当您的 Horizon Cloud 租户环境配置为使用单容器代理,并且您希望将 Workspace ONE Access 与其一起使用时,请使用此处提供的步骤。通过将 Horizon Cloud on Microsoft Azure 部署与云托管的 Workspace ONE Access 环境相集成,可以让最终用户从 Workspace ONE Access 的单个统一目录中进行身份验证,以访问为其授权的容器置备桌面和应用程序。

Horizon Cloud 支持与云托管的 Workspace ONE Access 相集成。

要实现此集成,需要部署一个 Workspace ONE Access Connector,用于在 Workspace ONE Access 环境与容器之间建立桥接。通过此连接器,您可以将容器中的最终用户授权同步到 Workspace ONE Access

注: Workspace ONE Access 文档中的屏幕截图可能与您在特定 Workspace ONE Access 环境中看到的用户界面元素有所不同。

背景信息和术语

  • 您可以照常在 Horizon Universal Console 中为用户和组配置桌面和远程应用程序分配。
  • 在完成用于将容器与 Workspace ONE Access 环境相集成的步骤后,您可以将容器的分配信息同步到 Workspace ONE Access
  • 然后,您可以在 Workspace ONE Access 管理控制台中查看桌面和应用程序,并且最终用户可以从 Workspace ONE Access 中进行身份验证以访问为其分配的资源。
  • 您可以设置一个定期同步计划,以将 Horizon Cloud 中的分配信息同步到 Workspace ONE Access 环境。
  • Workspace ONE Access 以前名为 VMware Identity Manager™。此连接器以前名为 VMware Identity Manager™ Connector。您可能仍会在产品、文档和知识库文章中看到对以前名称的引用,尤其是在使用较早的连接器版本时。
  • Workspace ONE Access 文档在介绍连接器从容器同步到 Workspace ONE Access 的操作时使用了“授权”一词。

    Horizon Cloud 中,分配表示资源和授权的组合。

    Horizon Universal Console 中,将用户添加到分配即会授权该用户访问分配中的容器置备资源,例如在创建专用 VDI 桌面分配时。

  • Workspace ONE Access 控制台已借助使用 Horizon Cloud 集合一词的向导进行更新。您可能会在 Workspace ONE Access 文档和 Horizon Cloud 文档中看到以下两个短语:虚拟应用程序集合和 Horizon Cloud 集合。

关键组件的高级视图

Horizon Cloud 租户环境配置为使用单容器代理时,您可以将 Microsoft Azure 中的每个容器与 Workspace ONE Access 进行集成,以便在每个容器中置备的最终用户资源都能使用 Workspace ONE Access 的功能。

Microsoft Azure 中的容器与 Workspace ONE Access 的集成涉及以下主要概念。

  • Microsoft Azure 中部署的容器
  • 您的 Workspace ONE Access 租户环境
  • 将有效的 SSL 证书上载到容器的管理器虚拟机。当 Workspace ONE Access Connector 同步 Workspace ONE Access 中定义的 Horizon Cloud 虚拟应用程序集合的授权和容器置备资源时,此 SSL 证书允许 Workspace ONE Access Connector 信任与容器的连接。
  • 将安装一个 Workspace ONE Access Connector 并配置相应设置,以将以下资源的相关信息同步到 Workspace ONE Access
    • Active Directory 用户和组
    • 容器的分配(容器置备的资源以及这些资源的授权)
  • Horizon Universal Console 中用于设置 SAML 项目的配置设置,该 SAML 项目允许 Workspace ONE Access 与容器进行 SAML 通信。

集成过程概述

以下列表简要说明了让最终用户能够使用 Workspace ONE Access 进行身份验证以访问其容器置备的桌面和应用程序的端到端步骤。

在这些步骤之前,您必须已在 Microsoft Azure 中部署容器,将 Horizon Cloud 租户配置为使用单容器代理,并具有 Workspace ONE Access 云租户。

