要从 VMware Workspace ONE Access 中启动远程桌面和应用程序,或者通过第三方负载均衡器或网关连接到远程桌面和应用程序,您必须在 Horizon Console 中创建一个 SAML 身份验证器。SAML 身份验证器包含 VMware Horizon 和客户端连接到的设备之间交换的信任和元数据信息。

您需要将 SAML 身份验证器与连接服务器实例进行关联。如果您的部署包括多个连接服务器实例,则必须将 SAML 身份验证器与每个实例都进行关联。

您可以同时启用一个静态身份验证器和多个动态身份验证器。您可以配置 vIDM(动态)和 Unified Access Gateway(静态)身份验证器并将其保持活动状态。您可以通过这两种身份验证器之一建立连接。

您可以在连接服务器上配置多个 SAML 身份验证器,并且所有身份验证器可以同时处于活动状态。不过,在连接服务器上配置的各个 SAML 身份验证器的实体 ID 不能相同。

仪表板中的 SAML 身份验证器的状态始终是绿色的,因为它实质上是静态的预定义元数据。红色和绿色切换仅适用于动态身份验证器。

有关为 VMware Unified Access Gateway 设备配置 SAML 身份验证器的信息,请参阅Unified Access Gateway文档。

前提条件

  • 确认安装并配置了 Workspace ONEVMware Workspace ONE Access 或者第三方网关或负载均衡器。请参阅该产品的安装文档。

  • 确认连接服务器主机上安装了 SAML 服务器证书的签名 CA 的根证书。VMware 建议不要配置 SAML 身份验证器使用自签名证书。有关证书身份验证的信息,请参阅《Horizon 安装和升级》文档。
  • 记下 Workspace ONE 服务器、VMware Workspace ONE Access 服务器或面向外部的负载均衡器的 FQDN 或 IP 地址。
  • (可选) 如果您使用 Workspace ONEVMware Workspace ONE Access,则记下连接器 Web 界面的 URL。
  • 如果您为要求生成 SAML 元数据并创建静态身份验证器的 Unified Access Gateway 设备或第三方设备创建身份验证器,则在设备上执行此过程以生成 SAML 元数据,然后复制该元数据。

过程

  1. Horizon Console 中,导航到设置 > 服务器
  2. 连接服务器选项卡上,选择一个要与 SAML 身份验证器关联的服务器实例,然后单击编辑
  3. 身份验证选项卡上,从将身份验证委派给 VMware Horizon (SAML 2.0 身份验证器) 下拉菜单中选择一项设置来启用或禁用 SAML 身份验证器。
    选项 说明
    已禁用 禁用 SAML 身份验证。您只能从 Horizon Client 中启动远程桌面和应用程序。
    已允许 启用 SAML 身份验证。您可以从 Horizon ClientVMware Workspace ONE Access 或第三方设备中启动远程桌面和应用程序。
    需要 启用 SAML 身份验证。您只能从 VMware Workspace ONE Access 或第三方设备中启动远程桌面和应用程序。无法从 Horizon Client 中手动启动桌面或应用程序。
    您可以根据自己的需要,将部署中的每个连接服务器实例配置为使用不同的 SAML 身份验证设置。
  4. 单击管理 SAML 身份验证器,然后单击添加
  5. 在“添加 SAML 2.0 身份验证器”对话框中配置 SAML 身份验证器。
    选项 说明
    类型 对于 Unified Access Gateway 设备或第三方设备,选择静态。对于 VMware Workspace ONE Access,选择动态。对于动态身份验证器,您可以指定一个元数据 URL 和一个管理 URL。对于静态身份验证器,您必须先在 Unified Access Gateway 设备或第三方设备上生成元数据,然后将该元数据复制并粘贴到 SAML 元数据文本框中。
    标签 用于标识 SAML 身份验证器的唯一名称。
    说明 SAML 身份验证器的简要描述。此值为可选项。
    元数据 URL (对于动态身份验证器)此 URL 用于检索在 SAML 身份提供程序和连接服务器实例之间交换 SAML 信息所需的全部信息。在 URL https://<YOUR HORIZON SERVER NAME>/SAAS/API/1.0/GET/metadata/idp.xml 中,单击 <YOUR HORIZON SERVER NAME>,然后将其替换为 VMware Workspace ONE Access 服务器或面向外部的负载均衡器(第三方设备)的 FQDN 或 IP 地址。
    管理 URL (对于动态身份验证器)此 URL 用于访问 SAML 身份提供程序的管理控制台。对于 VMware Workspace ONE Access,此 URL 应指向 VMware Workspace ONE Access Connector Web 界面。此值为可选项。
    True SSO 触发器模式 (对于动态身份验证器)为 SAML 身份验证器启用或禁用 TrueSSO。
    SAML 元数据 (对于静态身份验证器)您从 Unified Access Gateway 设备或第三方设备中生成并复制的元数据文本。
    已为连接服务器启用 选中此复选框可启用身份验证器。您可以启用多个身份验证器。只有已启用的身份验证器才会显示在列表中。
  6. 单击确定保存 SAML 身份验证器的配置。
    如果您提供了有效信息,则必须接受自签名证书(不建议)或为 VMware HorizonVMware Workspace ONE Access 或第三方设备使用可信证书。

    “管理 SAML 身份验证器”对话框显示新创建的身份验证器。

下一步做什么

延长连接服务器元数据的过期时间,以免远程会话在 24 小时后就终止。请参阅在连接服务器上更改服务提供程序元数据的过期时间