要从 VMware Identity Manager 中启动远程桌面和应用程序,或者通过第三方负载平衡器或网关连接到远程桌面和应用程序,您必须在 Horizon Administrator 中创建一个 SAML 身份验证器。SAML 身份验证器包含 Horizon 7 和客户端连接到的设备之间交换的信任和元数据信息。

您需要将 SAML 身份验证器与连接服务器实例进行关联。如果您的部署包括多个连接服务器实例,则必须将 SAML 身份验证器与每个实例都进行关联。

您可以同时启用一个静态身份验证器和多个动态身份验证器。您可以配置 vIDM(动态)和 Unified Access Gateway(静态)身份验证器并将其保持活动状态。您可以通过这两种身份验证器之一建立连接。

您可以在连接服务器上配置多个 SAML 身份验证器,并且所有身份验证器可以同时处于活动状态。不过,在连接服务器上配置的各个 SAML 身份验证器的实体 ID 不能相同。

仪表板中的 SAML 身份验证器的状态始终是绿色的,因为它实质上是静态的预定义元数据。红色和绿色切换仅适用于动态身份验证器。

有关为 VMware Unified Access Gateway 设备配置 SAML 身份验证器的信息,请参阅《部署和配置 Unified Access Gateway》

前提条件

  • 确认安装并配置了 Workspace ONEVMware Identity Manager 或者第三方网关或负载平衡器。请参阅该产品的安装文档。

  • 确认连接服务器主机上安装了 SAML 服务器证书的签名 CA 的根证书。VMware 建议不要配置 SAML 身份验证器使用自签名证书。有关证书身份验证的信息,请参阅《Horizon 7 安装指南》文档。
  • 记下 Workspace ONE 服务器、VMware Identity Manager 服务器或面向外部的负载平衡器的 FQDN 或 IP 地址。
  • (可选) 如果您使用 Workspace ONEVMware Identity Manager,则记下连接器 Web 界面的 URL。
  • 如果您为要求生成 SAML 元数据并创建静态身份验证器的 Unified Access Gateway 或第三方设备创建身份验证器,则在设备上执行此过程以生成 SAML 元数据,然后复制该元数据。

过程

  1. 在 Horizon Administrator 中,选择配置 > 服务器
  2. 连接服务器选项卡上,选择一个要与 SAML 身份验证器关联的服务器实例,然后单击编辑
  3. 身份验证选项卡上,从将身份验证委派给 VMware Horizon (SAML 2.0 身份验证器) 下拉菜单中选择一项设置来启用或禁用 SAML 身份验证器。
    选项 说明
    已禁用 禁用 SAML 身份验证。您只能从 Horizon Client 中启动远程桌面和应用程序。
    已允许 启用 SAML 身份验证。您可以从 Horizon ClientVMware Identity Manager 或第三方设备中启动远程桌面和应用程序。
    需要 启用 SAML 身份验证。您只能从 VMware Identity Manager 或第三方设备中启动远程桌面和应用程序。无法从 Horizon Client 中手动启动桌面或应用程序。
    您可以根据自己的需要,将部署中的每个连接服务器实例配置为使用不同的 SAML 身份验证设置。
  4. 单击管理 SAML 身份验证器,然后单击添加
  5. 在“添加 SAML 2.0 身份验证器”对话框中配置 SAML 身份验证器。
    选项 说明
    类型 对于 Unified Access Gateway 或第三方设备,选择静态。对于 VMware Identity Manager,选择动态。对于动态身份验证器,您可以指定一个元数据 URL 和一个管理 URL。对于静态身份验证器,您必须先在 Unified Access Gateway 或第三方设备上生成元数据,然后将该元数据复制并粘贴到 SAML 元数据文本框中。
    标签 用于标识 SAML 身份验证器的唯一名称。
    说明 SAML 身份验证器的简要描述。此值为可选项。
    元数据 URL (对于动态身份验证器)此 URL 用于检索在 SAML 身份提供程序和连接服务器实例之间交换 SAML 信息所需的全部信息。在 URL https://<YOUR HORIZON SERVER NAME>/SAAS/API/1.0/GET/metadata/idp.xml 中,单击 <YOUR HORIZON SERVER NAME>,然后将其替换为 VMware Identity Manager 服务器或面向外部的负载平衡器(第三方设备)的 FQDN 或 IP 地址。
    管理 URL (对于动态身份验证器)此 URL 用于访问 SAML 身份提供程序的管理控制台。对于 VMware Identity Manager,此 URL 应指向 VMware Identity Manager Connector Web 界面。此值为可选项。
    SAML 元数据 (对于静态身份验证器)您从 Unified Access Gateway 或第三方设备中生成并复制的元数据文本。
    已为连接服务器启用 选中此复选框可启用身份验证器。您可以启用多个身份验证器。只有已启用的身份验证器才会显示在列表中。
  6. 单击确定保存 SAML 身份验证器的配置。
    如果您提供了有效信息,则必须接受自签名证书(不建议)或为 Horizon 7VMware Identity Manager 或第三方设备使用可信证书。

    “管理 SAML 身份验证器”对话框显示新创建的身份验证器。

  7. 在 Horizon Administrator 仪表板上的“系统运行状况”部分,选择其他组件 > SAML 2.0 身份验证器,然后选择您之前添加的 SAML 身份验证器并验证详细信息。
    如果配置成功,身份验证器的运行状况将显示为绿色。如果证书不可信、 VMware Identity Manager 不可用或者元数据 URL 无效,身份验证器的运行状况可能会显示红色。如果证书不可信,您或许可以单击 验证来验证和接受该证书。

下一步做什么

延长连接服务器元数据的过期时间,以免远程会话在 24 小时后就终止。请参阅在连接服务器上更改服务提供程序元数据的过期时间