Hintergrundinformationen und Terminologie

• Sie konfigurieren wie gewohnt die Zuweisungen für Desktops und Remoteanwendungen für Ihre Benutzer und Gruppen in der Horizon Universal Console.
• Nachdem Sie die Schritte zur Integration Ihres Pods in Ihrer Workspace ONE Access-Umgebung abgeschlossen haben, synchronisieren Sie die Pod-Zuweisungsinformationen mit Workspace ONE Access.
• Dann können Sie die Desktops und Anwendungen in der Workspace ONE Access-Verwaltungskonsole anzeigen und Ihre Endbenutzer können sich bei ihren zugewiesenen Ressourcen in Workspace ONE Access authentifizieren.
• Sie können einen regelmäßigen Synchronisierungszeitplan einrichten, um die Zuweisungsinformationen in Horizon Cloud mit Ihrer Workspace ONE Access-Umgebung zu synchronisieren.
• Der frühere Name von Workspace ONE Access war VMware Identity Manager™. Früher hieß der Connector VMware Identity Manager™-Connector. Sie sehen möglicherweise weiterhin Verweise auf den früheren Namen in den Produkt-, Dokumentations- und KB-Artikeln, insbesondere dann, wenn Sie ältere Connector-Versionen verwenden.
• Die Workspace ONE Access-Dokumentation verwendet den Begriff „Berechtigungen“ bei Beschreiben der Synchronisierung des Connectors vom Pod zu Workspace ONE Access.

  In Horizon Cloud stellt eine Zuweisung die Kombination aus einer Ressource und einer Berechtigung dar.

  In der Horizon Universal Console erteilt das Hinzufügen eines Benutzers zu einer Zuweisung diesem Benutzer die Berechtigung für die vom Pod bereitgestellte Ressource der Zuweisung, beispielsweise beim Erstellen einer dedizierten VDI-Desktop-Zuweisung.

• Die Workspace ONE Access-Konsole wurde mit einem Assistenten aktualisiert, der den Begriff Horizon Cloud-Sammlung verwendet. In der Workspace ONE Access-Dokumentation und in der Horizon Cloud-Dokumentation können Sie beide Begriffe finden: Sammlung virtueller Apps und Horizon Cloud-Sammlung.

Überblick über die Schlüsselkomponenten

Wenn Ihre Horizon Cloud-Mandantenumgebung für Single-Pod-Brokering konfiguriert ist, integrieren Sie jeden einzelnen Pod in Microsoft Azure mit Workspace ONE Access, um die Funktionen von Workspace ONE Access mit den von jedem Pod bereitgestellten Endbenutzerressourcen zu verwenden.

Die Integration eines Pods in Microsoft Azure in Workspace ONE Access umfasst die folgenden Schlüsselkonzepte.

• Den in Microsoft Azure bereitgestellten Pod
• Ihre Workspace ONE Access-Mandantenumgebung
• Ein gültiges SSL-Zertifikat, das auf die Manager-VMs des Pods hochgeladen wurde. Dieses SSL-Zertifikat ermöglicht dem Workspace ONE Access-Connector die vertrauenswürdige Verbindung mit dem Pod, wenn der Workspace ONE Access-Connector die Berechtigungen und die vom Pod bereitgestellten Ressourcen für die in Horizon Cloud definierte Sammlung von virtuellen Apps von Workspace ONE Access synchronisiert.
• Ein Workspace ONE Access-Connector ist installiert und die Einstellungen für die Synchronisierung der Informationen zu den folgenden Ressourcen mit Workspace ONE Access sind eingerichtet:
  • Die Active Directory-Benutzer und -Gruppen
  • Die Zuweisungen des Pods (die vom Pod bereitgestellten Ressourcen und die Berechtigungen für diese Ressourcen)
• Konfigurationseinstellungen in der Horizon Universal Console zum Einrichten des SAML-Artefakts, mit dem Workspace ONE Access die SAML-Kommunikation mit dem Pod vornehmen kann.

Überblick über den Integrationsvorgang

Die folgende Liste ist eine allgemeine Übersicht über die End-to-End-Schritte, damit sich Ihre Endbenutzer über Workspace ONE Access bei ihren vom Pod bereitgestellten Desktops und Anwendungen authentifizieren können.

