要将 Horizon Cloud 租户与 VMware Identity Manager 服务集成在一起,需在 VMware Identity Manager 控制台中创建一个虚拟应用程序集合(其中包含 Horizon Cloud 租户信息以及同步设置),然后将 Horizon Cloud 租户中的资源和授权同步到 VMware Identity Manager 服务。
如果具有多个 Horizon Cloud 租户,您可以根据需要为每个租户创建单独的虚拟应用程序集合,或者在单个集合中配置所有租户。将单独同步每个集合。
前提条件
- 确认您满足集成的先决条件中所述的先决条件。另请参阅集成多个 Horizon Cloud 实例。
- 您必须使用能够在“目录”服务中执行“管理桌面应用程序”操作的管理员角色。
过程
- 登录到 VMware Identity Manager 控制台。
- 选择目录 > 虚拟应用程序集合选项卡。
- 单击新建。
- 选择 Horizon Cloud 以作为源类型。
- 在“新建 Horizon Cloud 虚拟应用程序集合”向导中,在“连接器”页面中输入以下信息。
选项 描述 名称 为 Horizon Cloud 集合输入唯一的名称。 连接器 选择要用于同步该集合的连接器。要选择连接器,请选择与其关联的目录。如果设置了一组连接器,将在主机列表中显示所有连接器实例,您可以按故障切换顺序排列该集合的连接器。 重要事项: 在创建集合后,您无法选择不同的目录。 - 单击下一步。
- 在“租户”页面中,单击添加租户,然后输入 Horizon Cloud 租户信息。
重要事项: 输入域信息时,请勿使用非 ASCII 字符。
选项 描述 主机 Horizon Cloud 租户主机的完全限定域名。例如:tenant1.example.com 端口 Horizon Cloud 租户主机的端口号。例如:443。 管理员用户 Horizon Cloud 租户管理员帐户的用户名。例如:tenantadmin 管理员密码 Horizon Cloud 租户管理员帐户的密码。 管理员域 Horizon Cloud 租户管理员所在的 Active Directory NETBIOS 域名。 要同步的域 用于同步 Horizon Cloud 资源和授权的 Active Directory NETBIOS 域名。 注: 该字段区分大小写。请确保在输入名称时使用正确的大小写格式。断言使用者服务 URL 要将 SAML 断言发布到的 URL。该 URL 通常是 Horizon Cloud 租户的浮动 IP 地址或主机名,或者是 Unified Access Gateway URL。例如,https://mytenant.example.com。
True SSO 只有在为 Horizon Cloud 租户启用了 True SSO 时,才能启用该选项。 如果启用了该选项,在使用非密码身份验证方法(如 SecurID)登录到 VMware Identity Manager 的用户启动 Windows 桌面时,不会提示他们输入密码。
自定义 ID 映射 您可以自定义在用户启动 Horizon Cloud 应用程序和桌面时在 SAML 响应中使用的用户 ID。默认情况下,将使用用户主体名称。您可以选择使用其他名称 ID 格式(如 sAMAccountName 或电子邮件地址)并自定义该值。 名称 ID 格式:选择名称 ID 格式,例如电子邮件地址或用户主体名称。默认值为未指定 (用户名)。
名称 ID 值:单击 从建议中选择并从预定义的值列表中选择,或者单击 自定义值并输入值。该值可以是任何有效的表达式语言 (Expression Language, EL) 表达式,例如 ${user.userName}@${user.domain}。默认值为 ${user.userPrincipalName}。注: 请确保表达式中使用的属性是 VMware 目录中映射的属性。您可以在目录的“同步设置”选项卡中查看映射的属性。在上面的示例中,userName、userPrincipalName 和 domain 是目录映射的属性。在以下情况下,能够选择名称 ID 格式是非常有用的:
- 在同步多个子域中的用户时,用户主体名称可能不起作用。您可以使用不同的名称 ID 格式(如 sAMAccountName 或电子邮件地址)以唯一地标识用户。
重要事项: 确保在 Horizon Cloud 和 VMware Identity Manager 中使用相同的名称 ID 格式设置。 - 单击添加。
- 添加其他租户(如果需要),然后单击下一步。
- 在“配置”页中,输入以下信息。
选项 描述 同步频率 选择您希望每隔多长时间同步集合中的资源。 您可以设置自动同步计划或选择手动同步。要设置计划,请选择时间间隔(如每天或每周),然后选择运行同步的时间。如果选择手动,在设置集合后以及每次 Horizon Cloud 资源或授权发生变化时,您必须在“虚拟应用程序集合”页面上单击同步。
激活策略 选择您希望如何在 Workspace ONE 门户和应用程序中为用户提供该集合中的资源。如果要设置审批流程,请选择用户激活,否则,请选择自动。 对于用户激活和自动选项,都会将资源添加到“目录”页面中。用户可以使用“目录”页中的资源,或者将其移到“书签”页中。不过,要为任何应用程序设置审批流程,您必须为该应用程序选择“用户激活”。
激活策略适用于集合中的所有资源的所有用户授权。您可以从用户和组选项卡上的用户或组页面中修改每个资源的各个用户或组的激活策略。
默认启动客户端 为从 Workspace ONE 门户或应用程序中访问 Horizon Cloud 桌面和应用程序的最终用户选择默认客户端。 无 不会在管理员级别设置默认首选项。如果该选项设置为无,并且最终用户也未设置首选项,则使用 Horizon Cloud 默认协议设置确定如何启动桌面或应用程序。 浏览器 默认情况下,将在 Web 浏览器中启动 Horizon Cloud 桌面和应用程序。如果设置,最终用户首选项将覆盖该设置。 本机 默认情况下,将在 Horizon Client 中启动 Horizon Cloud 桌面和应用程序。如果设置,最终用户首选项将覆盖该设置。 该设置适用于该集合中的所有资源的所有用户。
以下优先级顺序(按最高到最低列出)适用于默认启动客户端设置:
- 最终用户首选项设置(在 Workspace ONE 门户中设置)。该设置在 Workspace ONE 应用程序中不可用。
- 集合的管理员默认启动客户端设置(在 VMware Identity Manager 控制台中设置)。
- Horizon Cloud 默认协议设置
- 单击下一步。
- 在“摘要”页面中,检查所选的内容,然后单击保存。
将创建集合并显示在“虚拟应用程序集合”页中。
- 要同步集合中的资源和授权,请在“虚拟应用程序集合”页面中选择集合,然后单击同步。
每次 Horizon Cloud 中的资源或授权发生变化时,需要进行同步以将更改传播到 VMware Identity Manager。
下一步做什么
在 Horizon Cloud 租户中配置 SAML 身份验证以在 VMware Identity Manager 服务和 Horizon Cloud 租户之间建立信任关系。