要将 Horizon 容器联合与 Workspace ONE Access 集成在一起,请确保您满足此处列出的要求。
- Workspace ONE Access 在应用程序和桌面中支持 Cloud Pod 架构功能。
- 您可以将最多 10 个容器联合与 Workspace ONE Access 服务集成。
- 在默认端口 443 上部署 Horizon Connection Server 实例。
- 确认环境中的每个 Horizon 连接服务器实例具有在反向查找期间可解析的 DNS 条目和 IP 地址。Workspace ONE Access 要求 Horizon 连接服务器、安全服务器和负载均衡器实例使用反向查找。如果未正确配置反向查找,Workspace ONE Access 与 Horizon 的集成将失败。
- Workspace ONE Access 虚拟应用程序服务必须能够访问容器联合中的所有 Horizon 连接服务器实例。
- 确保 Horizon Connection Server 具有由受信任的证书颁发机构 (CA) 签名的有效证书。如果您尚未获得 CA 签名的证书并暂时使用自签名证书进行测试,则必须使用 Workspace ONE Access Connector 安装程序将根证书上载到虚拟应用程序服务信任存储区中,然后重新启动虚拟应用程序服务。有关更多信息,请参阅为 Horizon 集成设置 Workspace ONE Access 环境。
- 必须已在 Horizon 中配置 SAML 身份验证,并将 Workspace ONE Access 服务指定为身份提供程序。您必须在 URL 中使用该服务的完全限定域名。建议在容器联合中的所有 Horizon 连接服务器实例上都配置 SAML 身份验证。请参阅在 Horizon 中为 Workspace ONE Access 集成配置 SAML 身份验证以了解详细信息。
建议将 Horizon 连接服务器实例上的 SAML 元数据过期时间延长到 1 年。请参阅在 View 连接服务器上更改服务提供程序元数据的过期时间以了解相关信息。
- 在 Horizon 容器中部署应用程序和桌面池。
- 在配置桌面池时,请确保将“远程设置”中的断开连接后自动注销选项设置为 1 或 2 分钟,而不是立即。
- 您可以在 Horizon 环境中的任何访问组中创建池。请确保用于将 Horizon 分配同步到 Workspace ONE Access 的管理员用户帐户对 Horizon 根访问组具有管理员权限,以便可以将所有访问组中的池和资源同步到 Workspace ONE Access。
如果您在集成 Workspace ONE Access 后添加或删除应用程序或桌面池,要使更改显示在 Workspace ONE Access 服务中,您必须重新同步。
- 在与 Workspace ONE Access 服务集成之前,您必须通过以下方法创建容器联合:从一个容器中初始化 Cloud Pod 架构功能,然后将所有其他容器加入联合。当它们加入联合后,会将全局授权复制到容器。
在将容器联合与 Workspace ONE Access 服务集成后,如果您在容器联合中加入或移除容器,则必须在 Workspace ONE Access 控制台中编辑容器联合详细信息以添加或移除容器,保存所做的更改,然后再次同步。
- 在 Horizon 环境中,在容器联合中创建全局授权,以便授权 Active Directory 用户或组使用桌面和应用程序。
- (可选)必要时在容器上创建本地授权。
- 在 7.13 之前的 Horizon 7 版本中,要允许最终用户在 Web 浏览器中启动桌面或应用程序,请为全局授权选择 HTML Access 选项。
如果将 Horizon 7.13 或更高版本与 Workspace ONE Access 集成在一起,最终用户始终可以在 Intelligent Hub 中看到在浏览器中启动应用程序和桌面的选项。但是,如果未在 Horizon Connection Server 上安装 HTML Access,浏览器启动将失败。对于 Horizon 7.13 及更高版本,必须在 Horizon Connection Server 上安装 HTML Access。有关信息,请参阅 VMware Horizon HTML Access 文档。
- 在 Workspace ONE Access 控制台中配置容器联合时,请确保容器联合及其容器都包含在一个虚拟应用程序集合中。同一容器联合不能同时属于多个虚拟应用程序集合。
有关配置 Horizon 的更多信息,请参阅 VMware Horizon 文档。