将 Horizon 容器联合与 Workspace ONE Access 集成具有以下要求。

  • Workspace ONE Access 对应用程序和桌面支持 Horizon 6.2 和更高版本中的 Cloud Pod 架构功能。
  • 您可以将最多 10 个容器联合与 Workspace ONE Access 服务集成。每个联合可以包含最多 7 个容器。
  • 在默认端口 443 或自定义端口上部署 Horizon 连接服务器实例。
  • 确认环境中的每个 Horizon 连接服务器实例具有在反向查找期间可解析的 DNS 条目和 IP 地址。Workspace ONE Access 要求 Horizon 连接服务器、安全服务器和负载均衡器实例使用反向查找。如果未正确配置反向查找,Workspace ONE Access 与 Horizon 的集成将失败。
  • Workspace ONE Access Connector 必须能够访问容器联合中的所有 Horizon 连接服务器实例。
  • 必须已在 Horizon 中配置 SAML 身份验证,并将 Workspace ONE Access 服务指定为身份提供程序。您必须在 URL 中使用该服务的完全限定域名。建议在容器联合中的所有 Horizon 连接服务器实例上都配置 SAML 身份验证。请参阅在 Horizon 中配置 SAML 身份验证以了解详细信息。

    建议将 Horizon 连接服务器实例上的 SAML 元数据过期时间延长到 1 年。请参阅在 View 连接服务器上更改服务提供程序元数据的过期时间以了解相关信息。

  • Horizon 连接服务器证书将同步到 Workspace ONE Access
  • 在 Horizon 容器中部署应用程序和桌面池。
    • 在配置桌面池时,请确保将“远程设置”中的断开连接后自动注销选项设置为 1 或 2 分钟,而不是立即
    • 您可以在 Horizon Server 上的任何文件夹中创建池。确保用于将 Horizon 授权同步到 Workspace ONE Access 的管理员用户具有根级别访问权限,以便可以同步所有池。

    如果您在集成 Workspace ONE Access 后添加或删除应用程序或桌面池,要使更改显示在 Workspace ONE Access 服务中,您必须重新同步。

  • 在与 Workspace ONE Access 服务集成之前,您必须通过以下方法创建容器联合:从一个容器中初始化 Cloud Pod 架构功能,然后将所有其他容器加入联合。当它们加入联合后,会将全局授权复制到容器。

    Workspace ONE Access 服务集成后,如果您在容器联合中加入或移除容器,则必须在 Workspace ONE Access 控制台中编辑容器联合详细信息以添加或移除容器,保存所做更改,然后再次同步。

  • 在 Horizon 环境中,在容器联合中创建全局授权,以便授权 Active Directory 用户或组使用桌面和应用程序。
  • 您要同步到 Workspace ONE Access 的全局授权必须已设置所有站点范围策略。其他任何范围策略的授权不会同步。
    “全局授权”页面

  • 要允许最终用户在 Web 浏览器中启动桌面或应用程序,请在 Horizon 中为全局授权选择 HTML Access 选项。
  • (可选)必要时在容器上创建本地授权。

有关配置 Horizon 的详细信息,请参阅 Horizon 6 或 Horizon 7 文档。