O diagrama a seguir ilustra a arquitetura de alto nível e o fluxo de comunicação dos componentes em um ambiente do Horizon Cloud que está configurado com o Universal Broker e integrado ao Workspace ONE Access e aos serviços do Intelligent Hub.


Diagrama de fluxo de arquitetura e comunicação para integração entre o Workspace ONE Access, os Serviços de Hub e o tenant do Horizon Cloud com o Universal Broker
  1. Durante o fluxo de trabalho de ativação, o tenant do Workspace ONE Access é registrado para integração com seu tenant do Horizon Cloud.
  2. O Workspace ONE Access Connector sincroniza o tenant do Workspace ONE Access com os usuários e grupos do Active Directory.
  3. O usuário faz a autenticação por meio do Workspace ONE Access e solicita o carregamento do catálogo do Hub.
  4. Os serviços do Workspace ONE Intelligent Hub obtêm informações sobre os direitos do usuário de todas as origens configuradas do catálogo. As origens podem incluir o Workspace ONE Access, o Workspace ONE UEM, o Okta e o serviço do Universal Broker.
  5. O catálogo do Hub apresenta um catálogo unificado de direitos para o usuário. O catálogo inclui os direitos de atribuição do usuário obtidos do serviço do Universal Broker.
  6. No catálogo, o usuário clica em uma área de trabalho ou aplicativo atribuído para iniciar uma sessão de conexão com ele.
  7. Os serviços do Workspace ONE Intelligent Hub preparam a URL de início para o recurso atribuído, comunicando-se com o Workspace ONE Access e gerando um artefato SAML, que é anexado à URL do Universal Broker. Em seguida, os serviços enviam a URL de início ao cliente do Workspace ONE Intelligent Hub.
  8. O cliente do Workspace ONE Intelligent Hub inicia o aplicativo Web ou a área de trabalho do Horizon Client.
  9. O Horizon Client encaminha a solicitação de autenticação para o serviço do Universal Broker.
  10. Por meio de comunicações com o Workspace ONE Access, o serviço do Universal Broker resolve o artefato SAML e valida o usuário confiável.
  11. O Horizon Client solicita a área de trabalho ou o aplicativo atribuído do serviço do Universal Broker.
  12. Depois de determinar qual pod pode fornecer melhor o recurso atribuído, o serviço do Universal Broker envia uma mensagem ao cliente do Universal Broker, que é executado nesse pod. O cliente do Universal Broker encaminha a mensagem para o plug-in do Universal Broker em execução no Servidor de Conexão (para um pod do Horizon) ou para o gerenciador de pods ativos (para um pod no Microsoft Azure). O plug-in do Universal Broker ou o gerenciador de pod ativo identifica o melhor recurso disponível a ser alocado ao usuário final.
  13. O serviço do Universal Broker retorna uma resposta de conexão para o Horizon Client que inclui o FQDN exclusivo do pod. Normalmente, o FQDN exclusivo é o FQDN do balanceador de carga local do pod do Horizon ou do balanceador de carga do Microsoft Azure.
  14. Depois de passar pelo balanceador de carga, a solicitação vai para o Unified Access Gateway para o pod. O Unified Access Gateway valida que a solicitação é confiável e prepara o Gateway Seguro do Blast, o Gateway Seguro PCoIP e o servidor de túnel.
  15. O usuário recebe a área de trabalho ou aplicativo atribuído e estabelece uma sessão de conexão com base no protocolo secundário configurado (Blast Extreme, PCoIP ou RDP).