Para iniciar áreas de trabalho remotas e aplicativos de VMware Workspace ONE Access ou para se conectar a áreas de trabalho remotas e aplicativos por meio de um gateway ou balanceador de carga de terceiros, você deve criar um autenticador SAML em Horizon Console. Um autenticador SAML contém a confiança e a troca de metadados entre VMware Horizon e o dispositivo ao qual os clientes se conectam.

Você associa um autenticador SAML a uma instância do Servidor de Conexão. Se a sua implantação incluir mais de uma instância do Servidor de Conexão, você deverá associar o autenticador SAML a cada instância.

Você pode permitir que um autenticador estático e vários autenticadores dinâmicos entrem em operação por vez. Você pode configurar autenticadores vIDM (dinâmicos) e Unified Access Gateway (estáticos) e mantê-los no estado ativo. Você pode fazer conexões por meio de qualquer um desses autenticadores.

Você pode configurar mais de um autenticador SAML para um Servidor de Conexão e todos os autenticadores podem estar ativos simultaneamente. No entanto, o ID da entidade de cada um desses autenticadores SAML configurados no Servidor de Conexão deve ser diferente.

O status do autenticador SAML no painel é sempre verde, pois são metadados predefinidos de natureza estática. A alternância entre vermelho e verde só é aplicável a autenticadores dinâmicos.

Para obter informações sobre como configurar um autenticador SAML para dispositivos VMware Unified Access Gateway, consulte a documentação do Unified Access Gateway.

Pré-requisitos

  • Verifique se o Workspace ONE, VMware Workspace ONE Access ou um gateway ou balanceador de carga de terceiros está instalado e configurado. Consulte a documentação de instalação desse produto.

  • Verifique se o certificado raiz da CA de assinatura do certificado do servidor SAML está instalado no host do Servidor de Conexão. VMware não recomenda que você configure autenticadores SAML para usar certificados autoassinados. Para obter informações sobre a autenticação do certificado, consulte o documento Instalação Horizon.
  • Anote o FQDN ou o endereço IP do servidor Workspace ONE, servidor VMware Workspace ONE Access ou balanceador de carga externo.
  • (Opcional) Se você estiver usando Workspace ONE ou VMware Workspace ONE Access, anote a URL da interface do conector Web.
  • Se você estiver criando um autenticador para um dispositivo Unified Access Gateway ou um dispositivo de terceiros que exige que você gere metadados SAML e crie um autenticador estático, realize o procedimento no dispositivo para gerar os metadados SAML e, em seguida, copie os metadados.

Procedimento

  1. Em Horizon Console, navegue até Configurações (Settings) > Servidores (Servers).
  2. Na guia Conexão Servidores (Connection Servers), selecione uma instância de servidor para associar ao autenticador SAML e clique em Editar (Edit).
  3. Na guia Autenticação (Authentication), selecione uma configuração no menu suspenso Delegação de autenticação para VMware Horizon (Autenticação SAML 2.0) para ativar ou desativar o autenticador SAML.
    Opção Descrição
    Desativado A autenticação SAML está desativada. Você pode iniciar áreas de trabalho remotas e aplicativos somente de Horizon Client.
    Permitido A autenticação SAML está habilitada. Você pode iniciar áreas de trabalho remotas e aplicativos de Horizon Client e VMware Workspace ONE Access ou do dispositivo de terceiros.
    Obrigatório A autenticação SAML está habilitada. Você pode iniciar áreas de trabalho remotas e aplicativos somente do VMware Workspace ONE Access ou do dispositivo de terceiros. Você não pode iniciar áreas de trabalho ou aplicativos de Horizon Client manualmente.
    Você pode configurar cada instância do Servidor de Conexão em sua implantação para ter diferentes configurações de autenticação SAML, dependendo dos seus requisitos.
  4. Clique em Gerenciar autenticadores SAML (Manage SAML Authenticators) e clique em Adicionar (Add).
  5. Configure o autenticador SAML na caixa de diálogo Adicionar Autenticador SAML 2.0.
    Opção Descrição
    Tipo Para um appliance do Unified Access Gateway ou um dispositivo de terceiros, selecione Estático (Static). Para VMware Workspace ONE Access, selecione Dinâmico (Dynamic). Para autenticadores dinâmicos, você pode especificar uma URL de metadados e uma URL de administração. Para autenticadores estáticos, você deve primeiro gerar os metadados no appliance do Unified Access Gateway ou em um dispositivo de terceiros, copiar os metadados e colá-los na caixa de texto Metadados SAML (SAML metadata).
    Etiqueta Nome exclusivo que identifica o autenticador SAML.
    Descrição Breve descrição do autenticador SAML. Esse valor é opcional.
    URL de metadados (Para autenticadores dinâmicos) URL para recuperar todas as informações necessárias para trocar informações SAML entre o provedor de identidade SAML e a instância do Servidor de Conexão. Na URL https://<YOUR HORIZON SERVER NAME>/SAAS/API/1.0/GET/metadata/idp.xml, clique em <YOUR HORIZON SERVER NAME> e substitua-o com o FQDN ou o endereço IP do servidor VMware Workspace ONE Access ou balanceador de carga externo (dispositivo de terceiros).
    URL de administração (Para autenticadores dinâmicos) URL para acessar o console de administração do provedor de identidade SAML. Para VMware Workspace ONE Access, essa URL deve apontar para a interface do VMware Workspace ONE Access Connector Web. Esse valor é opcional.
    Metadados SAML (Para autenticadores estáticos) Texto de metadados que você gerou e copiou do appliance do Unified Access Gateway ou de um dispositivo de terceiros.
    Ativado para o servidor de conexão Marque essa caixa de seleção para ativar o autenticador. Você pode habilitar vários autenticadores. Somente autenticadores ativados são exibidos na lista.
  6. Clique em OK para salvar a configuração do autenticador SAML.
    Se você forneceu informações válidas, deve aceitar o certificado autoassinado (não recomendado) ou usar um certificado confiável para VMware Horizon e VMware Workspace ONE Access ou o dispositivo de terceiros.

    A caixa de diálogo Gerenciar Autenticadores SAML exibe o autenticador recém-criado.

O que Fazer Depois

Estenda o período de expiração dos metadados do Servidor de Conexão para que as sessões remotas não sejam encerradas após apenas 24 horas. Consulte Alterar o período de expiração dos metadados do provedor de serviços no servidor de conexão.