Bei diesen Schritten müssen Sie den Pod bereits in Microsoft Azure bereitgestellt haben, Ihren Horizon Cloud-Mandanten für die Verwendung von Einzel-Pod-Brokering konfiguriert haben und über Ihren Workspace ONE Access-Cloud-Mandanten verfügen.

1. Ordnen Sie auf Ihrem DNS-Server die IP-Adresse des Azure Load Balancer des Pod-Managers einem vollqualifizierten Domänennamen (FQDN) zu, beispielsweise mypod1.example.com. Sie finden diese IP-Adresse auf der Detailseite des Pods. Siehe Übersicht über das Konfigurieren von SSL-Zertifikaten auf den Pod-Manager-VMs für eine Veranschaulichung, wo diese IP-Adresse auf der Detailseite des Pods zu finden ist.
   Hinweis: Vor der vierteljährlichen Dienstversion vom Juli 2020 wurde diese IP-Adresse auf der Detailseite des Pods als IP-Adresse der Mandanten-Appliance bezeichnet. Die aktuelle Bezeichnung lautet IP-Adresse des Lastenausgleichsdienstes des Pod-Managers. Die Pods der aktuellen Manifeste enthalten einen Microsoft Azure Load Balancer, der standardmäßig für die Pod-Manager-Instanz bereitgestellt wird. Die aktuelle Bezeichnung spiegelt diese Architektur des Pods wider. Auch wenn für Pods mit Manifesten unter 1600 kein Microsoft Azure Load Balancer für die Pod-Manager-VM bereitgestellt wird, wird die IP-Adresse, die Sie für diese Kopplungsaufgabe verwenden müssen, neben dieser Bezeichnung auf der Detailseite des Pods angezeigt.
2. Rufen Sie ein vertrauenswürdiges SSL-Zertifikat ab, das auf diesem FQDN basiert. Einzelheiten dazu, was benötigt wird, finden Sie in den folgenden Themen:
   • Übersicht über das Konfigurieren von SSL-Zertifikaten auf den Pod-Manager-VMs
   • Voraussetzungen zum Konfigurieren von SSL-Zertifikaten auf den Pod Manager-VMs
   Hinweis: Die Zertifikatsdateiformate, die zum Hochladen eines SSL-Zertifikats auf den Pod erforderlich sind, unterscheiden sich vom PEM-Dateiformat, das von den Pod-Gateway-Konfigurationen verwendet wird.
3. Laden Sie dieses SSL-Zertifikat auf die Pod-Manager-VMs hoch, wie unter Konfigurieren von SSL-Zertifikaten direkt auf den Pod-Manager-VMs beschrieben.
   Wichtig: Wenn der Pod über kein wie beschrieben konfiguriertes SSL-Zertifikat für den Workspace ONE Access-Connector verfügt, der versucht, eine Verbindung mit ihm herzustellen, tritt beim Versuch des Connectors, eine Verbindung mit dem Pod herzustellen, um die Berechtigungen und Ressourcen zu synchronisieren, ein Fehler auf, da der Connector keine Verbindung mit einem nicht vertrauenswürdigen Netzwerk herstellt. Das SSL-Zertifikat des Pods muss vom Workspace ONE Access-Connector als vertrauenswürdig eingestuft werden, damit dieser erfolgreich eine Verbindung mit dem Pod herstellen kann. Solange Sie kein SSL-Zertifikat auf den Pod hochgeladen haben, das die Kriterien erfüllt, können Sie Workspace ONE Access nicht erfolgreich in den Pod integrieren.
4. Stellen Sie die Workspace ONE Access Connector-Appliance in einem Netzwerk bereit, das sowohl mit dem Horizon Cloud-Pod als auch mit Ihrer Active Directory-Umgebung kommunizieren kann. Der Connector dient sowohl zur Synchronisierung von Ressourcen und Berechtigungen aus dem Pod als auch zur Synchronisierung von Benutzern und Gruppen aus Ihrer Active Directory-Umgebung.

