为 VMware Identity Manager 集成使用 SAML 身份验证

Horizon 7 与 Workspace ONE（以前称为 VMware Identity Manager）的集成使用 SAML 2.0 标准建立相互信任关系，这对于单点登录 (Single Sign-On, SSO) 功能而言很重要。如果启用了 SSO，使用 Active Directory 凭据登录到 VMware Identity Manager 或 Workspace ONE 的用户无需再次进行登录，即可启动远程桌面和应用程序。

将 VMware Identity Manager 与 Horizon 7 集成后，VMware Identity Manager 会在用户登录到 VMware Identity Manager 并单击桌面或应用程序图标时生成唯一的 SAML 项目。VMware Identity Manager 将使用此 SAML 项目创建一个统一资源标识符 (Universal Resource Identifier, URI)。该 URI 中包含有关桌面或应用程序池所在的连接服务器实例、要启动哪个桌面或应用程序以及 SAML 项目的信息。

VMware Identity Manager 将 SAML 项目发送到 Horizon Client，Horizon Client 转而又将该项目发送到连接服务器实例。连接服务器实例使用 SAML 项目从 VMware Identity Manager 中检索 SAML 断言。

连接服务器实例检索到 SAML 断言后，会验证该断言、解密用户的密码，然后使用解密的密码启动桌面或应用程序。

设置 VMware Identity Manager 与 Horizon 7 的集成涉及到使用 Horizon 7 信息配置 VMware Identity Manager 以及配置 Horizon 7 将身份验证职责委托给 VMware Identity Manager。

要将身份验证职责委托给 VMware Identity Manager，您必须在 Horizon 7 中创建一个 SAML 身份验证器。SAML 身份验证器包含 Horizon 7 与 VMware Identity Manager 之间的信任和元数据交换信息。您需要将 SAML 身份验证器与连接服务器实例进行关联。

注：如果您想要通过 VMware Identity Manager 提供对桌面和应用程序的访问，请确认您在 Horizon Administrator 中以拥有根访问组的管理员角色的用户身份来创建桌面和应用程序池。如果您向用户提供根访问组以外的其他访问组的管理员角色， VMware Identity Manager 将不会识别您在 Horizon 7 中配置的 SAML 身份验证器，并且您也将无法在 VMware Identity Manager 中配置池。