在 VMware Identity Manager 中配置 Horizon Cloud 租户

要将 Horizon Cloud 租户与 VMware Identity Manager 服务集成在一起，需在 VMware Identity Manager 控制台中创建一个虚拟应用程序集合（其中包含 Horizon Cloud 租户信息以及同步设置），然后将 Horizon Cloud 租户中的资源和授权同步到 VMware Identity Manager 服务。

如果具有多个 Horizon Cloud 租户，您可以根据需要为每个租户创建单独的虚拟应用程序集合，或者在单个集合中配置所有租户。将单独同步每个集合。

前提条件

确认您满足集成的先决条件中所述的先决条件。另请参阅集成多个 Horizon Cloud 实例。
您必须使用能够在“目录”服务中执行“管理桌面应用程序”操作的管理员角色。

过程

登录到 VMware Identity Manager 控制台。
选择目录 > 虚拟应用程序选项卡，然后单击虚拟应用程序配置。
单击添加虚拟应用程序，然后选择 Horizon Cloud。
为集合输入唯一的名称。
从同步连接器下拉菜单中，选择要用于同步该集合中的资源的连接器。

如果设置了多个连接器以实现高可用性，请单击添加连接器，然后选择连接器。连接器的列出顺序决定了故障切换顺序。

在租户部分中，输入 Horizon Cloud 租户信息。

重要事项：输入域信息时，请勿使用非 ASCII 字符。

选项	描述
租户主机	Horizon Cloud 租户主机的完全限定域名。例如：`tenant1.example.com`
租户端口	Horizon Cloud 租户主机的端口号。例如：`443`。
管理员用户	Horizon Cloud 租户管理员帐户的用户名。例如：`tenantadmin`
管理员密码	Horizon Cloud 租户管理员帐户的密码。
管理员域	Horizon Cloud 租户管理员所在的 Active Directory NETBIOS 域名。
要同步的域	用于同步 Horizon Cloud 资源和授权的 Active Directory NETBIOS 域名。注：该字段区分大小写。请确保在输入名称时使用正确的大小写格式。
断言使用者服务 URL	要将 SAML 断言发布到的 URL。该 URL 通常是 Horizon Cloud 租户的浮动 IP 地址或主机名，或者是 Unified Access Gateway URL。例如，https://mytenant.example.com。
Horizon Cloud 上已启用 True SSO	如果为 Horizon Cloud 租户启用了 True SSO，请选择该选项。如果在 Horizon Cloud 租户中启用了 True SSO，用户无需输入密码即可登录到其 Windows 桌面。但是，如果用户已使用非密码身份验证方法（例如 SecurID）登录 VMware Identity Manager，在他们启动 Windows 桌面时，会提示其输入密码。在这种情况下，您可以选择该选项，阻止向用户显示密码对话框。
自定义 ID 映射	您可以自定义在用户启动 Horizon Cloud 应用程序和桌面时在 SAML 响应中使用的用户 ID。默认情况下，将使用用户主体名称。您可以选择使用其他名称 ID 格式（如 sAMAccountName 或电子邮件地址）并自定义该值。名称 ID 格式：选择名称 ID 格式，例如电子邮件地址或用户主体名称。默认值为未指定 (用户名)。名称 ID 值：单击从建议中选择并从预定义的值列表中选择，或者单击自定义值并输入值。该值可以是任何有效的表达式语言 (Expression Language, EL) 表达式，例如 ${user.userName}@${user.domain}。默认值为 ${user.userPrincipalName}。注：请确保表达式中使用的属性是 VMware 目录中映射的属性。您可以在目录的“同步设置”选项卡中查看映射的属性。在上述示例中，userName、userPrincipalName 和 domain 都是目录映射的属性。在以下情况下，能够选择名称 ID 格式是非常有用的：在同步多个子域中的用户时，用户主体名称可能不起作用。您可以使用不同的名称 ID 格式（如 sAMAccountName 或电子邮件地址）以唯一地标识用户。重要事项：确保 Horizon Cloud 和 VMware Identity Manager 中的名称 ID 格式设置是相同的。

例如：

要将其他 Horizon Cloud 租户添加到集合中，请单击添加租户，然后输入该租户的配置信息。

从默认启动客户端下拉列表中，选择在其中启动 Horizon Cloud 应用程序或桌面的默认客户端。

选项	描述
无	不会在管理员级别设置默认首选项。如果该选项设置为无，并且未设置最终用户首选项，则使用 Horizon Cloud 默认协议设置确定如何启动桌面或应用程序。
浏览器	默认情况下，将在 Web 浏览器中启动 Horizon Cloud 桌面和应用程序。如果设置，最终用户首选项将覆盖该设置。
本机	默认情况下，将在 Horizon Client 中启动 Horizon Cloud 桌面和应用程序。如果设置，最终用户首选项将覆盖该设置。

该设置适用于该集合中的所有 Horizon Cloud 资源的所有用户。

以下优先级顺序（按最高到最低列出）适用于默认启动客户端设置：

最终用户首选项设置（在 Workspace ONE 门户中设置）。该选项在 Workspace ONE 应用程序中不可用。
集合的管理员默认启动客户端设置（在 VMware Identity Manager 控制台中设置）。
Horizon Cloud 默认协议设置

从同步频率下拉菜单中，选择该集合中的资源的所需同步频率。
您可以设置定期同步计划或选择手动同步。如果选择手动，在设置集合后以及每次 Horizon Cloud 资源或授权发生变化时，您必须在“虚拟应用程序配置”页上单击同步。
从激活策略下拉列表中，选择如何为 Workspace ONE 中的用户提供 Horizon Cloud 资源。
可以通过用户激活和自动选项将资源添加到“目录”页中。用户可以使用“目录”页中的资源，或者将其移到“书签”页中。不过，要为任何应用程序设置审批流程，您必须为该应用程序选择“用户激活”。
在该页上选择的激活策略适用于集合中的所有资源的所有用户授权。从应用程序或桌面的“授权”页中，您可以修改每个资源的各个用户或组的激活策略。

如果要设置审批流程，建议将集合的激活策略设置为用户激活。
单击保存。
该集合将会创建并显示在“虚拟应用程序”页中。
要同步集合中的资源和授权，请在“虚拟应用程序配置”页中单击同步。
每次 Horizon Cloud 中的资源或授权发生变化时，需要进行同步以将更改传播到 VMware Identity Manager。

下一步做什么

在 Horizon Cloud 租户中配置 SAML 身份验证以在 VMware Identity Manager 服务和 Horizon Cloud 租户之间建立信任关系。