Um Remote-Desktops und -anwendungen aus VMware Identity Manager zu starten oder um mit Remote-Desktops und -anwendungen mithilfe eines Lastausgleichsdienstes oder eines Gateways von Drittanbietern eine Verbindung herzustellen, müssen Sie in Horizon Administrator einen SAML-Authentifikator erstellen. Ein SAML-Authentifikator enthält den Vertrauensstellungs- und Metadatenaustausch zwischen Horizon 7 und dem Gerät, mit dem Clients eine Verbindung herstellen.

Warum und wann dieser Vorgang ausgeführt wird

Sie verknüpfen einen SAML-Authentifikator mit einer Verbindungsserver-Instanz. Wenn Ihre Bereitstellung mehr als eine Verbindungsserver-Instanz beinhaltet, müssen Sie den SAML-Authentifikator mit jeder Instanz verknüpfen.

Sie können festlegen, dass ein statischer Authentifikator und mehrere dynamische Authentifikatoren zur gleichen Zeit aktiv sein können. Sie haben die Möglichkeit, (dynamische) vIDM- und (statische) Unified Access Gateway-Authentifikatoren zu konfigurieren und sie im aktiven Zustand zu belassen. Verbindungen können über beide Arten von Authentifikatoren hergestellt werden.

Sie können mehrere SAML-Authentifikatoren für einen Verbindungsserver konfigurieren, und alle Authentifikatoren können gleichzeitig aktiv sein. Allerdings müssen die auf dem Verbindungsserver konfigurierten SAML-Authentifikatoren jeweils über eine eigene Entitäts-ID verfügen.

Im Dashboard wird der Status des SAML-Authentifikators immer grün angezeigt, da es sich um vordefinierte Metadaten handelt, die von Haus aus statisch sind. Der Wechsel von rot zu grün betrifft nur dynamische Authentifikatoren.

Informationen zur Konfiguration eines SAML-Authentifikators für VMware Unified Access Gateway-Appliances finden Sie unter Bereitstellen und Konfigurieren von Unified Access Gateway.

Voraussetzungen

  • Stellen Sie sicher, dass Workspace ONE, VMware Identity Manager oder ein Gateway bzw. ein Lastausgleichsdienst eines Drittanbieters installiert und konfiguriert ist. Weitere Informationen finden Sie in der Installationsdokumentation des betreffenden Produkts.

  • Stellen Sie sicher, dass das Stammzertifikat der signierenden Zertifizierungsstelle für das SAML-Serverzertifikat auf dem Verbindungsserver-Host installiert ist. VMware empfiehlt nicht, SAML-Authentifikatoren zur Verwendung selbstsignierter Zertifikate zu konfigurieren. Informationen zur Zertifikatauthentifizierung finden Sie im Dokument View-Installation.

  • Notieren Sie sich den FQDN oder die IP-Adresse des Workspace ONE-Servers, des VMware Identity Manager-Servers oder des externen Lastausgleichsdiensts.

  • Wenn Sie Workspace ONE oder VMware Identity Manager verwenden, notieren Sie sich die URL der Connector-Web-Schnittstelle.

  • Wenn Sie einen Authentifikator für Unified Access Gateway oder eine Drittanbieter-Appliance erstellen, für die Sie SAML-Metadaten generieren und einen statischen Authentifikator erstellen müssen, führen Sie den Vorgang zur Generierung der SAML-Metadaten auf dem Gerät aus und kopieren Sie dann die Metadaten.

Prozedur

  1. Wählen Sie in Horizon Administrator Konfiguration > Server aus.
  2. Wählen Sie auf der Registerkarte Verbindungsserver eine Serverinstanz aus, die mit dem SAML-Authentifikator verknüpft werden soll, und klicken Sie auf Bearbeiten.
  3. Wählen Sie auf der Registerkarte Authentifizierung eine Einstellung aus dem Dropdown-Menü Delegierung von Authentifizierung an VMware Horizon (SAML 2.0-Authentifikator) aus, um den SAML-Authentifikator zu aktivieren oder zu deaktivieren.

    Option

    Beschreibung

    Deaktiviert

    Die SAML-Authentifizierung ist deaktiviert. Sie können Remote-Desktops und -anwendungen nur aus Horizon Client heraus starten.

    Zulässig

    Die SAML-Authentifizierung ist aktiviert. Sie können Remote-Desktops und -anwendungen sowohl von Horizon Client und VMware Identity Manager als auch vom Gerät eines Drittanbieters aus starten.

