在 Workspace ONE Access 中配置 Horizon 容器和容器联合

可以在 Workspace ONE Access 控制台中配置 Horizon 容器和容器联合，以将资源和分配同步到 Workspace ONE Access 服务。

要配置容器和容器联合，您可以在资源 > 虚拟应用程序集合页面中创建一个或多个虚拟应用程序集合，然后输入配置信息，例如，从中同步资源和授权的 Horizon Connection Server、容器联合详细信息、用于同步的 Workspace ONE Access 虚拟应用程序服务，以及管理员设置（如默认启动客户端）。

如果要集成单个容器，可以为每个容器创建一个单独的虚拟应用程序集合，也可以将所有容器添加到一个虚拟应用程序集合中。如果要集成 Cloud Pod 联合，则必须在单个虚拟应用程序集合中配置容器联合及其容器。容器联合不能拆分为多个虚拟应用程序集合。

在创建虚拟应用程序集合后，您可以为特定网络范围配置客户端访问 FQDN，以便最终用户在启动应用程序和桌面时连接到正确的服务器。

重要说明：如果在设置集成后在 Horizon 服务器上更改任何设置或 SAML 配置，并希望立即将这些更改传播到 Workspace ONE Access 服务，请在 Workspace ONE Access 控制台中编辑“虚拟应用程序集合”页面，然后单击保存。否则，将在下次同步时传播更新。

前提条件

按照将 Horizon 容器与 Workspace ONE Access 集成的要求和将 Horizon 容器联合与 Workspace ONE Access 集成的要求设置 Horizon。
按照为 Horizon 集成设置 Workspace ONE Access 环境设置 Workspace ONE Access。
对于要在 Workspace ONE Access 中配置的每个 Horizon 容器，请确保您具有 Horizon Connection Server 管理员用户名和密码。该用户必须在 Horizon 中具有管理员角色。
要在 Workspace ONE Access 中执行该过程，您必须使用在“目录”服务中包含“管理桌面应用程序”操作的管理员角色。
在该过程结束时，将重定向到“网络范围”页面以配置客户端访问 FQDN。要编辑并保存“网络范围”页面，您需要具有超级管理员角色。您可以选择单独执行该步骤。

过程

登录到 Workspace ONE Access 控制台。
选择资源 > 虚拟应用程序集合。
选择 Horizon 以作为源类型。

在“新建 Horizon 集合”向导中，在“连接器”页面中输入以下信息。

选项	描述
名称	为 Horizon 虚拟应用程序集合输入唯一的名称。
连接器	选择用于同步该集合的连接器。您可以添加多个连接器，并按故障切换顺序排列它们。在列表中仅显示安装了虚拟应用程序服务的连接器。重要说明：每个 Horizon 虚拟应用程序集合最多支持五个连接器实例。

单击下一步。

在“容器和联合”页面中，单击添加容器并输入容器信息。

如果容器具有多个 Horizon Connection Server 实例，请输入任何实例的信息。

选项	描述
Horizon Connection Server	输入容器中的任何一个 Horizon 连接服务器实例的完全限定主机名。例如，`connectionserver.horizondomain.com`。域名必须与 Horizon 连接服务器实例加入的域名匹配。重要说明：如果容器具有多个 Horizon Connection Server 实例，则只需添加其中一个实例。 VMware Workspace ONE Access 会提取容器中所有实例的信息。重要说明：必须指定 Horizon Connection Server 实例。不支持负载均衡器和虚拟 IP 地址 (VIP)。
用户名	输入 Horizon Connection Server 管理员用户名。该用户必须在 Horizon 中具有管理员角色。
密码	输入 Horizon Connection Server 管理员密码。
智能卡身份验证	如果用户使用智能卡身份验证（而不是密码）登录 Horizon Connection Server，请选择该选项。
True SSO	只有在为 Horizon Connection Server 启用了 True SSO 时，才能选择该选项。该选项仅适用于支持 True SSO 功能的 Horizon 版本。如果启用了该选项，在使用非密码身份验证方法（如 SecurID）登录到 Workspace ONE Intelligent Hub 应用程序或门户的用户启动 Windows 桌面时，将不会提示他们输入密码。
同步本地分配	选择该选项以从 Horizon Connection Server 同步本地授权以及全局分配。

