在集成 Workspace ONE Access 和 Horizon 期间,您可以为网络范围指定客户端访问 FQDN,以便用户根据其网络范围连接到正确的 Horizon 服务器。此外,还可以通过为每个网络范围指定用户组来筛选用户。

在创建 Horizon 虚拟应用程序集合时,向导将指导您转到“网络范围”选项卡,以便为集合中的容器和容器联合配置客户端访问 FQDN。在创建集合后,您可以随时从“网络范围”选项卡中编辑客户端访问 FQDN。

租户中的所有网络范围都必须为 Horizon 容器和容器联合设置客户端访问 FQDN。如果网络范围未定义客户端访问 FQDN,则通过该网络范围访问 Horizon 资源的用户无法启动其已分配的应用程序和桌面。确保每次创建新的网络范围时,也会编辑虚拟应用程序集合,以便将 Horizon 容器和容器联合的客户端访问 FQDN 添加到新的网络范围。

您可以通过以下方式在 Workspace ONE Access 中配置客户端访问 FQDN:

  • 仅使用网络范围将用户定向到相应的客户端访问 FQDN。

    创建多个网络范围,并为每个网络范围指定客户端访问 FQDN。不要为网络范围选择任何用户组。将根据用户从中访问为其分配的 Horizon 应用程序和桌面的网络范围,来将所有用户定向到客户端访问 FQDN。

    例如,您可以为内部和外部访问创建单独的网络范围,并为每个范围指定相应的客户端访问 FQDN。

  • 使用网络范围和组将用户定向到相应的客户端访问 FQDN。

    创建多个网络范围,并为每个范围指定客户端访问 FQDN。同时为网络范围选择用户组。对于能够通过客户端访问 FQDN 启动 Horizon 应用程序和桌面的用户,其客户端 IP 地址必须与网络范围相匹配,并且这些用户必须至少属于为网络范围选择的其中一个组。如果没有为网络范围选择组,则客户端 IP 地址与网络范围匹配的所有用户都可以通过该网络范围的客户端访问 FQDN 启动应用程序和桌面。

    例如,您可以为内部和外部访问创建单独的网络范围,并根据用户是属于固定员工组还是临时员工组为每个范围筛选用户。

    注: 如果您不希望创建多个网络范围,可以在默认的 所有范围网络范围为每个虚拟应用程序集合配置用户组。只有属于某个选定组的用户才能通过 所有范围客户端访问 FQDN 启动 Horizon 应用程序和桌面。

    例如,您可以为不同区域的容器创建不同的虚拟应用程序集合,按区域创建用户组,并为每个集合的所有范围网络范围选择相应用户组。

如果配置了重叠的网络范围,Workspace ONE Access 将应用以下规则为用户找到最匹配范围:

  • 如果用户的客户端 IP 地址与多个范围相匹配,并且没有为任何网络范围指定组,则会使用最近创建的网络范围来确定用户的客户端访问 FQDN。
  • 如果用户的客户端 IP 地址与多个网络范围相匹配并且用户的组只与其中一个网络范围匹配,则会使用与客户端 IP 地址和组均匹配的网络范围来确定用户的客户端访问 FQDN。
  • 如果客户端 IP 地址与多个网络范围相匹配并且用户属于所有这些网络范围中的一个或多个组,则会使用拥有最多用户组匹配的网络范围来确定用户的客户端访问 FQDN。
  • 如果客户端 IP 地址与多个网络范围相匹配,并且匹配的用户组数量在多个网络范围内相同,则会使用最近创建的网络范围来确定用户的客户端访问 FQDN。

前提条件

要创建和编辑网络范围,需要具有超级管理员角色或可以在“身份和访问管理服务”中执行“管理设置”操作的自定义角色。

过程

  1. Workspace ONE Access 控制台中,选择目录 > 虚拟应用程序集合选项卡。
  2. 单击 Horizon 虚拟应用程序集合,然后选择网络范围选项卡。
  3. 单击要编辑的网络范围,或创建新的网络范围(如果需要)。
  4. 如果创建新的网络范围,请输入名称、可选描述和 IP 范围。
  5. (可选) 组成员资格部分中,选择要与此网络范围关联的用户组。
    如果您选择了组,那么要通过与此网络范围关联的客户端访问 FQDN 启动 Horizon 应用程序和桌面,用户必须至少属于其中一个组,并且其客户端 IP 地址必须与该网络范围匹配。

    如果未选择任何组,则客户端 IP 地址与该网络范围匹配的所有用户都可以通过与此网络范围关联的客户端访问 FQDN 启动 Horizon 应用程序和桌面。

    例如:

    此图像显示了“将容器分配给网络范围”弹出窗口。为网络范围指定 IP 范围。另外也为网络范围选择了两个组(组 A 和组 B)。
  6. 滚动到容器和联合部分。
    “容器”部分将列出集合中启用了“同步本地分配”选项的所有 Horizon 容器。“CPA 联合”部分列出集合中的容器联合(如果有)。

    编辑 View 设置的网络范围

  7. 编辑每个容器的容器部分,并为该网络范围输入相应的值。
    选项 描述
    客户端访问 FQDN 将访问该容器上的本地授权的客户端定向到的服务器的完全限定域名 (FQDN)(如果请求来自该网络范围)。该值可能是 Horizon 连接服务器、安全服务器、负载均衡器或反向代理 FQDN。

    例如:internallb.example.com

    容器的客户端访问 FQDN 用于从容器中启动本地授权的资源。

    端口 服务器端口。
    在 JWT 中封装项目 请参阅通过验证网关启动 Horizon 资源
    JWT 中的受众 请参阅通过验证网关启动 Horizon 资源
  8. 编辑每个容器联合的CPA 联合部分,并为该网络范围输入相应的值。
    选项 描述
    客户端访问 FQDN 将访问该容器联合上的全局授权的客户端定向到的服务器的完全限定域名 (FQDN)(如果请求来自该网络范围)。该值通常是容器联合部署的全局负载均衡器。

    例如:globallb.example.com

    容器联合的客户端访问 FQDN 用于启动全局授权的资源。

    端口 服务器端口。
    在 JWT 中封装项目 如果 Workspace ONE Access 服务与验证网关(如 F5)集成在一起,则必须启用该选项以对分配给用户的 Horizon 资源进行身份验证。请参阅通过验证网关启动 Horizon 资源
    JWT 中的受众 请参阅通过验证网关启动 Horizon 资源
  9. 单击保存
  10. 如有必要,请重复这些步骤以编辑其他网络范围。
    重要事项: 验证您的环境中的每个网络范围是否设置了客户端访问 FQDN。如果网络范围缺少客户端访问 FQDN,则通过该网络范围访问资源的用户无法启动其 Horizon 桌面和应用程序。