Workspace ONE Access para usar os recursos do Workspace ONE Access com os recursos de usuário final provisionados em cada pod. A integração de um pod no Microsoft Azure com o Workspace ONE Access envolve os seguintes conceitos chave.

  • O pod implantado no Microsoft Azure
  • Seu ambiente de tenant do Workspace ONE Access
  • Um certificado SSL válido carregado nas VMs do gerenciador do pod. Este certificado SSL permite que o Workspace ONE Access Connector confie no pod quando o Workspace ONE Access Connector sincroniza os direitos e os recursos provisionados por pod para a Coleção de Aplicativos Virtuais do Horizon Cloud no Workspace ONE Access.
  • Um conector do Workspace ONE Access está instalado e as configurações são implantadas para sincronizar com o Workspace ONE Access as informações sobre estes recursos:
    • Os usuários e grupos do Active Directory
    • As atribuições do pod (os recursos provisionados pelo pod e os direitos a esses recursos)
  • Definições de configuração no Console administrativo do Horizon Cloud para configurar o artefato SAML que permite ao Workspace ONE Access realizar a comunicação SAML com o pod.

Visão geral do processo de integração

A lista a seguir é um resumo de alto nível das etapas de ponta a ponta para permitir que os usuários finais se autentiquem nos aplicativos e nas áreas de trabalho provisionados para o pod usando o Workspace ONE Access. Antes dessas etapas, você já deve ter o pod implantado no Microsoft Azure e ter seu ambiente do Workspace ONE Access. Se você quiser fazer a integração com um ambiente do Workspace ONE Access hospedado na nuvem e ainda não tiver esse tenant, poderá iniciar a configuração de um tenant de nuvem do Workspace ONE Access usando a página Gerenciamento de Identidade do Console administrativo do Horizon Cloud. Para obter detalhes, consulte Página Gerenciamento de Identidade no Console administrativo do Horizon Cloud.

  1. No servidor DNS, mapeie o endereço IP do balanceador de carga do Azure do gerenciador de pods para um nome de domínio completo (FQDN), como mypod1.example.com. Você pode localizar o endereço IP na página de detalhes do pod. Consulte Visão geral da configuração de certificados SSL nas VMs do gerenciador de pod do Horizon Cloud, principalmente para uso pelo Workspace ONE Access Connector com pods em um ambiente de agente de pod único para obter uma ilustração de onde localizar o endereço IP na página de detalhes do pod.
    Observação: Antes da versão de manutenção trimestral de julho de 2020, esse endereço IP tinha o rótulo Endereço IP do Dispositivo do Tenant na página de detalhes do pod. O rótulo atual é IP do Balanceador de Carga do Gerenciador de Pods. Os pods de manifestos recentes incluem um balanceador de carga do Microsoft Azure implantado para a instância do gerenciador de pods por padrão, e a etiqueta atual reflete essa arquitetura de pod. Embora os pods de manifestos inferiores ao 1600 não tenham um balanceador de carga do Microsoft Azure implantado para a VM do gerenciador de pods, o endereço IP que você precisa usar para essa tarefa de emparelhamento é o IP exibido ao lado desse rótulo na página de detalhes do pod.
  2. Obtenha um certificado SSL confiável válido com base nesse FQDN. Para obter detalhes sobre o que é necessário, consulte os seguintes tópicos:
    Observação: Os formatos de arquivo de certificado necessários para carregar um certificado SSL para o pod são diferentes do formato de arquivo PEM usado pelas configurações do gateway de pod.
  3. Carregue esse certificado SSL conforme descrito em Configurar certificados SSL diretamente nas VMs do gerenciador de pod, por exemplo, ao integrar o dispositivo Workspace ONE Access Connector ao pod do Horizon Cloud no Microsoft Azure, para que o Connector confie nas conexões com as VMs do gerenciador de pod.
    Importante: Se o pod não tiver um certificado SSL que esteja configurado conforme descrito para apresentar ao Workspace ONE Access Connector que está tentando se conectar a ele, a tentativa do conector de se conectar ao pod para sincronizar os direitos e os recursos falhará porque o conector não criará uma conexão de rede não confiável. O certificado SSL do pod deve ser confiável pelo conector do Workspace ONE Access para que ele se conecte com êxito ao pod. Até que você tenha carregado um certificado SSL que atenda aos critérios no pod, não será possível integrar o Workspace ONE Access com êxito ao pod.
  4. Obtenha um ambiente do Workspace ONE Access assinando a versão hospedada em nuvem para ter um tenant do Workspace ONE Access na nuvem.
    Observação: Se você configurar um tenant do Workspace ONE Access usando a página Gerenciamento de Identidade do console, o tenant do Workspace ONE Access será associado ao seu registro de cliente do Horizon Cloud como parte desse processo. Os pods que já existem para o mesmo registro de cliente do Horizon Cloud podem ser integrados a esse tenant implantando-se o Workspace ONE Access Connector. Nas etapas a seguir, anote os detalhes relacionados ao conector.
  5. Implante o Workspace ONE Access de acordo com as orientações do Workspace ONE Access para o modelo de implantação que estiver utilizando.

