当您的 Horizon Cloud 租户环境配置为使用单容器代理,并且您希望将 Workspace ONE Access 与其一起使用时,请使用此处提供的步骤。通过将 Microsoft Azure 中的容器与云托管的 Workspace ONE Access 环境相集成,可以让最终用户从 Workspace ONE Access 的单个统一目录中进行身份验证,以访问为其授权的容器置备桌面和应用程序。您必须部署一个 Workspace ONE Access Connector,用于在 Workspace ONE Access 环境与容器之间建立桥接。通过此连接器,您可以将容器中的最终用户授权同步到 Workspace ONE Access

提示:
  • Workspace ONE Access 以前名为 VMware Identity Manager™。此连接器以前名为 VMware Identity Manager™ Connector。您可能仍会在产品、文档和知识库文章中看到对以前名称的引用,尤其是在使用较早的连接器版本时。
  • 请访问 VMware Digital Workspace Tech Zone,查找一篇介绍 Horizon CloudWorkspace ONE Access 集成的好文章
  • Workspace ONE Access 文档在介绍连接器从容器同步到 Workspace ONE Access 的操作时使用了“授权”一词。在 Horizon Cloud 中,分配表示资源和授权的组合。在 Horizon Cloud 管理控制台 中,将用户添加到分配即会授权该用户访问分配中的容器置备资源,例如在创建专用 VDI 桌面分配时。

Workspace ONE Access 是一个身份即服务 (Identity as a Service, IDaaS) 产品,它为 SaaS、Web、云和本机移动应用程序提供了应用程序置备、自助服务目录、条件访问控制和单点登录 (Single Sign-On, SSO)。当用户访问您在 Workspace ONE Access 目录中为其配置的项目时,Workspace ONE Access 将负责处理用户的身份验证。Horizon Cloud 客户通常使用由 VMware 托管的云托管 Workspace ONE Access

要从 Workspace ONE Access 环境角度全面了解此集成,请参阅提供 VMware Horizon Cloud Service 桌面和应用程序访问权限概述。您可以照常在 Horizon Cloud 管理控制台 中为用户和组配置桌面和远程应用程序分配。在完成用于将容器与 Workspace ONE Access 环境相集成的步骤后,您可以将容器的分配信息同步到 Workspace ONE Access。然后,您可以在 Workspace ONE Access 管理控制台中查看桌面和应用程序,并且最终用户可以从 Workspace ONE Access 中进行身份验证以访问为其分配的资源。您可以设置一个定期同步计划,以将 Horizon Cloud 中的分配信息同步到 Workspace ONE Access 环境。

注: Workspace ONE Access 文档中的屏幕截图可能与您在特定 Workspace ONE Access 环境中看到的用户界面元素有所不同。

关键组件的高级视图

Horizon Cloud 租户环境配置为使用单容器代理时,您可以将 Microsoft Azure 中的每个容器与 Workspace ONE Access 进行集成,以便在每个容器中置备的最终用户资源都能使用 Workspace ONE Access 的功能。Microsoft Azure 中的容器与 Workspace ONE Access 的集成涉及以下主要概念。

  • Microsoft Azure 中部署的容器
  • 您的 Workspace ONE Access 租户环境
  • 将有效的 SSL 证书上载到容器的管理器虚拟机。当 Workspace ONE Access Connector 同步 Workspace ONE AccessHorizon Cloud 虚拟应用程序集合的授权和容器置备资源时,此 SSL 证书允许 Workspace ONE Access Connector 信任与容器的连接。
  • 将安装一个 Workspace ONE Access Connector 并配置相应设置,以将以下资源的相关信息同步到 Workspace ONE Access
    • Active Directory 用户和组
    • 容器的分配(容器置备的资源以及这些资源的授权)
  • Horizon Cloud 管理控制台 中用于设置 SAML 项目的配置设置,该 SAML 项目允许 Workspace ONE Access 与容器进行 SAML 通信。

集成过程概述

以下列表简要说明了让最终用户能够使用 Workspace ONE Access 进行身份验证以访问其容器置备的桌面和应用程序的端到端步骤。在执行这些步骤之前,您必须已在 Microsoft Azure 中部署容器,并且具有自己的 Workspace ONE Access 环境。如果要与云托管的 Workspace ONE Access 环境集成,并且您还没有该租户,则可以使用 Horizon Cloud 管理控制台 的“身份管理”页面开始设置 Workspace ONE Access 云租户。有关详细信息,请参阅Horizon Cloud 管理控制台 中的“身份管理”页面