  1. 在 DNS 服务器中,将容器管理器的 Azure 负载均衡器 IP 地址映射到完全限定域名 (FQDN),例如 mypod1.example.com。您可以在容器的详细信息页面中找到此 IP 地址。有关在容器详细信息页面中查找该 IP 地址的说明,请参阅在容器的管理器虚拟机上配置 SSL 证书概述
    注: 在 2020 年 7 月季度服务版本之前,此 IP 地址在容器的详细信息页面上具有 租户设备 IP 地址标签。当前标签为 容器管理器负载均衡器 IP。最新清单的容器包括默认情况下为容器管理器实例部署的 Microsoft Azure 负载均衡器,并且当前标签反映了该容器架构。即使清单版本低于 1600 的容器没有为其容器管理器虚拟机部署 Microsoft Azure 负载均衡器,此配对任务需要使用的 IP 地址仍是容器详细信息页面中该标签旁边显示的 IP 地址。
  2. 获取基于该 FQDN 的受信任 SSL 证书。有关所需内容的详细信息,请参阅以下主题:
    注: 将 SSL 证书上载到容器时所需的证书文件格式不同于容器网关配置所使用的 PEM 文件格式。
  3. 将此 SSL 证书上载到容器管理器虚拟机,如在容器管理器虚拟机上直接配置 SSL 证书中所述。
    重要说明: 如果在 Workspace ONE Access Connector 尝试连接到容器时,容器上没有按照说明配置以提供给连接器的 SSL 证书,那么连接器尝试连接到容器以同步授权和资源的操作将失败,因为连接器不会建立不受信任的网络连接。容器的 SSL 证书必须受 Workspace ONE Access Connector 信任,这样连接器才能成功连接到容器。在将符合条件的 SSL 证书上载到容器之后,才能成功将 Workspace ONE Access 与容器相集成。
  4. 在可与 Horizon Cloud 容器和 Active Directory 环境进行通信的网络中部署 Workspace ONE Access Connector 设备。连接器的用途是从容器中同步资源和授权,并从 Active Directory 环境中同步用户和组。

    阅读所有连接器相关必备条件,从下面标题为“开始执行集成步骤前的必备条件”的部分开始。

    重要说明: 您还必须确保在该连接器中配置的权威时间源与为容器配置的 NTP 服务器相匹配。如果时间源不匹配,则可能会出现同步问题。容器的详细信息页面显示了为容器配置的 NTP 服务器。您可以从 Horizon Universal Console 的“容量”页面打开容器的详细信息页面。
  5. 确保您满足适用于您的情况的 Workspace ONE Access 产品文档中所述的 Workspace ONE Access 集成必备条件。请参阅下面标题为“开始执行集成步骤前的必备条件”的部分。

    请参阅 Workspace ONE Access 文档的集成的必备条件页面。

  6. 按照 Workspace ONE Access 产品信息中所述,在 Horizon Cloud 环境中启用 Workspace ONE Access 环境的桌面。

    请参阅 Workspace ONE Access 文档的在 VMware Workspace ONE Access 中配置 Horizon Cloud 租户页面。

    按照 Workspace ONE Access 文档中的步骤操作时,请牢记以下要点
    • 在完成下面的步骤 8(即,为容器配置 Workspace ONE Access 访问权限)后,才能同步该集合。
    • 在用于输入 Horizon Cloud 租户信息的 Workspace ONE Access 屏幕的主机字段中,指定您在 DNS 服务器中映射到容器管理器的 Azure 负载均衡器 IP 地址的 FQDN,以访问容器管理虚拟机。

      此 FQDN 必须与直接上载到容器的 SSL 证书相匹配,如在容器管理器虚拟机上直接配置 SSL 证书中所述。

  7. 输入相关设置以允许将您配置的 Workspace ONE Access 环境用作容器的身份管理提供程序。请参阅使用相关 Workspace ONE Access 租户信息配置 Horizon Cloud 容器的步骤
  8. Workspace ONE Access 云租户中,手动同步集合,以便可以在下一步中进行验证。在 Workspace ONE Access 管理控制台中,找到集合,然后单击同步
  9. 通过以最终用户身份登录到 Workspace ONE Access 并从目录中启动桌面和应用程序,确认最终用户可以访问桌面和应用程序。请参阅确认最终用户可以在 Workspace ONE Access 中访问桌面分配

在确认集成可正常使用后,可以选择强制最终用户通过 Workspace ONE Access 进行身份验证并访问其桌面和应用程序。请参阅强制最终用户通过 Workspace ONE Access 进行访问

