可以在 VMware Identity Manager 控制台中配置 Horizon 容器和容器联合,以便将资源和授权同步到 VMware Identity Manager 服务。

要配置容器和容器联合,请在目录 > 虚拟应用程序页中创建一个或多个虚拟应用程序集合,然后输入配置信息(例如,从中同步资源和授权的 Horizon 连接服务器、容器联合详细信息、用于同步的 VMware Identity Manager Connector)以及管理员设置(如默认启动客户端)。

您可以根据需要在一个集合中添加所有 Horizon 容器和容器联合,也可以创建多个集合。例如,您可以选择为每个容器联合或每个容器创建单独的集合以更轻松地进行管理,以及在多个连接器之间分摊同步负载。或者,您可以选择在一个集合中包含所有容器和容器联合以进行测试,并在生产环境中使用另一个完全相同的集合。

在添加容器后,请为特定的网络范围配置客户端访问 URL。
重要事项: 如果更改 Horizon Server 上的任何设置或 SAML 配置,请确保在 VMware Identity Manager 控制台中编辑“Horizon 虚拟应用程序”页面,然后单击“保存”以更新 VMware Identity Manager 服务中的最新 Horizon 设置。

前提条件

过程

  1. 登录到 VMware Identity Manager 控制台。
  2. 选择目录 > 虚拟应用程序选项卡,然后单击虚拟应用程序配置
  3. 单击添加虚拟应用程序,然后选择 Horizon View 内部部署
  4. 为集合输入唯一的名称。
  5. 同步连接器下拉菜单中,选择要用于同步该集合中的资源的连接器。

    如果设置了多个连接器以实现高可用性,请单击添加连接器,然后选择其他连接器。连接器的列出顺序决定了故障切换顺序。

  6. Horizon 容器部分中,提供要添加到该集合的 Horizon 容器的配置信息。
    连接服务器 输入 Horizon 连接服务器实例的完全限定主机名,例如,connectionserver.example.com。域名必须与将 Horizon 连接服务器实例加入的域名完全匹配。
    用户名 输入容器的管理员用户名。该用户必须在 Horizon 中具有管理员角色。
    密码 输入容器的管理员密码。
    智能卡身份验证 如果用户使用智能卡身份验证而不是密码登录到容器,请选中该复选框。
    已启用 True SSO

    如果在 Horizon 中启用了 True SSO,请选择该选项。该选项仅适用于支持 True SSO 功能的 Horizon 版本。

    如果在 Horizon 中启用了 True SSO,用户无需输入密码即可登录到其 Windows 桌面。但是,如果用户已使用非密码身份验证方法(例如 SecurID)登录 VMware Identity Manager,在他们启动 Windows 桌面时,会提示其输入密码。在这种情况下,您可以选择该选项,阻止向用户显示密码对话框。

    同步本地授权 如果已为容器配置本地授权,请选择该选项。
    例如:
    添加容器

  7. 要将多个容器添加到集合中,请单击添加容器,然后输入每个容器的配置信息。
  8. 要添加容器联合,请执行以下步骤。
    1. Horizon Cloud Pod 架构配置部分中,选中启用复选框。
    2. 输入容器联合配置信息。
      选项 描述
      联合名称 容器联合的名称。
      添加 Horizon 容器 选择属于容器联合的所有容器。该列表显示已添加到集合的所有容器。

      选择每个容器,然后单击添加到列表
      选定的容器 您可以对容器重新排序或将其移除。
      启动 URL 要用于启动全局授权的桌面或应用程序的全局启动 URL。例如,federationA.example.com

      启动 URL 通常是容器联合的全局负载均衡器 URL。您可以在稍后的配置过程中自定义特定网络范围的启动 URL。

    3. 要添加另一个容器联合,请单击添加联合并输入配置信息。
    注: 如果集合仅包含不属于容器联合的单个 Horizon 容器,请不要启用该选项。
    例如:
    添加容器联合

  9. 选中不同步重复的应用程序复选框,以防止同步多个服务器中的重复应用程序。
    在多个数据中心部署 VMware Identity Manager 时,会在这些数据中心设置相同的资源。选择该选项可避免 VMware Identity Manager 目录中出现重复的桌面或应用程序池。
  10. 如果要配置任何 View 连接服务器 5.x 实例,请选中配置 Horizon 连接服务器 5.x 复选框

    选中此选项将启用 View 5.x 所需的备用资源同步方法。

    注: 如果选择 执行目录同步选项,则还会自动选择 配置 Horizon 连接服务器 5.x 选项,因为这两个选项都依赖于备用的资源同步方法。
  11. 如果在 VMware Identity Manager 目录中缺少有权使用 Horizon 连接服务器实例中的 Horizon 池的任何用户和组,并且希望在资源同步过程中执行目录同步,请选中执行目录同步复选框。

