Use as etapas aqui quando seu ambiente de tenant do Horizon Cloud estiver configurado para usar a intermediação de pod único e você quiser usar o Workspace ONE Access com ele. Integrando sua implantação do Horizon Cloud on Microsoft Azure ao ambiente do Workspace ONE Access hospedado na nuvem, você pode dar aos usuários finais a capacidade de se autenticar em seus áreas de trabalho e aplicativos provisionados por pod de um único catálogo unificado no Workspace ONE Access.

O Horizon Cloud oferece suporte à integração com o Workspace ONE Access hospedado na nuvem.

Para alcançar essa integração, é necessária a implantação de um conector do Workspace ONE Access que faça a ponte entre seu ambiente do Workspace ONE Access e o pod. Esse conector oferece a capacidade de sincronizar os direitos do usuário final do pod para o Workspace ONE Access.

Observação: As capturas de tela da documentação do Workspace ONE Access podem parecer diferentes dos elementos da interface do usuário que você visualiza no seu ambiente do Workspace ONE Access específico.

Informações básicas e terminologia

  • Configure atribuições de áreas de trabalho e aplicativo remoto a seus usuários e grupos no Horizon Universal Console como de costume.
  • Depois de concluir as etapas para integrar o seu pod ao seu ambiente do Workspace ONE Access, sincronize as informações de atribuição do pod com o Workspace ONE Access.
  • Em seguida, você poderá ver as áreas de trabalho e os aplicativos no console administrativo do Workspace ONE Access e seus usuários finais poderão se autenticar nos recursos atribuídos do Workspace ONE Access.
  • Você pode definir uma programação de sincronização regular para sincronizar as informações de atribuição do Horizon Cloud com o seu ambiente do Workspace ONE Access.
  • O nome antigo do Workspace ONE Access era VMware Identity Manager™. O nome antigo do conector era o conector do VMware Identity Manager™. Você pode continuar visualizando referências ao nome antigo nos artigos do produto, da documentação e do KB, especialmente se continua usando versões mais antigas do conector.
  • A documentação do Workspace ONE Access usa os direitos de termo quando descreve a sincronização do conector do pod com o Workspace ONE Access.

    No Horizon Cloud, uma atribuição representa a combinação de um recurso e direito.

    No Horizon Universal Console, adicionar um usuário a uma atribuição concede a ele o recurso de provisionamento de pod da atribuição, tal quando você cria uma atribuição de área de trabalho VDI dedicada.

  • O console do Workspace ONE Access foi atualizado com um assistente que usa o termo Coleção do Horizon Cloud. Você pode ver ambas as frases na documentação do Workspace ONE Access e na documentação do Horizon Cloud: Coleção de Aplicativos Virtuais e Coleção do Horizon Cloud.

Visão de alto nível dos componentes principais

Quando seu ambiente de tenant do Horizon Cloud está configurado para usar a intermediação de pod único, você integra cada pod individual ao Microsoft Azure com o Workspace ONE Access para usar os recursos do Workspace ONE Access com os recursos de usuário final provisionados de cada pod.

A integração de um pod no Microsoft Azure com o Workspace ONE Access envolve os seguintes conceitos chave.

  • O pod implantado no Microsoft Azure
  • Seu ambiente de tenant do Workspace ONE Access
  • Um certificado SSL válido carregado nas VMs do gerenciador do pod. Este certificado SSL permite que o Workspace ONE Access Connector confie no pod quando o Workspace ONE Access Connector sincroniza os direitos e os recursos provisionados por pod para a Coleção de Aplicativos Virtuais definida no Horizon Cloud no Workspace ONE Access.
  • Um conector do Workspace ONE Access está instalado e as configurações são implantadas para sincronizar com o Workspace ONE Access as informações sobre estes recursos:
    • Os usuários e grupos do Active Directory
    • As atribuições do pod (os recursos provisionados pelo pod e os direitos a esses recursos)
  • Definições de configuração no Horizon Universal Console para configurar o artefato SAML que permite ao Workspace ONE Access realizar a comunicação SAML com o pod.