例如：

在“添加容器”表单中，“Horizon Connection Server”字段的值为 pod2.example.com，“用户名”的值为 admin，并输入了密码。

单击添加。
要添加更多容器，请单击添加容器并输入每个容器的信息。

如果在 Horizon 中为添加的任何容器启用了 Cloud Pod 架构选项，请按照以下步骤添加容器联合信息。

重要说明：必须在单个虚拟应用程序集合中配置容器联合及其容器。同一容器联合不能同时属于多个虚拟应用程序集合。

将您是否已为上面添加的任何容器启用了 Cloud Pod 架构选项设置为是。
单击添加联合。

输入容器联合信息，然后单击添加。

选项	描述
联合名称	容器联合的名称。
默认客户端访问 FQDN	要将访问该容器联合上的全局授权的客户端定向到的服务器的完全限定域名 (Fully Qualified Domain Name, FQDN)。该值通常是容器联合部署的全局负载均衡器。例如，`federationA.example.com`。默认客户端访问 FQDN 用于为当前配置的所有网络范围的查看 CPA 联合 - 客户端访问 FQDN 文本框设置初始默认值。在创建集合后，转到集合的网络范围选项卡以自定义每个网络范围的查看 CPA 联合 - 客户端访问 FQDN 值。在创建集合后，如果要更新容器联合的客户端访问 FQDN，请转到网络范围选项卡，并在每个网络范围的查看 CPA 联合部分中编辑客户端访问 FQDN 值。在“编辑 Horizon 集合”向导中编辑默认客户端访问 FQDN 值不会在网络范围中更新该值。注：如果在创建集合后创建一个网络范围，请确保转到集合的网络范围选项卡，选择新的网络范围，并在查看 CPA 联合部分中添加一个客户端访问 FQDN 值。否则，使用该网络范围的客户端将无法访问其 Horizon 桌面和应用程序。
Horizon 容器	选择属于容器联合的容器。可用的容器列显示添加到集合中的容器。在选择一个容器时，它将添加到选定的容器列中。您可以按故障切换顺序排列选定的容器列中的容器。

选项

描述

联合名称

容器联合的名称。

默认客户端访问 FQDN

要将访问该容器联合上的全局授权的客户端定向到的服务器的完全限定域名 (Fully Qualified Domain Name, FQDN)。该值通常是容器联合部署的全局负载均衡器。

例如，federationA.example.com。

默认客户端访问 FQDN 用于为当前配置的所有网络范围的查看 CPA 联合 - 客户端访问 FQDN 文本框设置初始默认值。在创建集合后，转到集合的网络范围选项卡以自定义每个网络范围的查看 CPA 联合 - 客户端访问 FQDN 值。

在创建集合后，如果要更新容器联合的客户端访问 FQDN，请转到网络范围选项卡，并在每个网络范围的查看 CPA 联合部分中编辑客户端访问 FQDN 值。在“编辑 Horizon 集合”向导中编辑默认客户端访问 FQDN 值不会在网络范围中更新该值。

注：如果在创建集合后创建一个网络范围，请确保转到集合的网络范围选项卡，选择新的网络范围，并在查看 CPA 联合部分中添加一个客户端访问 FQDN 值。否则，使用该网络范围的客户端将无法访问其 Horizon 桌面和应用程序。

Horizon 容器

选择属于容器联合的容器。可用的容器列显示添加到集合中的容器。在选择一个容器时，它将添加到选定的容器列中。您可以按故障切换顺序排列选定的容器列中的容器。

例如：

在“添加联合”表单中，“联合名称”字段的值为 Horizon Pod Federation A，“客户端访问 FQDN”字段的值为 federationA.example.com。“Horizon 容器”部分具有两列：“可用的容器”和“选定的容器”。选择了 pod2.example.com。

