要将 Horizon Cloud 租户与 Workspace ONE Access 服务集成,请在 Workspace ONE Access 控制台中创建虚拟应用程序集合。该集合包含配置信息,例如,从中同步分配的 Horizon Cloud 租户、用于同步的虚拟应用程序服务实例以及同步设置。

如果具有多个 Horizon Cloud 租户,您可以根据需要为每个租户创建单独的虚拟应用程序集合,或者在单个集合中配置所有租户。每个集合单独同步。

注: 本主题适用于 Workspace ONE Access 与具有单容器代理的 Horizon Cloud Service on Microsoft Azure 或 Horizon Cloud Service on IBM Cloud 的集成(使用 Workspace ONE Access Connector 22.05 或更高版本)。

前提条件

过程

  1. 登录到 Workspace ONE Access 控制台。
  2. 选择资源 > 虚拟应用程序集合
  3. 单击新建
  4. 选择 Horizon Cloud 以作为源类型。

    这里显示了四个图块:“Horizon”、“Citrix”、“ThinApp 软件包”和“Horizon Cloud”。
  5. 在“新建 Horizon Cloud 集合”向导中,在“连接器”页面内输入以下信息。
    选项 描述
    名称 为 Horizon Cloud 集合输入唯一的名称。
    连接器 选择用于同步该集合的连接器。您可以添加多个连接器,并按故障切换顺序排列它们。在列表中仅显示安装了虚拟应用程序服务的连接器。
    重要说明: 每个 Horizon Cloud 虚拟应用程序集合最多支持五个连接器实例。
    例如:
    向导的连接器页面中包含名为“Horizon Cloud 桌面和应用程序”的集合和 connector1.example.com 活动连接器。
  6. 单击下一步
  7. 在“租户”页面中,单击添加租户,然后输入 Horizon Cloud 租户信息。
    重要说明: 输入域信息时,请勿使用非 ASCII 字符。
    选项 描述
    主机 Horizon Cloud 租户主机的完全限定域名。例如:tenant1.example.com
    端口 Horizon Cloud 租户主机的端口号。例如:443
    管理员用户 Horizon Cloud 租户管理员帐户的用户名。例如:tenantadmin
    管理员密码 Horizon Cloud 租户管理员帐户的密码。
    管理员域 Horizon Cloud 租户管理员所在的 Active Directory NETBIOS 域名。
    要同步的域 用于同步 Horizon Cloud 资源和授权的 Active Directory NETBIOS 域名。
    断言使用者服务 URL

    要将 SAML 断言发布到的 URL。该 URL 通常是 Horizon Cloud 租户的浮动 IP 地址或主机名,或者是 Unified Access Gateway URL。例如,https://mytenant.example.com。

    True SSO 只有在为 Horizon Cloud 租户启用了 True SSO 时,才能选择该选项。

    如果启用了该选项,在使用非密码身份验证方法(如 SecurID)登录到 Intelligent Hub 门户或应用程序的用户启动 Windows 桌面时,将不会提示他们输入密码。

    自定义 ID 映射 您可以自定义在用户启动 Horizon Cloud 应用程序和桌面时在 SAML 响应中使用的用户 ID。默认情况下,将使用用户主体名称。您可以选择使用其他名称 ID 格式(如 sAMAccountName 或电子邮件地址)并自定义该值。

    名称 ID 格式:选择名称 ID 格式,例如电子邮件地址或用户主体名称。默认值为未指定 (用户名)

    名称 ID 值:单击从建议中选择并从预定义的值列表中选择,或者单击自定义值并输入值。该值可以是任何有效的表达式语言 (Expression Language, EL) 表达式,例如 ${user.userName}@${user.domain}。默认值为 ${user.userPrincipalName}
    注: 请确保表达式中使用的属性是 VMware 目录中映射的属性。您可以在目录的“同步设置”选项卡中查看映射的属性。在上面的示例中,userName、userPrincipalName 和 domain 是目录映射的属性。

    在以下情况下,能够选择名称 ID 格式是非常有用的:

    • 在同步多个子域中的用户时,用户主体名称可能不起作用。您可以使用不同的名称 ID 格式(如 sAMAccountName 或电子邮件地址)以唯一地标识用户。
    重要说明: 确保在 Horizon Cloud 和 Workspace ONE Access 中使用相同的名称 ID 格式设置。
    例如:
    “主机值”为 tenant1.example.com,“端口”为 443,“管理员用户”为 tenantadmin,“管理员域”为 FTE,“要同步的域”为 FTE。
  8. 单击添加
  9. 添加其他租户(如果需要),然后单击下一步
  10. 在“配置”页中,输入以下信息。
    选项 描述
    同步频率 选择您希望每隔多长时间同步集合中的资源。

    您可以设置自动同步计划或选择手动同步。要设置计划,请选择时间间隔(如每天或每周),然后选择运行同步的时间。如果您选择手动,在设置集合后以及每次更改 Horizon Cloud 资源或授权时,必须在“虚拟应用程序集合”页面上单击同步 > 在有安全措施的情况下同步同步 > 在没有安全措施的情况下同步

    有关同步的更多信息,请参阅在 Workspace ONE Access 中同步虚拟应用程序集合
    安全措施阈值限制 如果要限制在虚拟应用程序集合同步时可以对应用程序、桌面和分配进行的更改数量,请配置同步安全措施阈值。如果达到任何阈值,则会取消同步。

    默认情况下,Workspace ONE Access 将所有类别的阈值设置为 10%。

    在首次集合同步时,将忽略同步安全措施,并将其应用于所有后续同步。

    有关同步安全措施的更多信息,请参阅在 Workspace ONE Access 中同步虚拟应用程序集合
    激活策略 选择您希望如何在 Intelligent Hub 门户和应用程序中为用户提供该集合中的资源。如果要设置审批流程,请选择用户激活,否则,请选择自动

    对于用户激活自动选项,都会将资源添加到应用程序选项卡中。用户可以从应用程序选项卡中运行资源,也可以将其标记为收藏并从收藏夹选项卡中运行。不过,要为任何应用程序设置审批流程,您必须为该应用程序选择用户激活

    激活策略适用于集合中的所有资源的所有用户授权。您可以从帐户 > 用户页面或帐户 > 用户组页面提供的用户或组页面修改每个资源的各个用户或组的激活策略。
    默认启动客户端 为从 Intelligent Hub 门户或应用程序中访问 Horizon Cloud 桌面和应用程序的最终用户选择默认客户端。

    :不会在管理员级别设置默认首选项。如果该选项设置为,并且最终用户也未设置首选项,则使用 Horizon 默认显示协议设置确定如何启动桌面或应用程序。

    浏览器:默认情况下,将在 Web 浏览器中启动桌面和应用程序。如果设置,最终用户首选项将覆盖该设置。

    本机:默认情况下,将在 Horizon Client 中启动桌面和应用程序。如果设置,最终用户首选项将覆盖该设置。

    该设置适用于该集合中的所有资源的所有用户。

    以下优先级顺序(按最高到最低列出)适用于默认启动客户端设置:

    1. 最终用户首选项设置(在 Intelligent Hub 中设置)。
    2. 集合的管理员默认启动客户端设置(在 Workspace ONE Access 控制台中设置)。
    3. Horizon Cloud 默认协议设置
    例如:
    “同步频率”为“每周”,“同步时间”为“星期日 23:55”,“激活策略”为“用户激活”,“默认启动客户端”为“本机”。
  11. 单击下一步
  12. 在“摘要”页面中,检查所选的内容,然后单击保存

结果

将创建集合并显示在“虚拟应用程序集合”页中。尚未同步集合中的资源。完成集成设置后,您可以等待下一个计划的同步,也可以手动同步。

下一步做什么

Horizon Cloud 租户中配置 SAML 身份验证以在 Workspace ONE Access 服务和 Horizon Cloud 租户之间建立信任关系。配置 SAML 身份验证后,才能启动任何应用程序。