Visão geral do processo de integração

A lista a seguir é um resumo de alto nível das etapas de ponta a ponta para permitir que os usuários finais se autentiquem nos aplicativos e nas áreas de trabalho provisionados para o pod usando o Workspace ONE Access.

Antes dessas etapas, você deve ter o pod já implantado no Microsoft Azure, ter seu tenant do Horizon Cloud configurado para usar a intermediação de pod único e ter seu tenant de nuvem do Workspace ONE Access.

  1. No servidor DNS, mapeie o endereço IP do balanceador de carga do Azure do gerenciador de pods para um nome de domínio completo (FQDN), como mypod1.example.com. Você pode localizar o endereço IP na página de detalhes do pod. Consulte Visão geral da configuração de certificados SSL nas VMs do gerenciador de pods para obter uma ilustração de onde localizar esse endereço IP na página de detalhes do pod.
    Observação: Antes da versão de manutenção trimestral de julho de 2020, esse endereço IP tinha o rótulo Endereço IP do Dispositivo do Tenant na página de detalhes do pod. O rótulo atual é IP do Balanceador de Carga do Gerenciador de Pods. Os pods de manifestos recentes incluem um balanceador de carga do Microsoft Azure implantado para a instância do gerenciador de pods por padrão, e a etiqueta atual reflete essa arquitetura de pod. Embora os pods de manifestos inferiores ao 1600 não tenham um balanceador de carga do Microsoft Azure implantado para a VM do gerenciador de pods, o endereço IP que você precisa usar para essa tarefa de emparelhamento é o IP exibido ao lado desse rótulo na página de detalhes do pod.
  2. Obtenha um certificado SSL confiável válido com base nesse FQDN. Para obter detalhes sobre o que é necessário, consulte os seguintes tópicos:
    Observação: Os formatos de arquivo de certificado necessários para carregar um certificado SSL para o pod são diferentes do formato de arquivo PEM usado pelas configurações do gateway de pod.
  3. Carregue esse certificado SSL nas VMs do gerenciador de pods, conforme descrito em Configurar certificados SSL diretamente nas VMs do gerenciador de pods.
    Importante: Se o pod não tiver um certificado SSL que esteja configurado conforme descrito para apresentar ao Workspace ONE Access Connector que está tentando se conectar a ele, a tentativa do conector de se conectar ao pod para sincronizar os direitos e os recursos falhará porque o conector não criará uma conexão de rede não confiável. O certificado SSL do pod deve ser confiável pelo conector do Workspace ONE Access para que ele se conecte com êxito ao pod. Até que você tenha carregado um certificado SSL que atenda aos critérios no pod, não será possível integrar o Workspace ONE Access com êxito ao pod.
  4. Implante o dispositivo do conector do Workspace ONE Access em uma rede que possa se comunicar com o pod do Horizon Cloud e com o ambiente do Active Directory. A finalidade do conector é sincronizar recursos e direitos do pod e sincronizar usuários e grupos do seu ambiente do Active Directory.

    Leia todos os pré-requisitos relacionados ao conector, começando com a seção abaixo intitulada O que você precisa antes de iniciar as etapas de integração.

    Importante: Você também deve garantir que a fonte de horário autorizada configurada nesse conector corresponda ao servidor NTP que está configurado para o pod. Se as fontes de horário não corresponderem, poderão ocorrer problemas de sincronização. A página de detalhes do pod mostra o servidor NTP configurado do pod. Você pode abrir a página de detalhes do pod na página de Capacidade do Horizon Universal Console.
  5. Certifique-se de atender aos pré-requisitos do Workspace ONE Access para a integração, conforme documentado na documentação do produto Workspace ONE Access apropriada para a sua situação. Consulte a seção abaixo intitulada O que você precisa antes de iniciar as etapas de integração.

    Consulte a página da documentação do Workspace ONE Access Pré-requisitos para integração.

