在 VMware Identity Manager 控制台中为 Horizon Cloud 租户创建虚拟应用程序集合后,可在 Horizon Cloud 租户中配置 SAML 身份验证。
如果要集成多个 Horizon Cloud 租户,请确保在所有租户中都配置 SAML 身份验证。
注:
Horizon Cloud 租户设备和 VMware Identity Manager 的时间必须同步。如果二者的时间不同步,则当您尝试启动 Horizon Cloud 桌面和应用程序时,便会出现一条指示 SAML 无效的消息。
过程
- 在 VMware Identity Manager 控制台中,选择选项卡,然后单击设置。
- 在左侧窗格中,单击 SaaS 应用程序下面的 SAML 元数据。
- 在下载 SAML 元数据选项卡中,单击身份提供程序 (IdP) 元数据链接旁边的复制 URL。
该 URL(其格式类似于 https://VMwareIdentityManagerFQDN/SAAS/API/1.0/GET/metadata/idp.xml)会被复制到剪贴板。
- 登录到 Horizon Cloud 租户。
- 导航到。
- 单击新建。
- 配置必需的设置。
选项 |
描述 |
Identity Manager URL |
您复制的 VMware Identity Manager IdP 元数据 URL。该 URL 通常采用以下格式: https://VMwareIdentityManagerFQDN/SAAS/API/1.0/GET/metadata/idp.xml |
SSO 令牌超时 |
(可选)以分钟为单位的时间长度,在此时间后 SSO 令牌超时。 |
数据中心 |
Horizon Cloud 数据中心名称。从下拉列表中选择名称。 |
租户地址 |
Horizon Cloud 租户地址。指定 Horizon Cloud 租户设备的浮动 IP 地址或主机名,或者 Unified Access Gateway IP 地址或主机名。例如,mytenant.example.com。 |
在 Azure 上的 Horizon Cloud 中,将显示以下设置。
选项 |
描述 |
VMware Identity Manager URL |
您复制的 VMware Identity Manager IdP 元数据 URL。该 URL 通常采用以下格式: https://VMwareIdentityManagerFQDN/SAAS/API/1.0/GET/metadata/idp.xml |
SSO 令牌超时 |
(可选)以分钟为单位的时间长度,在此时间后 SSO 令牌超时。 |
位置 |
选择一个位置,以将“节点”下拉列表筛选为与该位置关联的节点。 |
节点 |
选择要与 VMware Identity Manager 集成的节点。 |
数据中心 |
Horizon Cloud 数据中心名称。从下拉列表中选择名称。 |
租户地址 |
Horizon Cloud 租户地址。指定 Horizon Cloud 租户设备的浮动 IP 地址或主机名,或者 Unified Access Gateway IP 地址或主机名。例如,mytenant.example.com。 |
- 单击保存。
- 要阻止用户通过 VMware Identity Manager 之外的任何方式进行的访问,请单击配置,然后编辑设置。
选项 |
描述 |
强制远程用户使用 Identity Manager |
选择“是”将阻止远程用户通过 IDM 之外的任何方式进行的访问。仅当 Identity Manager 状态为绿色时,才会显示此选项。 |
强制内部用户使用 Identity Manager |
选择“是”将阻止内部用户通过 IDM 之外的任何方式进行的访问。仅当 Identity Manager 状态为绿色时,才会显示此选项。 |
结果
至此,您已完成集成。将 Horizon Cloud 资源同步到 VMware Identity Manager 后,您可以在 VMware Identity Manager 控制台中查看 Horizon Cloud 桌面和应用程序池,并且最终用户可以从 Workspace ONE 门户或应用程序中启动他们有权访问的资源。
