Workspace ONE Access 控制台中为 Horizon Cloud 集成创建虚拟应用程序集合后,请在 Horizon Cloud 租户中配置 SAML 身份验证。

如果要集成多个 Horizon Cloud 租户,请确保在所有租户中都配置 SAML 身份验证。

重要说明: Horizon Cloud 租户设备和 Workspace ONE Access 的时间必须同步。如果二者的时间不同步,则当您尝试启动 Horizon Cloud 桌面和应用程序时,便会出现一条指示 SAML 无效的消息。
注: 本主题适用于 Workspace ONE Access 与具有单容器代理的 Horizon Cloud Service on Microsoft Azure 或 Horizon Cloud Service on IBM Cloud 的集成(使用 Workspace ONE Access Connector 22.05 或更高版本)。

过程

  1. Workspace ONE Access 控制台中,选择资源 > 虚拟应用程序,然后单击设置
  2. 在左侧窗格中,选择 SAML 元数据
  3. 下载 SAML 元数据选项卡中,单击身份提供程序 (IdP) 元数据链接旁边的复制 URL
    该 URL(其格式类似于 https:// WorkspaceONEAccessFQDN/SAAS/API/1.0/GET/metadata/idp.xml)会被复制到剪贴板。

    SAML 元数据格式

  4. 登录到 Horizon Cloud 租户。
  5. 导航到设置 > 身份管理
  6. 单击新建
  7. 配置必需的设置。
    对于具有单容器代理的 Horizon Cloud Service on Microsoft Azure 环境,将显示以下设置。
    选项 描述
    VMware Workspace ONE Access 元数据 URL 您在步骤 3 中复制的 Workspace ONE Access IdP 元数据 URL。该 URL 通常采用以下格式:

    https://WorkspaceONEAccessFQDN/SAAS/API/1.0/GET/metadata/idp.xml

    其中,WorkspaceONEAccessFQDN 是 Workspace ONE Access 环境的 FQDN。

    SSO 令牌超时 (可选)以分钟为单位的时间长度,您希望在此时间后 SSO 令牌超时。
    位置 选择一个位置,以将容器下拉列表筛选为与该位置关联的容器。
    容器 选择要与 Workspace ONE Access 集成的容器。
    数据中心 下拉列表显示与 Horizon Cloud 容器软件版本相关的数字。保留默认值。
    客户端访问 FQDN 针对 Horizon Cloud,最终用户连接到的 FQDN。
    Workspace ONE 重定向 如果您将 Horizon Cloud 中的配置设置为强制最终用户通过 Workspace ONE Access 进行访问,则可以将此切换开关设置为,以让最终用户的客户端自动重定向到 Workspace ONE Access 环境。有关强制最终用户通过 Workspace ONE Access 进行访问的信息,请参阅 Horizon Cloud 文档中的配置强制最终用户使用 Workspace ONE Access 进行访问的选项

    在将自动重定向设置为,并通过配置的 Workspace ONE Access 强制进行身份验证后,如果客户端尝试连接到 Horizon Cloud,客户端将自动重定向到与容器集成的 Workspace ONE Access 环境。当自动重定向切换开关设置为时,不会启用自动重定向。如果未启用自动重定向并配置了强制访问,则客户端将改为向用户显示一条信息性消息。有关更多详细信息,请参阅 Horizon Cloud 文档中的强制让最终用户通过 Workspace ONE Access 访问其授权的桌面和应用程序

    对于 Horizon Cloud Service on IBM Cloud 环境,将显示以下设置。
    选项 描述
    VMware Workspace ONE Access 元数据 URL 您在步骤 3 中复制的 Workspace ONE Access IdP 元数据 URL。该 URL 通常采用以下格式:

    https://WorkspaceONEAccessFQDN/SAAS/API/1.0/GET/metadata/idp.xml

    其中,WorkspaceONEAccessFQDN 是 Workspace ONE Access 环境的 FQDN。

    SSO 令牌超时 (可选)以分钟为单位的时间长度,您希望在此时间后 SSO 令牌超时。
    数据中心 Horizon Cloud 数据中心的名称。从下拉列表中选择名称。
    客户端访问 FQDN Horizon Cloud 租户地址。指定 Horizon Cloud 租户设备的浮动 IP 地址或主机名,或者 Unified Access Gateway IP 地址或主机名。例如,mytenant.example.com。
    Workspace ONE 重定向 如果您将 Horizon Cloud 中的配置设置为强制最终用户通过 Workspace ONE Access 进行访问,则可以将此切换开关设置为,以让最终用户的客户端自动重定向到 Workspace ONE Access 环境。有关强制最终用户通过 Workspace ONE Access 进行访问的信息,请参阅 Horizon Cloud 文档中的配置强制最终用户使用 Workspace ONE Access 进行访问的选项

    在将自动重定向设置为,并通过配置的 Workspace ONE Access 强制进行身份验证后,如果客户端尝试连接到 Horizon Cloud,客户端将自动重定向到与容器集成的 Workspace ONE Access 环境。当自动重定向切换开关设置为时,不会启用自动重定向。如果未启用自动重定向并配置了强制访问,则客户端将改为向用户显示一条信息性消息。有关更多详细信息,请参阅 Horizon Cloud 文档中的强制让最终用户通过 Workspace ONE Access 访问其授权的桌面和应用程序

  8. 单击保存
    绿色状态表示集成成功。

下一步做什么

同步虚拟应用程序集合,将资源和授权从 Horizon Cloud 同步到 Workspace ONE Access。在资源 > 虚拟应用程序集合页面中,选择集合,然后单击同步 > 在有安全措施的情况下同步同步 > 在没有安全措施的情况下同步

在同步 Horizon Cloud 虚拟应用程序集合后,您可以在 Workspace ONE Access 控制台中查看桌面和应用程序池,并且最终用户可以从 Intelligent Hub 应用程序或门户中启动他们有权访问的资源。

重要说明: 每次 Horizon Cloud 中的资源或授权发生变化时,需要进行同步以将更改传播到 Workspace ONE Access