O implantador do pod do Horizon Cloud precisa de uma entidade de serviço para acessar e utilizar sua capacidade da assinatura do Microsoft Azure para seus pods do Horizon Cloud. Quando você registra um aplicativo do AD do Microsoft Azure, a entidade de serviço também é criada. Além disso, você deve gerar uma chave de autenticação e atribuir a função à entidade de serviço no nível da assinatura. Se pretende usar o recurso para que o gateway externo use sua própria assinatura, separada da do pod, você também deve executar etapas semelhantes para uma entidade de serviço associada a essa assinatura.

Para obter capturas de tela e informações detalhadas e atualizadas para a criação de uma entidade de serviço, consulte o tópico da documentação do Microsoft Azure Como: usar o portal para criar um aplicativo e uma entidade de serviço do Azure AD que possam acessar recursos.

Importante: Cada entidade de serviço que você configura para o uso do Horizon Cloud deve receber uma função apropriada na assinatura associada da entidade de serviço. A função para uma entidade de serviço deve permitir que as ações de que o Horizon Cloud precisa para operar nos recursos gerenciados do Horizon Cloud na assinatura associada do Microsoft Azure dessa entidade de serviço. A entidade de serviço para a assinatura do pod precisa de uma função que permita que as ações implantem o pod com êxito, operem no pod e nos recursos gerenciados por pod a fim de atender aos fluxos de trabalho de administrador iniciados usando o console administrativo e preservem o pod com o tempo. Ao usar uma assinatura separada para a configuração externa do Unified Access Gateway do pod, a entidade de serviço para essa assinatura precisa de uma função que permita que as ações implantem os recursos necessários para essa configuração de gateway, operem nesses recursos gerenciados pelo Horizon Cloud a fim de atender aos fluxos de trabalho do administrador e preservem os recursos relacionados ao gateway ao longo do tempo.

Conforme descrito em Operações exigidas pelo Horizon Cloud em suas assinaturas do Microsoft Azure, a entidade de serviço deve receber acesso usando um dos seguintes métodos:

  • No nível da assinatura, atribua a função de Colaborador. A função de Colaborador é uma das funções internas do Microsoft Azure. A função de Colaborador está descrita em Funções internas para recursos do Azure na documentação do Microsoft Azure.
  • No nível da assinatura, atribua uma função personalizada que você tenha configurado para fornecer à entidade de serviço o conjunto mínimo de ações permitidas de que o Horizon Cloud precisa para a implantação dos recursos relacionados ao pod e para fluxos de trabalho contínuos iniciados pelo administrador e operações de manutenção de pod.
  • Ao usar uma assinatura separada para a configuração externa do Unified Access Gateway e implantar em um grupo de recursos existente, uma combinação válida é conceder acesso à entidade de serviço para acessar o grupo de recursos e a VNet associada usando uma função que fornece permissões de escopo estreito, além de conceder acesso à entidade de serviço para acessar a assinatura usando a função integrada de Leitor.

Além disso, a função deve ser atribuída diretamente à entidade de serviço usada para o Horizon Cloud. O uso de uma atribuição baseada em grupo de uma função para a entidade de serviço — na qual a função é atribuída a um grupo, e a entidade de serviço é um membro desse grupo — não é suportada.

Você executa estas etapas usando o portal do Microsoft Azure apropriado para sua conta registrada. Por exemplo, há endpoints de portal específicos para essas nuvens do Microsoft Azure.

  • Microsoft Azure Comercial (regiões globais padrão)
  • Microsoft Azure na China
  • Microsoft Azure Governo dos EUA
Observação: Ao executar estas etapas, você pode coletar alguns dos valores que serão necessários para o assistente de implementação, como descrito no Informações relacionadas à assinatura para o assistente de implantação de pod do Horizon Cloud, especificamente:
  • ID de aplicativo
  • Chave de autenticação
Cuidado: Embora seja possível definir a duração da expiração da chave secreta para um período de tempo específico, se você fizer isso, lembre-se de atualizar a chave antes da expiração ou o pod associado do Horizon Cloud parará de funcionar. O Horizon Cloud não pode detectar ou saber a duração definida. Para o bom funcionamento, defina a expiração da chave como Nunca.