    Se você estiver utilizando um Workspace ONE Accesshospedado em nuvem, precisará instalar um dispositivo de conector do Workspace ONE Access em sua rede do Active Directory. Leia todos os pré-requisitos relacionados ao conector, começando com a seção abaixo intitulada O que você precisa antes de iniciar as etapas de integração.

    Importante: Você também deve garantir que a fonte de horário autorizada configurada nesse conector corresponda ao servidor NTP que está configurado para o pod. Se as fontes de horário não corresponderem, poderão ocorrer problemas de sincronização. A página de detalhes do pod mostra o servidor NTP configurado do pod. Você pode abrir a página de detalhes do pod descrita em Gerenciando seus pods conectados à nuvem para todos os tipos de pod compatíveis com o Horizon Cloud.
  6. Certifique-se de atender aos pré-requisitos do Workspace ONE Access para a integração, conforme documentado na documentação do produto Workspace ONE Access apropriada para a sua situação. Consulte a seção abaixo intitulada O que você precisa antes de iniciar as etapas de integração.
    Importante: Além dos pré-requisitos listados abaixo neste tópico de documentação, você também deve garantir que o seu ambiente configurado do Workspace ONE Access atenda aos pré-requisitos para a integração com recursos do Horizon Cloud, conforme descrito na documentação do Workspace ONE Access.
    Ambiente do Workspace ONE Access Link para os pré-requisitos do Workspace ONE Access na documentação do Workspace ONE Access
    Hospedado em nuvem Pré-requisitos de integração do Workspace ONE Access com o Horizon Cloud
  7. Ative as áreas de trabalho em seu ambiente do Horizon Cloud para o ambiente do Workspace ONE Access, conforme documentado nas informações de produto do Workspace ONE Access apropriadas para sua situação.
    Importante: Na tela do Workspace ONE Access para a inserção das informações do tenant do Horizon Cloud, no campo Host, especifique o FQDN que você mapeou no seu servidor DNS para o endereço IP do balanceador de carga do Azure do gerenciador de pods. Esse FQDN deve ser aquele no qual o certificado SSL que você carregou no pod é baseado, conforme descrito em Visão geral da configuração de certificados SSL nas VMs do gerenciador de pod do Horizon Cloud, principalmente para uso pelo Workspace ONE Access Connector com pods em um ambiente de agente de pod único, Pré-requisitos para executar o fluxo de trabalho Carregar Certificado do Pod do Console administrativo do Horizon Cloud para configurar certificados SSL nas VMs de gerenciador do pod do Horizon Cloud e Configurar certificados SSL diretamente nas VMs do gerenciador de pod, por exemplo, ao integrar o dispositivo Workspace ONE Access Connector ao pod do Horizon Cloud no Microsoft Azure, para que o Connector confie nas conexões com as VMs do gerenciador de pod.

    Em Configurar Tenant do Horizon Cloud nos tópicos do Workspace ONE Access que estão vinculados abaixo, a etapa final nesses tópicos procedimentos descreve como sincronizar as informações sobre os direitos de seu ambiente do Horizon Cloud. No entanto, não realize essa etapa de sincronização até você concluir a etapa 5 abaixo da configuração do pod para acesso ao Workspace ONE Access.

    Ambiente do Workspace ONE Access Link para as informações de ativação da área de trabalho na documentação do Workspace ONE Access
    Hospedado em nuvem Configurar o tenant do Horizon Cloud no VMware Workspace ONE Access.
  8. Insira as configurações que permitem que o seu ambiente do Workspace ONE Access configurado seja usado como um provedor de gerenciamento de identidade para o pod. Consulte Ambiente do Horizon Cloud com intermediação de pod único — etapas para configurar um pod do Horizon Cloud no Microsoft Azure com as informações relevantes do tenant do Workspace ONE Access.
  9. Em seu ambiente do Workspace ONE Access , sincronize as áreas de trabalho e os aplicativos autorizados ao Workspace ONE Access. No console administrativo do Workspace ONE Access, navegue até a página Configuração de Aplicativos Virtuais para a coleção que você criou na etapa 4 e clique em Sincronizar.
  10. Verifique o acesso de usuários finais a áreas de trabalho e aplicativos fazendo login no Workspace ONE Access como um usuário final e iniciando uma área de trabalho e um aplicativo a partir do catálogo. Consulte Ambiente do Horizon Cloud com intermediação de pod único — confirmar o acesso do usuário final às atribuições de área de trabalho no Workspace ONE Access.

Após verificar se a integração está funcionando, você pode, opcionalmente, impor que os usuários finais autentiquem e acessem suas áreas de trabalho e aplicativos por meio do Workspace ONE Access. Consulte Ambiente do Horizon Cloud com intermediação de pod único — exigir que os usuários passem pelo Workspace ONE Access para acessar as áreas de trabalho e os aplicativos autorizados.

O que você precisa antes de iniciar as etapas de integração

Para concluir o processo de integração de ponta a ponta por meio da etapa de verificação de acesso do usuário final a áreas de trabalho ou aplicativos remotos baseados em RDS fornecidos pelo pod usando o Workspace ONE Access, certifique-se de que você tenha os itens a seguir.