下图说明了 Horizon Cloud 环境（该环境配置了 Universal Broker 并与 Workspace ONE Access 和 Intelligent Hub 服务集成在一起）中的组件的高级别架构和通信流。

1. 在激活工作流期间，将注册 Workspace ONE Access 租户，以便与 Horizon Cloud 租户集成。
2. Workspace ONE Access Connector 可将 Workspace ONE Access 租户与 Active Directory 用户和组同步。
3. 用户通过 Workspace ONE Access 进行身份验证，并请求加载 Hub 目录。
4. Workspace ONE Intelligent Hub 服务从所有已配置的目录源中获取有关用户授权的信息。这些源包括 Workspace ONE Access、Workspace ONE UEM、Okta 和 Universal Broker 服务。
5. Hub 目录向用户显示统一的授权目录。目录包括从 Universal Broker 服务获取的用户分配授权。
6. 在目录中，用户可单击已分配的桌面或应用程序以启动与其的连接会话。
7. Workspace ONE Intelligent Hub 服务通过与 Workspace ONE Access 通信并生成 SAML 项目（附加到 Universal Broker URL），为分配的资源准备启动 URL。然后，服务将该启动 URL 发送到 Workspace ONE Intelligent Hub 客户端。
8. Workspace ONE Intelligent Hub 客户端将启动 Horizon Client 桌面或 web 应用程序。
9. Horizon Client 将身份验证请求转发到 Universal Broker 服务。
10. 通过与 Workspace ONE Access 进行通信，Universal Broker 服务可解析 SAML 项目并验证受信任的用户。
11. Horizon Client 从 Universal Broker 服务请求分配的桌面或应用程序。
12. 在确定哪个容器可以最大程度地提供所分配的资源后，Universal Broker 服务将向该容器中运行的 Universal Broker 客户端发送消息。Universal Broker 客户端将该消息转发到在连接服务器中运行的 Universal Broker 插件（适用于 Horizon 容器）或转发到活动容器管理器（适用于 Microsoft Azure 中的容器）。Universal Broker 插件或活动容器管理器确定可分配给最终用户的最佳资源。
13. Universal Broker 服务会将连接响应返回到 Horizon Client，其中包含容器的唯一 FQDN。此唯一 FQDN 通常是 Horizon 容器本地负载均衡器或 Microsoft Azure 负载均衡器的 FQDN。
14. 通过负载均衡器后，该请求将转到容器的 Unified Access Gateway。Unified Access Gateway 将验证请求是否受信任，并准备 Blast 安全网关、PCoIP 安全网关和安全加密链路服务器。
15. 用户接收分配的桌面或应用程序，并根据配置的辅助协议（Blast Extreme、PCoIP 或 RDP）建立连接会话。