  1. 在 DNS 服务器中,将容器管理器的 Azure 负载均衡器 IP 地址映射到完全限定域名 (FQDN),例如 mypod1.example.com。您可以在容器的详细信息页面中找到此 IP 地址。有关可在容器详细信息页面中的何处找到该 IP 地址的说明,请参阅在 Horizon Cloud 容器的管理器虚拟机上配置 SSL 证书(主要供在单容器代理环境中包含容器的 Workspace ONE Access Connector 使用)概览
    注: 在 2020 年 7 月季度服务版本之前,此 IP 地址在容器的详细信息页面上具有 租户设备 IP 地址标签。当前标签为 容器管理器负载均衡器 IP。最新清单的容器包括默认情况下为容器管理器实例部署的 Microsoft Azure 负载均衡器,并且当前标签反映了该容器架构。即使清单版本低于 1600 的容器没有为其容器管理器虚拟机部署 Microsoft Azure 负载均衡器,此配对任务需要使用的 IP 地址仍是容器详细信息页面中该标签旁边显示的 IP 地址。
  2. 获取基于该 FQDN 的受信任 SSL 证书。有关所需内容的详细信息,请参阅以下主题:
    注: 将 SSL 证书上载到容器时所需的证书文件格式不同于容器网关配置所使用的 PEM 文件格式。
  3. 按照直接在容器管理器虚拟机上配置 SSL 证书,例如将 Workspace ONE Access Connector 设备与 Microsoft Azure 中的 Horizon Cloud 容器集成时,该连接器可以信任与容器管理器虚拟机的连接中所述,上载该 SSL 证书。
    重要事项: 如果在 Workspace ONE Access Connector 尝试连接到容器时,容器上没有按照说明配置以提供给连接器的 SSL 证书,那么连接器尝试连接到容器以同步授权和资源的操作将失败,因为连接器不会建立不受信任的网络连接。容器的 SSL 证书必须受 Workspace ONE Access Connector 信任,这样连接器才能成功连接到容器。在将符合条件的 SSL 证书上载到容器之后,才能成功将 Workspace ONE Access 与容器相集成。
  4. 通过订阅云托管版本,将 Workspace ONE Access 租户置于云中,获取 Workspace ONE Access 环境。
    注: 如果使用控制台的“身份管理”页面设置 Workspace ONE Access 租户,则在该过程中, Workspace ONE Access 租户会与您的 Horizon Cloud 客户记录相关联。然后,可以通过部署 Workspace ONE Access Connector,将同一 Horizon Cloud 客户记录已存在的容器与该租户相集成。在以下步骤中,请记录与连接器相关的详细信息。
  5. 根据适用于您所用部署型号的 Workspace ONE Access 准则,部署 Workspace ONE Access

    如果您使用的是云托管的 Workspace ONE Access,则必须在 Active Directory 网络中安装 Workspace ONE Access Connector 设备。阅读所有连接器相关必备条件,从下面标题为“开始执行集成步骤前的必备条件”的部分开始。

    重要事项: 您还必须确保在该连接器中配置的权威时间源与为容器配置的 NTP 服务器相匹配。如果时间源不匹配,则可能会出现同步问题。容器的详细信息页面显示了为容器配置的 NTP 服务器。您可以打开 为 Horizon Cloud 支持的所有容器类型管理连接到云的容器中所述的容器详细信息页面。
  6. 确保您满足适用于您的情况的 Workspace ONE Access 产品文档中所述的 Workspace ONE Access 集成必备条件。请参阅下面标题为“开始执行集成步骤前的必备条件”的部分。
    重要事项: 除了本文档主题中列出的以下必备条件外,您还必须确保配置的 Workspace ONE Access 环境满足 Workspace ONE Access 文档中所述的与 Horizon Cloud 资源集成的必备条件。
    Workspace ONE Access 环境 Workspace ONE Access 文档中 Workspace ONE Access 必备条件的链接
    云托管 Workspace ONE AccessHorizon Cloud 相集成的集成必备条件
  7. 按照适用于您的情况的 Workspace ONE Access 产品信息中所述,在 Workspace ONE Access 环境中启用 Horizon Cloud 环境的桌面。
    重要事项: 在用于输入 Horizon Cloud 租户信息的 Workspace ONE Access 屏幕的 主机字段中,指定您在 DNS 服务器中映射到容器管理器的 Azure 负载均衡器 IP 地址的 FQDN。此 FQDN 必须是您上载到容器的 SSL 证书所基于的 FQDN,如 在 Horizon Cloud 容器的管理器虚拟机上配置 SSL 证书(主要供在单容器代理环境中包含容器的 Workspace ONE Access Connector 使用)概览运行 Horizon Cloud 管理控制台 的“上载容器证书”工作流以在 Horizon Cloud 容器的管理器虚拟机上配置 SSL 证书的必备条件直接在容器管理器虚拟机上配置 SSL 证书,例如将 Workspace ONE Access Connector 设备与 Microsoft Azure 中的 Horizon Cloud 容器集成时,该连接器可以信任与容器管理器虚拟机的连接中所述。

    在下面的“在 Workspace ONE Access 中配置 Horizon Cloud 租户”链接主题中,这些操作过程主题的最后一步介绍了如何同步 Horizon Cloud 环境中的授权相关信息。但是,在完成下面的步骤 5(即,为容器配置 Workspace ONE Access 访问权限)后,才能执行该同步步骤。

    Workspace ONE Access 环境 Workspace ONE Access 文档中桌面启用信息的链接
    云托管 在 VMware Workspace ONE Access 中配置 Horizon Cloud 租户
  8. 输入相关设置以允许将您配置的 Workspace ONE Access 环境用作容器的身份管理提供程序。请参阅具有单容器代理的 Horizon Cloud 环境 — 使用相关 Workspace ONE Access 租户信息在 Microsoft Azure 中配置 Horizon Cloud 容器的步骤
  9. Workspace ONE Access 环境中,将授权的桌面和应用程序同步到 Workspace ONE Access。在 Workspace ONE Access 管理控制台中,导航到“虚拟应用程序配置”页面以显示在步骤 4 中创建的收集,然后单击同步
  10. 通过以最终用户身份登录到 Workspace ONE Access 并从目录中启动桌面和应用程序,确认最终用户可以访问桌面和应用程序。请参阅具有单容器代理的 Horizon Cloud 环境 — 确认最终用户能够在 Workspace ONE Access 中访问桌面分配

在确认集成可正常使用后,可以选择强制最终用户通过 Workspace ONE Access 进行身份验证并访问其桌面和应用程序。请参阅具有单容器代理的 Horizon Cloud 环境 — 强制让最终用户通过 Workspace ONE Access 以访问其授权的桌面和应用程序

开始执行集成步骤前的必备条件

要彻底完成集成过程,从头到尾进行到确认最终用户能够使用 Workspace ONE Access 访问容器提供的桌面或基于 RDS 的远程应用程序这一步,请确保您具有以下项目。