除了将独立的 Horizon 容器与 VMware Identity Manager 集成以外,您还可以集成 Horizon Cloud Pod 架构 (CPA) 部署。
Horizon Cloud Pod 架构功能将多个 Horizon 容器链接在一起,以形成一个大型桌面和应用程序代理和管理环境(称为容器联合)。容器联合可以包含多个站点和数据中心。
您可以将一个或多个容器联合与 VMware Identity Manager 服务集成。请注意,容器联合是在 Horizon 中创建和管理的,容器联合的桌面和应用程序池的用户和组授权是在 Horizon 中设置的。将资源和授权同步到 VMware Identity Manager。
容器联合内的全局授权使您可以向用户授予可从容器联合内的任何容器访问桌面和应用程序的权限。全局授权可能由联合中的多个容器的资源组成。例如,一个全局桌面授权可能包含多个桌面池,这些桌面池来自三个不同的数据中心的三个不同的容器。容器联合中的单个容器也可以配置本地授权。您可以将全局和本地授权同步到 VMware Identity Manager。
要将容器联合与 VMware Identity Manager 服务集成在一起,需要在 VMware Identity Manager 控制台中执行以下概要任务:
添加组成容器联合的所有容器,并指定每个容器的 Horizon 连接服务器详细信息。
当 VMware Identity Manager 可以从容器联合中的任何一个容器同步全局授权时,它需要连接到每个容器,以同步 SAML 身份验证所需的元数据。它还需要连接到容器,以同步本地授权(如适用)。
添加容器联合详细信息,指定全局启动 URL。全局启动 URL 通常是全局负载平衡器 URL,用于启动全局授权的桌面和应用程序。
您可以自定义特定网络范围(例如内部和外部访问)的全局启动 URL。
将容器联合中的资源和授权同步到 VMware Identity Manager 服务。
注:仅同步容器联合中具有“所有站点”范围策略的全局授权。“所有站点”范围策略将应用程序或桌面的搜索范围设置为容器联合中的所有容器。
通过为特定网络范围设置客户端访问 URL,自定义全局启动 URL。这些 URL 用于启动容器联合中全局授权的资源。默认情况下,在添加联合时指定的全局启动 URL 用作所有网络范围的全局启动 URL。
为容器联合中已配置本地授权的每个容器指定客户端访问 URL。这些 URL 用于启动容器中本地授权的桌面和应用程序。客户端访问 URL 可以是 Horizon 连接服务器 URL、安全服务器 URL 或负载平衡器 URL。已为特定网络范围设置客户端访问 URL。默认情况下,在添加容器时指定的 Horizon 连接服务器用作所有网络范围的客户端访问 URL。
在将容器联合与 VMware Identity Manager 服务集成时,该服务执行以下操作:
同步容器联合中所有具有“所有站点”范围策略的全局授权。
从属于容器联合的容器同步所有本地授权(如果已选择)。
从容器联合中的所有 Horizon 连接服务器同步元数据。
允许最终用户从 Workspace ONE 门户中访问其 Horizon 应用程序和桌面。
最终用户可以从 Workspace ONE 门户中访问其 Horizon 应用程序和桌面。显示他们有权访问的所有资源,不论是通过全局授权还是本地授权访问。应用程序和桌面在 Horizon Client 中启动。在用户启动本地授权的应用程序或桌面时,将从用户连接到的 Horizon 连接服务器中启动该应用程序或桌面。全局授权的资源是从资源所在的 Horizon 连接服务器中启动的。
Cloud Pod 架构部署示例
下图显示 Cloud Pod 架构部署示例以及它与 VMware Identity Manager 服务集成的方式。
该图显示容器联合部署示例。在 Horizon 6 中创建命名为联合 1 的容器联合。它具有三个容器:容器 1、容器 2 和容器 3。容器 1 和容器 2 为每个 Horizon 连接服务器配置了安全服务器实例,并配置了用于外部访问的外部负载平衡器和用于内部访问的内部负载平衡器。容器 3 配置了仅用于内部访问的内部负载平衡器。整个容器联合包含一个外部负载平衡器和一个内部负载平衡器。
桌面和应用程序池部署在容器上。为联合 1 配置全局授权,另外为单个容器配置本地授权。
联合 1 与 VMware Identity Manager 服务集成。VMware Identity Manager 服务同步联合 1 中的全局授权和本地授权。由于每个容器中的全局授权是重复的,它会同步容器 1 中的全局授权。它还会同步容器 1、容器 2 和容器 3 中的本地授权。
最终用户可以在 VMware Identity Manager Workspace ONE 门户中查看他们有权使用的所有桌面和应用程序,不论是通过全局授权还是本地授权。在用户启动某个桌面和应用程序时,如果它是全局授权的一部分,启动请求会根据用户的网络范围转至外部或内部负载平衡器、URL EG 或 URL IG。如果资源来自本地授权,启动请求会根据用户的网络范围转至资源部署所在的容器的内部或外部负载平衡器。例如,对于容器 2 上的资源,该请求转至 URL I2 或 URL E2。