   Lesen Sie alle Voraussetzungen im Zusammenhang mit dem Connector, beginnend mit dem folgenden Abschnitt mit dem Titel Was Sie vor dem Beginn der Integrationsschritte benötigen.

   Wichtig: Sie müssen auch sicherstellen, dass die autoritative Zeitquelle, die Sie in diesem Connector konfigurieren, mit dem NTP-Server übereinstimmt, der für den Pod konfiguriert ist. Wenn die Zeitquellen nicht übereinstimmen, können Synchronisierungsprobleme auftreten. Die Detailseite des Pods zeigt den konfigurierten NTP-Server des Pods an. Sie können die Detailseite des Pods über die Seite Horizon Universal Console-Kapazität öffnen.
5. Vergewissern Sie sich, dass die Voraussetzungen von Workspace ONE Access für die Integration erfüllt sind. Sie finden die Angaben in der für Ihre Situation geeigneten Workspace ONE Access-Produktdokumentation. Weitere Informationen finden Sie im folgenden Abschnitt mit dem Titel Was Sie vor dem Beginn der Integrationsschritte benötigen.

   Weitere Informationen finden Sie in der Workspace ONE Access-Dokumentation auf der Seite Voraussetzungen für die Integration.

6. Aktivieren Sie die Desktops aus Ihrer Horizon Cloud-Umgebung in der Workspace ONE Access-Umgebung, wie in den Workspace ONE Access-Produktinformationen beschrieben.

   Weitere Informationen finden Sie in der Workspace ONE Access-Dokumentation auf der Seite Konfigurieren von Horizon Cloud-Mandanten in VMware Workspace ONE Access.

   Beachten Sie die folgenden wichtigen Punkte, wenn Sie die Schritte in der Workspace ONE Access-Dokumentation ausführen

   • Führen Sie die Synchronisierung der Sammlung erst durch, nachdem Sie den unten aufgeführten Schritt 8 der Konfiguration Ihres Pods für den Workspace ONE Access-Zugriff abgeschlossen haben.
   • Geben Sie auf dem Workspace ONE Access-Bildschirm zum Eingeben der Horizon Cloud-Mandanteninformationen im Feld Host den FQDN ein, den Sie auf Ihrem DNS-Server der IP-Adresse des Azure Load Balancer des Pod-Managers zugeordnet haben, um die Pod-Manager-VMs zu erreichen.

     Dieser FQDN muss mit dem SSL-Zertifikat übereinstimmen, das Sie direkt auf den Pod hochgeladen haben, wie unter Konfigurieren von SSL-Zertifikaten direkt auf den Pod-Manager-VMs beschrieben.

7. Geben Sie die Einstellungen ein, mit denen Ihre konfigurierte Workspace ONE Access-Umgebung als Identitätsverwaltungsanbieter für den Pod verwendet werden kann. Weitere Informationen finden Sie unter Schritte zum Konfigurieren eines Horizon Cloud-Pods mit den relevanten Workspace ONE Access-Mandanteninformationen.
8. Synchronisieren Sie in Ihrem Workspace ONE Access-Cloud-Mandanten die Sammlung manuell, damit Sie sie im nächsten Schritt überprüfen können. Suchen Sie in der Workspace ONE Access-Verwaltungskonsole die Sammlung und klicken Sie auf Synchronisieren.
9. berprüfen Sie den Endbenutzerzugriff auf Desktops und Anwendungen, indem Sie sich als Endbenutzer bei Workspace ONE Access anmelden und einen Desktop oder eine Anwendung aus dem Katalog starten. Weitere Informationen finden Sie unter Bestätigen von Endbenutzerzugriff auf Desktop-Zuweisungen in Workspace ONE Access.

Wenn Sie sich vergewissert haben, dass die Integration funktioniert, können Sie bei Bedarf erzwingen, dass sich Endbenutzer über Workspace ONE Access bei ihren Desktops und Anwendungen authentifizieren und auf diese zugreifen. Weitere Informationen finden Sie unter Erzwingen von Endbenutzerzugriff über Workspace ONE Access.