开始执行集成步骤前的必备条件

要彻底完成集成过程,从头到尾进行到确认最终用户能够使用 Workspace ONE Access 访问容器提供的桌面或基于 RDS 的远程应用程序这一步,请确保您具有以下项目。

  • 按照在容器管理器虚拟机上配置 SSL 证书概述在容器管理器虚拟机上配置 SSL 证书的必备条件中所述,您需要在 DNS 服务器中输入一个条目,以将容器管理器的 Azure 负载均衡器 IP 地址映射到完全限定域名 (FQDN)。

    您希望将在 SSL 证书中使用的 FQDN 解析为相应的 IP 地址,该地址显示在 Horizon Universal Console 中容器详细信息页面上容器管理器负载均衡器 IP 标签旁边。

    例如,假设您拥有下面屏幕截图中所示的容器,并且希望使用 FQDN mypod-a.example.com 作为该容器的 FQDN,以便 Workspace ONE Access 连接到该容器。


    名为 MontereyStores 的容器的详细信息屏幕截图,其中的绿色箭头指向该容器管理器的 Azure 负载均衡器 IP 地址。

    对于此示例,您需要在 DNS 中将 mypod-a.example.com 映射到所显示的 IP 地址 192.168.21.4。
    mypod-a.example.com    192.168.21.4

    在用于输入 Horizon Cloud 租户信息的 Workspace ONE Access 屏幕中执行相应步骤时,请在该 Workspace ONE Access 屏幕的主机字段中指定此 FQDN。

  • 一个已完全配置的容器,该容器具有您使用容器详细信息页面上载到容器管理器本身的有效可信 SSL 证书。有关上载证书的详细信息,请参阅在容器管理器虚拟机上配置 SSL 证书概述
  • 为容器配置的 VDI 桌面分配、会话桌面分配或远程应用程序分配。
  • 访问您组织的已配置 Workspace ONE Access 云租户。

    使用云托管 Workspace ONE Access 时,需要使用 Workspace ONE Access Connector 设备将您的容器与该租户集成。此连接器会将有关用户和组的虚拟桌面和应用程序授权的信息发送给 Workspace ONE Access 租户。您必须在 Active Directory 网络中安装 Workspace ONE Access Connector 设备。按照本文档页面中提供的 Workspace ONE Access Cloud 文档中所述的步骤及将 Horizon Cloud 与 Workspace ONE Access 集成的部署方案中所述的步骤操作。有关此版本所需要的连接器版本,请参阅《VMware 产品互操作性列表》,其网址为 https://www.vmware.com/resources/compatibility/sim/interop_matrix.php

    确认为连接器配置的权威时间源与为容器配置的 NTP 服务器相匹配。

    注: 如果您已经具有集成和 VMware Workspace ONE® Access™ Connector 设备,最佳做法是先更新连接器,然后再将容器更新到最新的容器软件级别。
  • 确认您配置的 Workspace ONE Access 环境满足 Workspace ONE Access 文档页面集成的必备条件中所述的与 Horizon Cloud 资源集成的所有必备条件。

具有单容器代理的 Horizon Cloud 环境 — 使用相关 Workspace ONE Access 租户信息在 Microsoft Azure 中配置 Horizon Cloud 容器的步骤

要将 Microsoft Azure 中的容器与 Workspace ONE Access 相集成,必须为该容器配置适当的 Workspace ONE Access 信息。您可以使用 Horizon Universal Console 配置此信息。

前提条件

确认已将基于该 FQDN 的 SSL 证书上载到容器管理器虚拟机,如在容器管理器虚拟机上直接配置 SSL 证书中所述。此 SSL 证书必须基于在 DNS 服务器中已映射到容器管理器的 Azure 负载均衡器 IP 地址的 FQDN,如具有单容器代理的 Horizon Cloud - 与 Workspace ONE Access 集成的步骤 3 中所述。

确认已将 Workspace ONE Access 环境配置为使用该 FQDN,以便将容器置备的最终用户资源和授权同步到 Workspace ONE Access

确认您拥有以下信息:

  • Workspace ONE Access 租户的 SAML 身份提供程序 (Identity Provider, IdP) 元数据 URL。

    您可以使用 Workspace ONE Access 管理控制台的 SAML 元数据获取环境的 SAML IdP 元数据 URL。

    请参阅 Workspace ONE Access 云文档页面在 Horizon Cloud 租户中配置 SAML 身份验证

    单击该页面上的身份提供程序 (IdP) 元数据链接时,浏览器的地址栏会显示该 URL,其格式通常为 https://WS1AccessFQDN/SAAS/API/1.0/GET/metadata/idp.xml,其中 WS1AccessFQDN 是您的 Workspace ONE Access 环境的完全限定域名 (FQDN)。

  • 您告诉最终用户要连接到的 FQDN,该 FQDN 用于连接到 Horizon Cloud。

过程

  1. Horizon Universal Console 中,导航到设置 > 身份管理,然后单击新建
  2. 配置以下选项。
    设置 说明
    VMware Workspace ONE Access 元数据 URL 键入 Workspace ONE Access 租户的 SAML 身份提供程序 (Identity Provider, IdP) 元数据 URL。此元数据 URL 的格式通常为 https://WS1AccessFQDN/SAAS/API/1.0/GET/metadata/idp.xml,其中 WS1AccessFQDN 是您的 Workspace ONE Access 环境的 FQDN。
    超时 SSO 令牌 键入您希望在 SSO 令牌超时之前经过的时间(以分钟为单位)。预先填充的系统默认值为零 (0)。
    位置 选择其中一个位置以从容器下拉列表中筛选出与该位置关联的一组容器。
    容器 选择要应用此配置的容器。
    数据中心 下拉菜单将显示与 Horizon Cloud 容器清单版本相关的一个数字。保留默认值。
    客户端访问 FQDN 键入您告诉最终用户要连接到的 FQDN,以便连接到 Horizon Cloud。
    Workspace ONE 重定向 如果您还配置了强制最终用户通过 Workspace ONE Access 进行访问,则可以将此选项开关设置为,以使最终用户的客户端自动重定向到他们的 Workspace ONE Access 环境。您可以在强制最终用户通过 Workspace ONE Access 进行访问中了解如何设置强制最终用户通过 Workspace ONE Access 进行访问的选项。

    将自动重定向配置为后,在最终用户客户端中,如果客户端尝试连接到 Horizon Cloud,并且您配置了强制通过 Workspace ONE Access 进行身份验证,则客户端会自动重定向到已与容器集成的 Workspace ONE Access 环境。

    将此选项开关设置为时,不启用自动重定向。

    如果不启用自动重定向,并且配置了强制访问,则客户端会向用户显示一条信息性消息。有关更多详细信息,请参阅强制最终用户通过 Workspace ONE Access 进行访问

    注: 您只能为此处配置的其中一个身份管理提供程序启用 Workspace ONE Access 重定向。如果对于另一个配置,此选项开关已设置为 ,现在又尝试将此选项开关设置为 ,则会显示一条错误消息。
  3. 单击保存

结果

绿色状态表示配置成功。

下一步做什么

Workspace ONE Access 云租户中,手动同步授权的桌面和应用程序。在 Workspace ONE Access 管理控制台中,找到为此 Horizon Cloud 容器定义的集合,然后单击同步

重要说明:
  • 每次在 Horizon Cloud 中更改资源或授权时,需要执行同步以将更改传播到 Workspace ONE Access
  • 您还必须确保在该连接器中配置的权威时间源与为容器配置的 NTP 服务器相匹配。如果时间源不匹配,则可能会出现同步问题。容器的详细信息页面显示了为容器配置的 NTP 服务器。您可以从 Horizon Universal Console 的“容量”页面打开容器的详细信息页面。

具有单容器代理的 Horizon Cloud 环境 — 确认最终用户能够在 Workspace ONE Access 中访问桌面分配

Horizon Cloud 环境与 Workspace ONE Access 环境集成后,您可以使用这些步骤来确认最终用户可以远程访问其容器置备的虚拟桌面和远程应用程序。

前提条件

请确认已完成以下各项:

过程

  1. 使用您的组织的 Workspace ONE Access URL 登录到 Workspace ONE Access
  2. 从门户中启动授权的 Horizon Cloud 桌面和远程应用程序。