除了将独立的 View 容器与 VMware Identity Manager 集成外,您还可以集成 View Cloud Pod 架构 (CPA) 部署。

图 1. 将 View 容器联合与 VMware Identity Manager 集成

View Cloud Pod 架构功能将多个 View 容器连接在一起,形成一个大型的桌面和应用程序代理和管理环境,又称容器联合。容器联合可以包含多个站点和数据中心。

您可以将一个或多个容器联合与 VMware Identity Manager 服务集成。请注意,容器联合是在 View 中创建和管理,容器联合的桌面和应用程序池的用户和组授权是在 View 中设置。将资源和授权同步到 VMware Identity Manager

容器联合内的全局授权使您可以向用户授予可从容器联合内的任何容器访问桌面和应用程序的权限。全局授权可能由联合中的多个容器的资源组成。例如,一个全局桌面授权可能包含多个桌面池,这些桌面池来自三个不同的数据中心的三个不同的容器。容器联合中的单个容器也可以配置本地授权。您可以将全局和本地授权同步到 VMware Identity Manager

将 View 容器联合与 VMware Identity Manager 服务集成,需要在 VMware Identity Manager 管理控制台中完成以下高级任务:

  • 添加构成容器联合的所有容器,指定每个容器的 View 连接服务器详细信息。

    VMware Identity Manager 可以从容器联合中的任何一个容器同步全局授权时,它需要连接到每个容器,以同步 SAML 身份验证所需的元数据。它还需要连接到容器,以同步本地授权(如适用)。

  • 添加容器联合详细信息,指定全局启动 URL。全局启动 URL 通常是全局负载平衡器 URL,用于启动全局授权的桌面和应用程序。

    您可以自定义特定网络范围(例如内部和外部访问)的全局启动 URL。

  • 将容器联合中的资源和授权同步到 VMware Identity Manager 服务。

    注:

    仅同步容器联合中具有“所有站点”范围策略的全局授权。“所有站点”范围策略将应用程序或桌面的搜索范围设置为容器联合中的所有容器。

  • 通过为特定网络范围设置客户端访问 URL,自定义全局启动 URL。这些 URL 用于启动容器联合中全局授权的资源。默认情况下,在添加联合时指定的全局启动 URL 用作所有网络范围的全局启动 URL。

  • 为容器联合中已配置本地授权的每个容器指定客户端访问 URL。这些 URL 用于启动容器中本地授权的桌面和应用程序。客户端访问 URL 可以是 View 连接服务器 URL、安全服务器 URL 和负载平衡器 URL。已为特定网络范围设置客户端访问 URL。默认情况下,在添加容器时指定的 View 连接服务器用作所有网络范围的客户端访问 URL。

在将容器联合与 VMware Identity Manager 服务集成时,该服务执行以下操作:

  • 同步容器联合中所有具有“所有站点”范围策略的全局授权。

  • 从属于容器联合的容器同步所有本地授权(如果已选择)。

  • 从容器联合中的所有 View 连接服务器同步元数据。

  • 允许最终用户从 Workspace ONE 门户中访问其 View 应用程序和桌面。

最终用户可以从 Workspace ONE 门户中访问其 View 应用程序和桌面。显示他们有权访问的所有资源,不论是通过全局授权还是本地授权访问。应用程序和桌面在 Horizon Client 中启动。当用户启动本地授权的应用程序或桌面时,则它会从用户连接到的 View 连接服务器启动。全局授权的资源从资源所在的 View 连接服务器启动。

Cloud Pod 架构部署示例

下图显示 Cloud Pod 架构部署示例以及它与 VMware Identity Manager 服务集成的方式。

图 2. Cloud Pod 架构部署示例

该图显示容器联合部署示例。在 Horizon 6 中创建命名为联合 1 的容器联合。它具有三个容器:容器 1、容器 2 和容器 3。容器 1 和容器 2 为每个 View 连接服务器配置了安全服务器实例,并配置了用于外部访问的外部负载平衡器和用于内部访问的内部负载平衡器。容器 3 配置了仅用于内部访问的内部负载平衡器。整个容器联合包含一个外部负载平衡器和一个内部负载平衡器。

桌面和应用程序池部署在容器上。为联合 1 配置全局授权,另外为单个容器配置本地授权。

联合 1 与 VMware Identity Manager 服务集成。VMware Identity Manager 服务同步联合 1 中的全局授权和本地授权。由于每个容器中的全局授权是重复的,它会同步容器 1 中的全局授权。它还会同步容器 1、容器 2 和容器 3 中的本地授权。

最终用户可以在 VMware Identity Manager Workspace ONE 门户中查看他们有权使用的所有桌面和应用程序,不论是通过全局授权还是本地授权。在用户启动某个桌面和应用程序时,如果它是全局授权的一部分,启动请求会根据用户的网络范围转至外部或内部负载平衡器、URL EG 或 URL IG。如果资源来自本地授权,启动请求会根据用户的网络范围转至资源部署所在的容器的内部或外部负载平衡器。例如,对于容器 2 上的资源,该请求转至 URL I2 或 URL E2。