  6. Ative as áreas de trabalho em seu ambiente do Horizon Cloud para o ambiente do Workspace ONE Access, conforme documentado nas informações de produto do Workspace ONE Access.

    Consulte a página da documentação do Workspace ONE Access Configurar o Tenant do Horizon Cloud no VMware Workspace ONE Access.

    Lembre-se destes pontos importantes ao seguir as etapas na documentação do Workspace ONE Access
    • Não sincronize a coleção até concluir a etapa 8 abaixo da configuração do pod para acesso ao Workspace ONE Access.
    • Na tela do Workspace ONE Access para a inserção das informações do tenant do Horizon Cloud, no campo Host, especifique o FQDN que você mapeou no seu servidor DNS para o endereço IP do balanceador de carga do Azure do gerenciador de pods, para acessar as VMs do gerenciador de pods.

      O FQDN deve corresponder ao certificado SSL que você carregou diretamente no pod, conforme descrito em Configurar certificados SSL diretamente nas VMs do gerenciador de pods.

  7. Insira as configurações que permitem que o seu ambiente do Workspace ONE Access configurado seja usado como um provedor de gerenciamento de identidade para o pod. Consulte Etapas para configurar um pod do Horizon Cloud com as informações relevantes do tenant do Workspace ONE Access.
  8. Em seu tenant de nuvem do Workspace ONE Access, sincronize manualmente a coleção para poder verificar na próxima etapa. No console administrativo do Workspace ONE Access, localize a coleção e clique em Sincronizar.
  9. Verifique o acesso de usuários finais a áreas de trabalho e aplicativos fazendo login no Workspace ONE Access como um usuário final e iniciando uma área de trabalho e um aplicativo a partir do catálogo. Consulte Confirmar acesso do usuário final às atribuições de área de trabalho no Workspace ONE Access.

Após verificar se a integração está funcionando, você pode, opcionalmente, impor que os usuários finais autentiquem e acessem suas áreas de trabalho e aplicativos por meio do Workspace ONE Access. Consulte Fazer com que os usuários finais passem pelo Workspace ONE Access.

O que você precisa antes de iniciar as etapas de integração

Para concluir o processo de integração de ponta a ponta por meio da etapa de verificação de acesso do usuário final a áreas de trabalho ou aplicativos remotos baseados em RDS fornecidos pelo pod usando o Workspace ONE Access, certifique-se de que você tenha os itens a seguir.

  • Conforme descrito em Visão geral da configuração de certificados SSL nas VMs do gerenciador de pods e em Pré-requisitos para a configuração de certificados SSL nas VMs do gerenciador de pods, você precisa de uma entrada em seu servidor DNS que mapeia o endereço IP do balanceador de carga do Azure do gerenciador de pods para um nome de domínio totalmente qualificado (FQDN).

    Você deseja que o FQDN que será usado no certificado SSL resolva para o endereço IP exibido na página de detalhes do pod no Horizon Universal Console ao lado do rótulo IP do Balanceador de Carga do Gerenciador de Pods.

    Por exemplo, digamos que você tenha o pod ilustrado na captura de tela abaixo e deseja usar um FQDN de mypod-a.example.com como o FQDN desse pod para os fins da conexão do Workspace ONE Access com o pod.


    Captura de tela dos detalhes do pod para um pod denominado MontereyStores com uma seta verde apontando para o endereço IP do balanceador de carga do Azure do gerenciador de pods.

    Nesse exemplo, no seu DNS, você mapearia mypod-a.example.com para o endereço IP descrito igual a 192.168.21.4. 
    mypod-a.example.com    192.168.21.4

    Ao realizar as etapas na tela Workspace ONE Access para inserir as informações de tenant Horizon Cloud, você especifica esse FQDN para o campo Host na tela Workspace ONE Access.