Was Sie vor dem Beginn der Integrationsschritte benötigen

Um die Integration von Ende zu Ende über den Schritt zum Überprüfen des Endbenutzerzugriffs auf die vom Pod bereitgestellten Desktops oder RDS-basierten Remoteanwendungen mit Workspace ONE Access vollständig abzuschließen, müssen Sie sicherstellen, dass Sie über die folgenden hierzu benötigten Elemente verfügen.

• Wie unter Übersicht über das Konfigurieren von SSL-Zertifikaten auf den Pod Manager-VMs und Voraussetzungen für das Konfigurieren von SSL-Zertifikaten auf den Pod Manager-VMs beschrieben, benötigen Sie einen Eintrag in Ihrem DNS-Server, der die Azure Load Balancer-IP-Adresse des Pod-Managers auf einen vollqualifizierten Domänennamen (FQDN) abbildet.

  Der FQDN, den Sie im SSL-Zertifikat verwenden möchten, muss auf die IP-Adresse aufgelöst werden, die auf der Detailseite des Pods in der Horizon Universal Console neben Lastausgleichsdienst-IP des Pods-Managers angezeigt wird.

  Angenommen, Sie haben beispielsweise den Pod, der im folgenden Screenshot dargestellt ist, und Sie möchten einen FQDN von mypod-a.example.com als FQDN dieses Pods verwenden, um die Workspace ONE Access-Verbindung mit dem Pod herzustellen.

  
  
  
  
  
  Bei diesem Beispiel würden Sie mypod-a.example.com in Ihrem DNS der abgebildeten IP-Adresse 192.168.21.4 zuordnen.

  mypod-a.example.com    192.168.21.4

  Wenn Sie die Schritte auf dem Workspace ONE Access-Bildschirm zum Eingeben der Horizon Cloud-Mandanteninformationen ausführen, geben Sie diesen FQDN für das Feld Host auf diesem Workspace ONE Access-Bildschirm an.

• Ein vollständig konfigurierter Pod mit einem vertrauenswürdigen und gültigen SSL-Zertifikat, das Sie über die Seite mit den Pod-Details auf die Pod-Manager selbst hochgeladen haben. Weitere Informationen zum Hochladen des Zertifikats finden Sie unter Übersicht über das Konfigurieren von SSL-Zertifikaten auf den Pod-Manager-VMs.
• Konfigurierte VDI-Desktop-Zuweisungen, Sitzungs-Desktop-Zuweisungen oder Remoteanwendungs-Zuweisungen für den Pod.
• Zugriff auf den konfigurierten Workspace ONE Access-Cloud-Mandanten Ihrer Organisation.

  Bei Verwendung des in der Cloud gehosteten Workspace ONE Access ist eine Workspace ONE Access-Connector-Appliance erforderlich, um Ihren Pod mit diesem Mandanten zu integrieren. Dieser Connector sendet die Informationen über Benutzer- und Gruppenberechtigungen für die virtuellen Desktops und Anwendungen an Ihren Workspace ONE Access-Mandanten. Sie müssen die Workspace ONE Access-Connector-Appliance in Ihrem Active Directory-Netzwerk installieren. Führen Sie die Schritte aus, die in der Workspace ONE Access-Cloud-Dokumentation auf dieser Dokumentationsseite dokumentiert sind und in Bereitstellungsszenario für die Integration von Horizon Cloud in Workspace ONE Access beschrieben werden. Informationen zur Connector-Version, die für diese Version erforderlich ist, finden Sie in den VMware Product Interoperability Matrixes unter https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

  Stellen Sie sicher, dass die konfigurierte autoritative Zeitquelle des Connectors mit dem NTP-Server übereinstimmt, der für den Pod konfiguriert ist.

  Hinweis: Wenn Sie über eine vorhandene Integration und VMware Workspace ONE^® Access™-Connector-Appliance verfügen, empfiehlt es sich, ein Update des Connectors durchzuführen, bevor der Pod auf die aktuellste Pod-Software aktualisiert wird.
• Stellen Sie sicher, dass Ihre konfigurierte Workspace ONE Access-Umgebung alle Voraussetzungen für die Integration in Horizon Cloud-Ressourcen erfüllt, wie auf der Workspace ONE Access-Dokumentationsseite Voraussetzungen für die Integration beschrieben.