要添加另一个容器联合，请单击添加联合并输入容器联合信息。

在“配置”页中，输入以下信息。

选项	描述
同步频率	选择您希望每隔多长时间将应用程序、桌面和分配从 Horizon 服务器同步到 Workspace ONE Access。您可以设置自动同步计划或选择手动同步。要设置计划，请选择时间间隔（如每天或每周），然后选择运行同步的时间。如果您选择手动，在创建集合后以及每次更改 Horizon 资源或分配时，必须在“虚拟应用程序集合”页面上单击同步 > 在有安全措施的情况下同步或同步 > 在没有安全措施的情况下同步。有关同步的更多信息，请参阅在 Workspace ONE Access 中同步虚拟应用程序集合。
同步重复的应用程序	如果您希望禁止从多个服务器中同步重复的应用程序，请设置为否。如果在多个数据中心部署了 Workspace ONE Access，将在多个数据中心设置相同的资源。如果将该选项设置为否，则会禁止在 Intelligent Hub 目录中包含重复的桌面或应用程序池。
安全措施阈值限制	如果要限制在虚拟应用程序集合同步时可以对应用程序、桌面和分配进行的更改数量，请配置同步安全措施阈值。如果达到任何阈值，则会取消同步。默认情况下，Workspace ONE Access 将所有类别的阈值设置为 10%。在首次集合同步时，将忽略同步安全措施，并将其应用于所有后续同步。有关同步安全措施的更多信息，请参阅在 Workspace ONE Access 中同步虚拟应用程序集合。
激活策略	选择您希望如何在 Workspace ONE Intelligent Hub 应用程序和门户中为用户提供该集合中的资源。如果要设置审批流程，请选择用户激活，否则，请选择自动。对于用户激活和自动选项，都会将资源添加到应用程序选项卡中。用户可以从应用程序选项卡中运行资源，也可以将其标记为收藏并从收藏夹选项卡中运行。不过，要为任何应用程序设置审批流程，您必须为该应用程序选择用户激活。激活策略适用于集合中所有资源的所有用户分配。您可以从帐户 > 用户页面或帐户 > 用户组页面提供的用户或组页面修改每个资源的各个用户或组的激活策略。
默认启动客户端	为从 Intelligent Hub 应用程序或门户中访问 Horizon 桌面和应用程序的最终用户选择默认客户端。无：不会在管理员级别设置默认首选项。如果该选项设置为无，并且最终用户也未设置首选项，则使用 Horizon 默认显示协议设置确定如何启动桌面或应用程序。浏览器：默认情况下，将在 Web 浏览器中启动 Horizon 桌面和应用程序。如果设置，最终用户首选项将覆盖该设置。本机：默认情况下，将在 Horizon Client 中启动 Horizon 桌面和应用程序。如果设置，最终用户首选项将覆盖该设置。该设置适用于该集合中的所有资源的所有用户。以下优先级顺序（按最高到最低列出）适用于默认启动客户端设置：最终用户首选项设置（在 Intelligent Hub 中设置）。集合的管理员默认启动客户端设置（在 Workspace ONE Access 控制台中设置）。桌面或应用程序池的 Horizon 远程显示协议 > 默认显示协议设置（在 Horizon Console 中设置）。例如，如果将显示协议设置为 PCoIP，将在 Horizon Client 中启动应用程序或桌面。重要说明：如果将 Horizon 7.13 或更高版本与 Workspace ONE Access 集成在一起，最终用户始终可以在 Intelligent Hub 中看到在浏览器中启动应用程序和桌面的选项。但是，如果未在 Horizon Connection Server 上安装 HTML Access，浏览器启动将失败。对于 Horizon 7.13 及更高版本，必须在 Horizon Connection Server 上安装 HTML Access。有关信息，请参阅 VMware Horizon HTML Access 文档。

在“摘要”页面中，检查所选的内容，然后单击保存并配置。
将显示网络范围选项卡。
在网络范围选项卡中，编辑每个网络范围并为 Horizon 容器和容器联合指定客户端访问 FQDN，以便从该网络范围中访问 Horizon 应用程序和桌面的最终用户连接到正确的服务器。
有关配置网络范围的更多信息，请参阅在 Workspace ONE Access 中为 Horizon 虚拟应用程序设置客户端访问 FQDN。

下一步做什么

将创建 Horizon 集合并显示在资源 > 虚拟应用程序集合页面中。尚未同步集合中的资源。您可以等待下一个计划的同步，或者从资源 > 虚拟应用程序集合页面中手动同步集合。