  • Um pod totalmente configurado que tem um certificado SSL confiável e válido que você carregou nos próprios gerenciadores de pod usando a página de detalhes do pod. Para obter detalhes sobre como carregar o certificado, consulte Visão geral de configuração de certificados SSL nas VMs do gerenciador de pods.
  • Atribuições de área de trabalho VDI, atribuições de área de trabalho de sessão ou atribuições de aplicativo remoto estão configuradas para o pod.
  • Acesso ao tenant da nuvem configurado do Workspace ONE Access de sua organização.

    Ao usar o Workspace ONE Access hospedado na nuvem, um dispositivo do Workspace ONE Access Connector é necessário para integrar seu pod a esse tenant. Esse conector envia as informações sobre direitos de usuário e de grupo para áreas de trabalho e aplicativos virtuais ao seu tenant do Workspace ONE Access. Você deve instalar o appliance do conector do Workspace ONE Access em sua rede do Active Directory. Siga as etapas conforme documentado na Documentação da Nuvem do Workspace ONE Access disponível nesta página de documentação e descrito em Certificado de implantação para a integração do Horizon Cloud ao Workspace ONE Access. Para obter a versão do conector necessária para esta versão, consulte a Matriz de interoperabilidade entre produtos VMware em https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

    Verifique se a fonte de horário autorizada configurada do conector corresponde ao servidor NTP configurado para o pod.

    Observação: Se você tiver uma integração existente e o dispositivo do conector do VMware Workspace ONE® Access™, uma prática recomendada será atualizar o conector antes de atualizar o pod para o nível de software mais recente do pod.
  • Verifique se o ambiente do Workspace ONE Access configurado atende a todos os pré-requisitos para integração com os recursos do Horizon Cloud, conforme descrito na página de documentação do Workspace ONE Access Pré-requisitos para Integração.

Ambiente do Horizon Cloud com intermediação de pod único: etapas para configurar um pod do Horizon Cloud no Microsoft Azure com as informações relevantes do tenant do Workspace ONE Access

Para integrar um pod no Microsoft Azure ao Workspace ONE Access, você deve configurar o pod com as informações apropriadas do Workspace ONE Access. Use o Horizon Universal Console para configurar essas informações.

Pré-requisitos

Verifique se um certificado SSL com base nesse FQDN foi carregado para as VMs do gerenciador de pods, conforme descrito em Configurar certificados SSL diretamente nas VMs do gerenciador de pods. Esse certificado SSL deve ser baseado no FQDN que você mapeou para o endereço IP do balanceador de carga Azure do gerenciador de pods no seu servidor DNS, conforme descrito na etapa 3 de Horizon Cloud com agente de pod único: Integração com o Workspace ONE Access.

Verifique se o seu ambiente do Workspace ONE Access está configurado para usar esse FQDN para sincronizar os direitos e os recursos do usuário final provisionados pelo pod para o Workspace ONE Access.

Verifique se possui as seguintes informações:

  • A URL de metadados do provedor de identidade SAML (IdP) de seu tenant do Workspace ONE Access.

    Workspace ONE AccessVocê obtém a URL de metadados IdP SAML do ambiente usando os Metadados SAML do console administrativo.

    Consulte a página de documentação do Workspace ONE Access Cloud Configurar autenticação SAML no tenant do Horizon Cloud.

    Ao clicar no link Metadados do provedor de identidade (IdP) naquela página, a barra de endereço do navegador exibe o URL, tipicamente na forma https://WS1AccessFQDN/SAAS/API/1.0/GET/metadata/idp.xml, onde WS1AccessFQDN é o nome de domínio completo (FQDN) do ambiente do Workspace ONE Access.

  • O FQDN ao qual você pede para seus usuários finais se conectarem, para a conexão com o Horizon Cloud.