    “执行目录同步”选项不适用于容器联合。如果在 VMware Identity Manager 目录中缺少具有全局授权的用户和组,则不会触发目录同步。

    可以像管理通过 VMware Identity Manager 目录同步添加的任何其他用户那样,来管理通过此过程同步的用户和组。

    重要事项: 在使用“执行目录同步”选项时,同步需要更长的时间。
    注: 如果选择该选项,则还会自动选择 配置 Horizon 连接服务器 5.x 选项,因为这两个选项都依赖于备用的资源同步方法。
  12. 默认启动客户端下拉列表中,选择在其中启动 Horizon 应用程序或桌面的默认客户端。
    选项 描述
    不会在管理员级别设置默认首选项。如果该选项设置为,并且未设置最终用户首选项,则使用 Horizon 默认显示协议设置确定如何启动桌面或应用程序。
    浏览器 默认情况下,将在 Web 浏览器中启动 Horizon 桌面和应用程序。如果设置,最终用户首选项将覆盖该设置。
    本机 默认情况下,将在 Horizon Client 中启动 Horizon 桌面和应用程序。如果设置,最终用户首选项将覆盖该设置。

    该设置适用于该集合中的所有资源的所有用户。

    以下优先级顺序(按最高到最低列出)适用于默认启动客户端设置:

    1. 最终用户首选项设置(在 Workspace ONE 门户中设置)。该选项在 Workspace ONE 应用程序中不可用。
    2. 集合的管理员默认启动客户端设置(在 VMware Identity Manager 控制台中设置)。
    3. 桌面或应用程序池的 Horizon 远程显示协议 > 默认显示协议设置(在 Horizon Administrator 中设置)。例如,如果将显示协议设置为 PCoIP,将在 Horizon Client 中启动应用程序或桌面。
  13. 同步频率下拉菜单中,选择该集合中的资源的所需同步频率。
    您可以设置定期同步计划或选择手动同步。如果选择 手动,在设置集合后以及每次 View 资源或授权发生变化时,您必须在“虚拟应用程序配置”页上单击 同步
  14. 激活策略下拉列表中,选择如何为 Workspace ONE 中的用户提供 Horizon 资源。
    可以通过 用户激活自动选项将资源添加到“目录”页中。用户可以使用“目录”页中的资源,或者将其移到“书签”页中。不过,要为任何应用程序设置审批流程,您必须为该应用程序选择“用户激活”。

    在该页上选择的激活策略适用于集合中的所有资源的所有用户授权。从应用程序或桌面的“授权”页中,您可以修改每个资源的各个用户或组的激活策略。

    如果要设置审批流程,建议将集合的激活策略设置为用户激活

  15. 单击保存
    此时会创建集合并将其显示在“虚拟应用程序配置”页中。尚未同步集合中的资源。
  16. 要将集合中的资源同步到 VMware Identity Manager,请在“虚拟应用程序配置”页中单击同步
    每次在 Horizon 中更改设置时(例如,添加授权或用户),需要进行同步以将更改传播到 VMware Identity Manager
  17. 为容器和容器联合配置客户端访问 URL。
    您可以为特定的网络范围自定义这些 URL。例如,通常为内部和外部访问设置不同的启动 URL。
    1. 查看您的网络范围,如果需要,创建新的网络范围。
      • 单击身份和访问管理 > 策略选项卡。
      • 单击网络范围
      • 查看网络范围,如果需要,单击添加网络范围以添加新范围。
    2. 单击目录 > 虚拟应用程序选项卡,然后单击虚拟应用程序设置
    3. 单击网络设置
    4. 选择要配置的网络范围。
      View CPA 联合部分列出了添加到集合的容器联合的全局启动 URL。 View 容器部分列出了添加到集合并选择了“同步本地授权”选项的所有 View 容器。

      网络范围

    5. View CPA 联合部分,对于全局启动 URL,指定服务器的完全限定域名,系统将来自该网络范围的全局授权的启动请求提交至该服务器。这通常是 View 容器联合部署的全局负载均衡器 URL。

      例如:lb.example.com

      全局启动 URL 用于启动全局授权的资源。

    6. View 容器部分中,为每个容器指定特定服务器的完全限定域名,来自该网络范围的本地授权的启动请求将传送到该服务器。您可以指定 Horizon 连接服务器实例、负载均衡器或安全服务器。例如,如果您要编辑提供内部访问的范围,应指定容器的内部负载均衡器。

      例如:lb.example.com

      客户端访问 URL 用于从容器启动本地授权的资源。

      注: 有关 在 JWT 中封装项目JWT 中的受众选项的信息,请参阅 通过验证网关启动 Horizon 资源
    7. 单击完成
    另请参阅 对自定义网络范围启用多个客户端访问 URL