可以在 VMware Identity Manager 控制台中配置 Horizon 容器和容器联合，以便将资源和授权同步到 VMware Identity Manager 服务。

1. 登录到 VMware Identity Manager 控制台。
2. 选择目录 > 虚拟应用程序集合选项卡。
3. 单击新建。
4. 选择 Horizon 以作为源类型。
5. 在“新建 Horizon 虚拟应用程序集合”向导中，在“连接器”页面中输入以下信息。

   选项	描述
   名称	为 Horizon 集合输入唯一的名称。
   连接器	选择要用于同步该集合的连接器。要选择连接器，请选择与其关联的目录。如果设置了一组连接器，将在主机列表中显示所有连接器实例，您可以按故障切换顺序排列该集合的连接器。 重要事项： 在创建集合后，您无法选择不同的目录。

6. 单击下一步。
7. 在“容器和联合”页面中，单击添加容器并输入容器信息。
   如果容器具有多个 Horizon 连接服务器实例，请输入任何实例的信息。

   选项	描述
   连接服务器	输入容器中的任何一个 Horizon 连接服务器实例的完全限定主机名。例如，connectionserver.horizondomain.com。域名必须与 Horizon 连接服务器实例加入的域名匹配。 重要事项： 如果容器具有多个 Horizon 连接服务器实例，您只需添加其中一个实例。 VMware Identity Manager 会提取容器中所有实例的信息。
   用户名	输入 Horizon 连接服务器管理员用户名。该用户必须在 Horizon 中具有管理员角色。
   密码	输入 Horizon 连接服务器管理员密码。
   智能卡身份验证	如果用户使用智能卡身份验证（而不是密码）登录 Horizon 连接服务器，请启用该选项。
   True SSO	只有在为 Horizon 连接服务器启用了 True SSO 时，才能启用该选项。该选项仅适用于支持 True SSO 功能的 Horizon 版本。 如果启用了该选项，在使用非密码身份验证方法（如 SecurID）登录到 VMware Identity Manager 的用户启动 Windows 桌面时，不会提示他们输入密码。
   同步本地分配	启用该选项以从 Horizon 连接服务器同步本地授权以及全局分配。

8. 要添加更多容器，请单击添加容器并输入每个容器的信息。
9. 如果在 Horizon 中为添加的任何容器启用了 Cloud Pod 架构选项，请按照以下步骤添加容器联合信息。
   1. 将您是否已为上面添加的任何容器启用了 Cloud Pod 架构选项设置为是。
   2. 单击添加联合。
   3. 输入容器联合信息。

      选项	描述
      联合名称	容器联合的名称。
      客户端访问 FQDN	要将访问该容器联合上的全局授权的客户端定向到的服务器的完全限定域名 (Fully Qualified Domain Name, FQDN)。该值通常是容器联合部署的全局负载平衡器。 例如，federationA.example.com。 您可以稍后在配置过程中为特定的网络范围自定义客户端访问 FQDN。
      Horizon 容器	选择属于容器联合的容器。可用的容器列显示添加到集合的所有容器。在选择一个容器时，它将添加到选定的容器列中。您可以按故障切换顺序排列选定的容器列中的容器。