Se você preferir não definir a expiração como Nunca e preferir atualizar a chave antes dela expirar, precisará se lembrar de fazer login no Horizon Cloud antes da data de expiração e, nos detalhes do pod em que as informações da assinatura estão listadas, inserir o novo valor de chave nas informações de assinatura do pod associado. Para obter as etapas detalhadas, consulte o tópico Atualizar as informações de assinatura associadas aos pods implantados no Guia de administração.

Dentre as etapas abaixo, a etapa 7.a mostra a entidade de serviço que está recebendo acesso no nível da assinatura.

Pré-requisitos

Se você quiser atribuir uma função personalizada à entidade de serviço em vez da função interna de colaborador, verifique se a função personalizada existe na sua assinatura. Verifique se a função personalizada permite as operações de gerenciamento exigidas pelo Horizon Cloud, conforme descrito em Operações exigidas pelo Horizon Cloud em suas assinaturas do Microsoft Azure.

Procedimento

  1. A partir da barra de navegação esquerda do portal do Microsoft Azure, clique no item de menu do Active Directory do Microsoft Azure no menu principal do portal do Microsoft Azure (Azure Active Directory), em seguida, clique no item de menu Registros de aplicativo no submenu do AD do Azure no portal do Azure (Registros de aplicativo).
  2. Clique em Novo registro de aplicativo.
  3. Digite um nome descritivo e selecione um tipo de conta com suporte.
  4. Na seção URI de Redirecionamento, selecione Web, digite http://localhost:8000 e clique em Registrar.
    Opção Descrição
    Nome O nome fica a seu critério. O nome é uma maneira de diferenciar esta entidade de serviço utilizada pelo Horizon Cloud de quaisquer outras entidades de serviço que possam existir nesta mesma assinatura.
    URI de Redirecionamento Garanta que a opção Web esteja selecionada.

    Digite http://localhost:8000 conforme mostrado. O Microsoft Azure marca isso como um campo obrigatório. Como o Horizon Cloud não precisa de uma URL de entrada para a entidade de serviço, http://localhost:8000 é usado para satisfazer o requisito do Microsoft Azure.

    O registro do aplicativo recém-criado aparece na tela.
  5. Copie o ID do aplicativo e o ID do diretório (tenant) e salve-os em um local onde possa recuperá-los mais tarde ao executar o assistente de implantação.

    Tela de detalhes da entidade de serviço com uma seta apontando para o ID do aplicativo.

  6. Na tela de detalhes da entidade de serviço, crie a chave secreta de autenticação da entidade de serviço.
    1. Clique no item de menu Certificados e segredos no portal do Microsoft Azure (Certificados e segredos).
    2. Clique em Novo segredo do cliente.
    3. Digite uma descrição, selecione uma duração da expiração e clique em Adicionar.
      A descrição da chave deve ter 16 caracteres ou menos, por exemplo, Hzn-Cloud-Key1.
      Cuidado: Você pode definir a duração da expiração para Nunca ou para um período de tempo específico. No entanto, se você definir uma duração específica, deverá se lembrar de atualizar a chave antes da expiração e inserir a nova chave em Horizon Cloud, usando o console e nos detalhes do pod em que as informações de assinatura do pod estão listadas. Caso contrário, o pod associado parará de funcionar. O Horizon Cloud não pode detectar ou saber a duração que você definiu no portal do Microsoft Azure.

      Tela Chaves exibindo a nova chave sendo adicionada com a duração Nunca expirar.

      Importante: Mantenha essa tela aberta até copiar o valor secreto e colá-lo em um local onde poderá recuperá-lo mais tarde. Não feche a tela até ter copiado o valor secreto.

      A chave de autenticação aparece na tela Segredos do cliente com o valor pixelado.

