将 Horizon 容器联合与 VMware Identity Manager 集成具有以下要求。

  • VMware Identity Manager 对应用程序和桌面支持 Horizon 6.2 和更高版本中的 Cloud Pod 架构功能。

  • 您可以将最多 10 个容器联合与 VMware Identity Manager 服务集成。每个联合可以包含最多 7 个容器。

  • 在默认端口 443 或自定义端口上部署 Horizon 连接服务器实例。

  • 确认环境中的每个 Horizon 连接服务器实例具有在反向查找期间可解析的 DNS 条目和 IP 地址。VMware Identity Manager 要求 Horizon 连接服务器、安全服务器和负载平衡器实例使用反向查找。如果未正确配置反向查找,VMware Identity Manager 与 Horizon 的集成将失败。

  • VMware Identity Manager Connector 必须能够访问容器联合中的所有 Horizon 连接服务器实例。

  • 必须已在 Horizon 中配置 SAML 身份验证,并将 VMware Identity Manager 服务指定为身份提供程序。您必须在 URL 中使用该服务的完全限定域名。建议在容器联合中的所有 Horizon 连接服务器实例上都配置 SAML 身份验证。更多信息请参阅在 Horizon 中配置 SAML 身份验证

    建议在 Horizon 连接服务器实例上将 SAML 元数据过期时间延长至 90 天。请参阅在 View 连接服务器上更改服务提供程序元数据的过期时间以了解相关信息。

  • Horizon 连接服务器证书将同步到 VMware Identity Manager

  • 在 Horizon 容器中部署应用程序和桌面池。

    • 在配置桌面池时,请确保将“远程设置”中的断开连接后自动注销选项设置为 1 或 2 分钟,而不是立即

    • 确保您在根文件夹中创建 Horizon 池。如果在根文件夹以外的文件夹中创建池,则 VMware Identity Manager 无法查询这些 Horizon 容器和授权。

    如果您在集成 VMware Identity Manager 后添加或删除应用程序或桌面池,要使更改显示在 VMware Identity Manager 服务中,您必须重新同步。

  • 在与 VMware Identity Manager 服务集成之前,您必须通过以下方法创建容器联合:从一个容器中初始化 Cloud Pod 架构功能,然后将所有其他容器加入联合。当它们加入联合后,会将全局授权复制到容器。

    VMware Identity Manager 服务集成后,如果您在容器联合中加入或移除容器,则必须在 VMware Identity Manager 控制台中编辑容器联合详细信息以添加或移除容器,保存所做更改,然后再次同步。

  • 在 Horizon 环境中,在容器联合中创建全局授权,以便授权 Active Directory 用户或组使用桌面和应用程序。

  • 您要同步到 VMware Identity Manager 的全局授权必须已设置 所有站点范围策略。其他任何范围策略的授权不会同步。

    全局授权页面


  • 要允许最终用户在 Web 浏览器中启动桌面或应用程序,请在 Horizon 中为全局授权选择 HTML Access 选项。

  • (可选)必要时在容器上创建本地授权。

有关配置 Horizon 的详细信息,请参阅 Horizon 6 或 Horizon 7 文档。