   4. 要添加另一个容器联合，请单击添加联合并输入容器联合信息。
10. 单击下一步。
11. 在“配置”页中，输入以下信息。

    选项	描述
    同步频率	选择您希望每隔多长时间同步集合中的资源。 您可以设置自动同步计划或选择手动同步。要设置计划，请选择时间间隔（如每天或每周），然后选择运行同步的时间。如果选择手动，在设置集合后以及每次 Horizon Cloud 资源或授权发生变化时，您必须在“虚拟应用程序集合”页面上单击同步。
    同步重复的应用程序	如果您希望禁止从多个服务器中同步重复的应用程序，请设置为否。 如果在多个数据中心部署了 VMware Identity Manager，将在多个数据中心设置相同的资源。如果将该选项设置为否，则禁止在 VMware Identity Manager 目录中包含重复的桌面或应用程序池。
    激活策略	选择您希望如何在 Workspace ONE 门户和应用程序中为用户提供该集合中的资源。如果要设置审批流程，请选择用户激活，否则，请选择自动。 对于用户激活和自动选项，都会将资源添加到“目录”页面中。用户可以使用“目录”页中的资源，或者将其移到“书签”页中。不过，要为任何应用程序设置审批流程，您必须为该应用程序选择“用户激活”。 激活策略适用于集合中的所有资源的所有用户授权。您可以从用户和组选项卡上的用户或组页面中修改每个资源的各个用户或组的激活策略。
    默认启动客户端	为从 Workspace ONE 门户或应用程序中访问 Horizon 桌面和应用程序的最终用户选择默认客户端。 无 不会在管理员级别设置默认首选项。如果该选项设置为无，并且最终用户也未设置首选项，则使用 Horizon 默认显示协议设置确定如何启动桌面或应用程序。 浏览器 默认情况下，将在 Web 浏览器中启动 Horizon 桌面和应用程序。如果设置，最终用户首选项将覆盖该设置。 本机 默认情况下，将在 Horizon Client 中启动 Horizon 桌面和应用程序。如果设置，最终用户首选项将覆盖该设置。 该设置适用于该集合中的所有资源的所有用户。 以下优先级顺序（按最高到最低列出）适用于默认启动客户端设置： 最终用户首选项设置（在 Workspace ONE 门户中设置）。该选项在 Workspace ONE 应用程序中不可用。 集合的管理员默认启动客户端设置（在 VMware Identity Manager 控制台中设置）。 桌面或应用程序池的 Horizon 远程显示协议 > 默认显示协议设置（在 Horizon Administrator 中设置）。例如，如果将显示协议设置为 PCoIP，将在 Horizon Client 中启动应用程序或桌面。

12. 单击下一步。
13. 在“摘要”页面中，检查所选的内容，然后单击保存并配置网络范围。
    将显示“网络范围”页面。
14. 在“网络范围”页面中，编辑每个网络范围并为 Horizon 容器和容器联合指定客户端访问 FQDN，以便访问 Horizon 应用程序和桌面的最终用户连接到正确的服务器。
    1. 单击要编辑的网络范围，或单击创建网络范围以创建新的网络范围（如果需要）。
    2. 如果创建新的网络范围，请输入名称、可选描述和 IP 地址范围。
    3. 滚动到容器和 View CPA 联合部分。
       “容器”部分将列出添加到集合并启用了“同步本地分配”选项的所有 Horizon 容器。“View CPA 联合”部分列出您添加的所有容器联合。
       

       

       
       
    4. 编辑每个容器的“容器”部分，并为该网络范围输入相应的值。

       选项	描述
       客户端访问 FQDN	指定将访问该容器上的本地授权的客户端定向到的服务器的完全限定域名 (FQDN)（如果请求来自该网络范围）。这可能是 Horizon 连接服务器、安全服务器、负载平衡器或反向代理 FQDN。 例如：internallb.example.com 容器的客户端访问 FQDN 用于从容器中启动本地授权的资源。
       端口	服务器端口。
       在 JWT 中封装项目	请参阅通过验证网关启动 Horizon 资源。
       JWT 中的受众	请参阅通过验证网关启动 Horizon 资源。

    5. 编辑每个容器联合的“View CPA 联合”部分，并为该网络范围输入相应的值。

       选项	描述
       客户端访问 FQDN	指定将访问该容器联合上的全局授权的客户端定向到的服务器的完全限定域名 (FQDN)（如果请求来自该网络范围）。这通常是容器联合部署的全局负载平衡器。 例如：globallb.example.com 容器联合的客户端访问 FQDN 用于启动全局授权的资源。
       端口	服务器端口。
       在 JWT 中封装项目	如果 VMware Identity Manager 服务与验证网关（如 F5）集成在一起，则必须启用该选项以对分配给用户的 Horizon 资源进行身份验证。请参阅通过验证网关启动 Horizon 资源。
       JWT 中的受众	请参阅通过验证网关启动 Horizon 资源。

    6. 单击保存。
    7. 重复这些步骤以编辑其他网络范围。
    8. 在“网络范围”页面中单击完成。