    4. Copie o valor secreto para um novo local onde possa recuperá-lo mais tarde ao executar o assistente de implementação.
  7. Atribua a função à entidade de serviço no nível da assinatura.
    Cuidado: Se a função atribuída da entidade de serviço não permitir as operações exigidas pelo implantador do pod, de acordo com as opções selecionadas no assistente de implantação, o assistente impedirá que você conclua as etapas do assistente. Para saber as permissões que a função atribuída deve fornecer, consulte Operações exigidas pelo Horizon Cloud em suas assinaturas do Microsoft Azure.
    1. Navegue até a tela de configurações de sua assinatura clicando em Todos os serviços na barra de navegação principal do portal do Microsoft Azure, clicando em Assinaturas e, em seguida, clicando no nome da assinatura que será utilizada com o pod.
      Observação: Nesse momento, na tela, você pode copiar a ID de assinatura, que será necessária mais tarde no assistente de implementação.

      Detalhes de assinatura no portal do Azure com IDs pixelizados e uma seta verde apontando para o ID.

    2. Clique no item de menu Controle de Acesso (IAM) (Controle de acesso (IAM)) e clique em Adicionar > Adicionar atribuição de função para abrir a tela Adicionar atribuição de função.
    3. Na tela Adicionar atribuição de função, para Função, selecione a função que você está atribuindo, de acordo com as regras descritas em Operações exigidas pelo Horizon Cloud em suas assinaturas do Microsoft Azure.
    4. Use a caixa Selecionar para procurar sua entidade de serviço pelo nome dado.
      A captura de tela a seguir ilustra essa etapa em que a função de Colaborador está selecionada para a entidade de serviço.
      Captura de tela da tela Adicionar permissões do portal do Azure com a função de Proprietário selecionada e procurando a entidade de serviço.

      Observação: Verifique se a lista suspensa Atribuir acesso a está definida como Usuário, grupo ou aplicativo do Azure AD.
    5. Clique em sua entidade de serviço para torná-la um membro selecionado e, em seguida, clique em Salvar.

      Na tela Adicionar permissões, a entidade de serviço adicionada como membro selecionado da função Proprietário.

  8. Verifique se a sua assinatura possui os provedores de recursos registrados dos quais o pod necessita.
    1. Na tela Controle de acesso (IAM) em que você se encontra devido à etapa anterior, navegue até a lista de provedores de recursos da assinatura clicando em Escolha de menu de provedores de recursos no menu Configurações de assinatura (Provedores de recursos) no menu da assinatura.
    2. Verifique se os seguintes provedores de recursos têm um status Ícone de status registrado no portal do Azure para um provedor de recursos (Registrado) e, caso contrário, registre-os.
      • Microsoft.Compute
      • microsoft.insights
      • Microsoft.Network
      • Microsoft.Storage
      • Microsoft.KeyVault
      • Microsoft.Authorization
      • Microsoft.Resources
      • Microsoft.ResourceHealth
      • Microsoft.DBforPostgreSQL
      • Microsoft.Sql

      Tela Provedores de recursos com uma seta verde apontando para o recurso não registrado.

Resultados

Nesse momento, você já criou e configurou o Provedor de Serviços para o pod e tem os valores relacionados à assinatura necessários na primeira etapa do assistente de implantação do pod. Os quatro valores relacionados à assinatura são:

  • ID da assinatura
  • ID do Azure Active Directory
  • ID de aplicativo
  • Valor da chave do aplicativo

O que Fazer Depois

Verifique se você obteve todas as informações relacionadas à assinatura que serão inseridas no assistente de implantação. Consulte Informações relacionadas à assinatura para o assistente de implantação de pod do Horizon Cloud.

Se você pretende usar uma assinatura separada para implantar a configuração externa do Unified Access Gateway em um grupo de recursos existente e quiser conceder permissões detalhadas e de escopo estreito em vez de acesso no nível da assinatura, consulte Operações exigidas pelo Horizon Cloud em suas assinaturas do Microsoft Azure para obter detalhes. Certifique-se de que o acesso apropriado seja concedido à entidade de serviço de modo a atender aos requisitos do implantador do Horizon Cloud.