    Erforderlich

    Die SAML-Authentifizierung ist aktiviert. Sie können Remote-Desktops und -anwendungen nur von VMware Identity Manager oder vom Gerät eines Drittanbieters aus starten. Sie können Desktops oder Anwendungen nicht manuell aus Horizon Client heraus starten.

    Sie können die einzelnen Verbindungsserver-Instanzen in Ihrer Bereitstellung so konfigurieren, dass sie abhängig von Ihren Anforderungen über unterschiedliche SAML-Authentifizierungseinstellungen verfügen.

  4. Klicken Sie auf SAML-Authentifikatoren verwalten und dann auf Hinzufügen.
  5. Konfigurieren Sie den SAML-Authentifikator im Dialogfeld zum Hinzufügen von SAML 2.0-Authentifikatoren.

    Option

    Beschreibung

    Typ

    Wählen Sie für Unified Access Gateway oder ein Drittanbietergerät Statisch aus. Wählen Sie für VMware Identity Manager die Option Dynamisch aus. Für dynamische Authentifikatoren können Sie eine Metadaten-URL und eine Verwaltungs-URL angeben. Bei statischen Authentifikatoren müssen Sie zunächst die Metadaten auf dem Unified Access Gateway oder dem Drittanbietergerät generieren, die Metadaten kopieren und diese dann in das Textfeld SAML-Metadaten einfügen.

    Bezeichnung

    Eindeutiger Name, der den SAML-Authentifikator identifiziert.

    Beschreibung

    Kurzbeschreibung des SAML-Authentifikators. Dieser Wert ist optional.

    Metadaten-URL

    (Für dynamische Authentifikatoren) URL zum Abrufen aller Informationen, die für den Austausch von SAML-Informationen zwischen dem SAML-Identitätsanbieter und der Verbindungsserver-Instanz erforderlich sind. Klicken Sie in der URL https://<IHR HORIZON SERVER-NAME>/SAAS/API/1.0/GET/metadata/idp.xml auf <IHR HORIZON SERVER-NAME> und ersetzen Sie diese Zeichenfolge mit dem FQDN oder der IP-Adresse des VMware Identity Manager-Servers oder des externen Lastausgleichsdiensts (Drittanbietergerät).

    Verwaltungs-URL

    (Für dynamische Authentifikatoren) URL für den Zugriff auf die Verwaltungskonsole des SAML-Identitätsanbieters. Für VMware Identity Manager sollte diese URL auf die VMware Identity Manager Connector-Webschnittstelle verweisen. Dieser Wert ist optional.

    SAML-Metadaten

    (Für statische Authentifikatoren) Metadatentext, den Sie generiert und von Unified Access Gateway oder einem Drittanbietergerät kopiert haben.

    Aktiviert für den Verbindungsserver

    Aktivieren Sie dieses Kontrollkästchen, um den Authentifikator zu aktivieren. Sie können mehrere Authentifikatoren aktivieren. Nur aktivierte Authentifikatoren werden in der Liste angezeigt.

  6. Klicken Sie auf OK, um die SAML-Authentifikatorkonfiguration zu speichern.

    Sofern Sie gültige Informationen angegeben haben, müssen Sie entweder das selbstsignierte Zertifikat akzeptieren (nicht empfohlen) oder ein vertrauenswürdiges Zertifikat für Horizon 7 und VMware Identity Manager oder ein Drittanbietergerät verwenden.

    Der neu erstellte Authentifikator wird im Dialogfeld „SAML-Authentifikatoren verwalten“ angezeigt.

  7. Wählen Sie im Abschnitt „Systemzustand“ auf dem Horizon Administrator-Dashboard Andere Komponenten > SAML 2.0-Authentifikatoren aus, wählen Sie den von Ihnen hinzugefügten SAML-Authentifikator aus und prüfen Sie die Details.

    Falls die Konfiguration erfolgreich ist, steht der Systemzustand des Authentifikators auf grün. Der Systemzustand eines Authentifikators kann rot formatiert dargestellt werden, wenn das Zertifikat nicht vertrauenswürdig ist, wenn VMware Identity Manager nicht verfügbar ist oder wenn die Metadaten-URL ungültig ist. Falls das Zertifikat nicht vertrauenswürdig ist, sind Sie möglicherweise nicht in der Lage, auf Überprüfen zu klicken, um das Zertifikat zu validieren und anzunehmen.

Nächste Maßnahme

Erweitern Sie den Ablaufzeitraum der Metadaten des Verbindungsservers, sodass Remotesitzungen nicht nach nur 24 Stunden beendet werden. Siehe Ändern des Ablaufzeitraums der Metadaten von Dienstanbietern auf dem Verbindungsserver.