Procedimento

  1. No Horizon Universal Console, navegue até Configurações > Gerenciamento de identidade e clique em Novo.
  2. Configure as opções a seguir.
    Configuração Descrição
    URL dos Metadados do VMware Workspace ONE Access Digite a URL de metadados do provedor de identidade SAML (IdP) de seu tenant do Workspace ONE Access. Esse URL de metadados geralmente tem o formato https://WS1AccessFQDN/SAAS/API/1.0/GET/metadata/idp.xml em que WS1AccessFQDN é o FQDN de seu ambiente do Workspace ONE Access.
    Tempo limite do token SSO Digite a quantidade de tempo, em minutos, após a qual você deseja que o token SSO atinja o tempo limite. O valor pré-preenchido padrão do sistema é zero (0).
    Localização Selecione uma das suas localizações para filtrar o menu suspenso Pod para o conjunto de pods associados a esta localização.
    Pod Selecione o pod ao qual esta configuração é aplicada.
    Centro de dados O menu suspenso exibe um número relacionado à versão de manifesto do pod do Horizon Cloud. Mantenha o padrão.
    FQDN de Acesso do Cliente Digite o FQDN ao qual você pede para seus usuários finais se conectarem, para a conexão com o Horizon Cloud.
    Redirecionamento do Workspace ONE Quando você também tiver a configuração para forçar o acesso do usuário final através do Workspace ONE Access, defina esta alternância para SIM para que os clientes dos usuários finais sejam redirecionados automaticamente para o ambiente do Workspace ONE Access. Você pode ler sobre como definir as opções para forçar o acesso do usuário final a passar pelo Workspace ONE Access em Fazer com que os usuários finais passem pelo Workspace ONE Access.

    Com o redirecionamento automático configurado para SIM, nos clientes do usuário final, quando o cliente tenta se conectar ao Horizon Cloud e você configurou a autenticação forçada através do Workspace ONE Access, o cliente é redirecionado automaticamente para o ambiente do Workspace ONE Access que está integrado ao pod.

    Quando a opção de alternância é definida como NÃO, o redirecionamento automático não é ativado.

    Quando o redirecionamento automático não está ativado e o acesso forçado está configurado, os clientes exibem uma mensagem informativa para o usuário. Para obter mais detalhes, consulte Fazer com que os usuários finais passem pelo Workspace ONE Access.

    Observação: Você pode ativar o redirecionamento do Workspace ONE Access para apenas um dos provedores de gerenciamento de identidade configurados aqui. Se a opção de alternância já estiver definida como SIM para outra configuração e você tentar definir a opção de alternância para SIM, uma mensagem de erro será exibida.
  3. Clique em Salvar.

Resultados

Um status verde indica que a configuração foi bem-sucedida.

O que Fazer Depois

Em seu tenant de nuvem do Workspace ONE Access, sincronize manualmente as áreas de trabalho e os aplicativos autorizados. No console administrativo do Workspace ONE Access, localize a coleção definida para esse pod do Horizon Cloud e clique em Sincronizar.

Importante:
  • Sempre que os recursos ou direitos são alterados no Horizon Cloud, é necessária uma sincronização para propagar as alterações para o Workspace ONE Access.
  • Você também deve garantir que a fonte de horário autorizada configurada nesse conector corresponda ao servidor NTP que está configurado para o pod. Se as fontes de horário não corresponderem, poderão ocorrer problemas de sincronização. A página de detalhes do pod mostra o servidor NTP configurado do pod. Você pode abrir a página de detalhes do pod na página de Capacidade do Horizon Universal Console.

Ambiente do Horizon Cloud com intermediação de pod único — confirmar o acesso do usuário final às atribuições de área de trabalho no Workspace ONE Access

Após integrar seu ambiente do Horizon Cloud ao ambiente do Workspace ONE Access, você pode usar essas etapas para confirmar se os usuários finais têm acesso remoto a aplicativos remotos e áreas de trabalho virtuais provisionadas pelo pod.

Pré-requisitos

Verifique se os seguintes itens foram concluídos:

Procedimento

  1. Use a URL do Workspace ONE Access da sua organização para fazer logon no portal do Workspace ONE Access.
  2. Inicie as áreas de trabalho e os aplicativos remotos autorizados do Horizon Cloud a partir do portal.