在将 Horizon Cloud 租户与 Workspace ONE Access 集成之前,请确保满足本主题中列出的必备条件。此信息适用于 Workspace ONE Access 与具有单容器代理的 Horizon Cloud Service on Microsoft Azure 和 Horizon Cloud Service on IBM Cloud 环境的集成(使用 Workspace ONE Access Connector 22.05 或更高版本)。
- 确认您具备以下组件:
- Workspace ONE Access 租户
- 一个或多个 Horizon Cloud 租户
- 以内部部署方式安装的虚拟应用程序服务版本 22.05 或更高版本的一个或多个实例。虚拟应用程序服务是 Workspace ONE Access Connector 的一个组件。
重要说明:
- 在 Workspace ONE Access Connector 版本 22.05 和 22.09 中,虚拟应用程序服务不支持联邦信息处理标准 (FIPS) 模式。要使用虚拟应用程序服务,您必须在非 FIPS 模式下安装 Workspace ONE Access Connector。
- 所有虚拟应用程序服务实例都必须能够访问 Horizon Cloud 租户。
- 以内部部署方式安装的目录同步服务的一个或多个实例。目录同步服务是 Workspace ONE Access Connector 的一个组件,可将用户和组从 Active Directory 同步到 Workspace ONE Access。
- 确认每个 Horizon Cloud 租户均满足以下要求。
- 租户名称必须为完全限定域名 (Fully Qualified Domain Name, FQDN),而非主机名。例如,应为 server-ta1.example.com,而不是 server-ta1。
- 租户设备必须拥有由 CA 颁发的有效签名证书。证书必须与租户设备的 FQDN 一致。如果租户设备具有自签名证书,您必须将该自签名证书作为可信根证书上载到 Workspace ONE Access Connector。您可以通过再次运行连接器安装程序并在“安装可信根证书”页面上上载证书来上载证书。
- 确保 Horizon Cloud 租户的底层 Horizon Server 具有由受信任的证书颁发机构 (CA) 签名的有效证书。如果您尚未获得 CA 签名的证书并暂时使用自签名证书进行测试,则必须使用 Workspace ONE Access Connector 安装程序将根证书上载到虚拟应用程序服务信任存储区中,然后重新启动虚拟应用程序服务。
- 如果 Workspace ONE Access Connector 使用出站代理服务器,该代理服务器必须具有有效的 CA 签名证书。如果代理服务器具有自签名证书,您必须将其根证书作为可信根证书上载到连接器上。
- 确保 Horizon Cloud 租户和 Workspace ONE Access 服务的时间保持同步。如果它们的时间不同步,在用户运行 Horizon Cloud 桌面和应用程序时,可能会出现 SAML 无效错误。
- 在 Horizon Cloud 控制台中创建并配置桌面和应用程序池(也称为分配)。您可以在 Horizon Cloud 租户中创建以下类型的池:
- 动态桌面池,也称为浮动桌面分配
- 静态桌面池,也称为专用桌面分配
- 基于会话的桌面池,也称为会话桌面分配
- 基于会话的应用程序池,也称为远程应用程序分配
有关池类型的详细信息,请参阅 Horizon Cloud 文档。请注意,此信息可能特定于 Horizon Cloud 环境的类型。
- 在 Horizon Cloud 控制台中设置用户和组的 Horizon Cloud 桌面和应用程序授权。
- 在 Workspace ONE Access 控制台中,确保使用目录同步将具有 Horizon Cloud 授权的用户和组从 Active Directory 同步到 Workspace ONE Access。
请遵循以下准则:
- 如果您要集成多个 Horizon Cloud 租户,请确保将所有相关的目录和域都添加到 Workspace ONE Access 中,以便将具有任何 Horizon Cloud 租户中的授权的用户同步到 Workspace ONE Access。
- sAMAccountName 必须在 Workspace ONE Access 中设置为目录的目录搜索属性。
- 确保将 distinguishedName 属性映射到 Active Directory 属性 distinguishedName。
- 在 Workspace ONE Access 控制台中,导航到 页面。
- 选择包含具有 Horizon Cloud 授权的用户和组的目录。
- 在目录页面上,单击同步设置,然后选择映射的属性选项卡。
- 确认 distinguishedName 属性已映射到 Active Directory distinguishedName 属性。
注: 用户必须设置 distinguishedName 属性。如果没有为用户设置 distinguishedName 属性,用户可能无法运行桌面和应用程序。