Diese Schritte kommen zur Anwendung, wenn Ihre Horizon Cloud-Mandantenumgebung für Einzel-Pod-Brokering konfiguriert ist und Sie Workspace ONE Access damit verwenden möchten. Indem Sie einen Pod mit einer Cloud-gehosteten Workspace ONE Access-Umgebung in Microsoft Azure integrieren, können Sie Ihren Endbenutzern die Möglichkeit bieten, sich mit einem einzigen einheitlichen Katalog in Workspace ONE Access bei ihren berechtigten über den Pod bereitgestellten Desktops und Anwendungen zu authentifizieren. Sie müssen einen Workspace ONE Access-Connector bereitstellen, der Ihre Workspace ONE Access-Umgebung mit dem Pod überbrückt. Mit diesem Connector haben Sie die Möglichkeit, die Endbenutzerberechtigungen des Pods mit Workspace ONE Access zu synchronisieren.

Tipp:
  • Der frühere Name von Workspace ONE Access war VMware Identity Manager™. Früher hieß der Connector VMware Identity Manager™-Connector. Sie sehen möglicherweise weiterhin Verweise auf den früheren Namen in den Produkt-, Dokumentations- und KB-Artikeln, insbesondere dann, wenn Sie ältere Connector-Versionen verwenden.
  • In der VMware Digital Workspace Tech Zone finden Sie eine hervorragende Rezension, die die Integration zwischen Horizon Cloud und Workspace ONE Access beschreibt.
  • Die Workspace ONE Access-Dokumentation verwendet den Begriff „Berechtigungen“ bei Beschreiben der Synchronisierung des Connectors vom Pod zu Workspace ONE Access. In Horizon Cloud stellt eine Zuweisung die Kombination aus einer Ressource und einer Berechtigung dar. In der Horizon Cloud-Verwaltungskonsole erteilt das Hinzufügen eines Benutzers zu einer Zuweisung diesem Benutzer die Berechtigung für die vom Pod bereitgestellte Ressource der Zuweisung, beispielsweise beim Erstellen einer dedizierten VDI-Desktop-Zuweisung.

Workspace ONE Access bietet Identität als Dienstleistung (Identity as a Service, IDaaS), Anwendungsbereitstellung, einen Self-Service-Katalog, bedingte Zugriffsteuerung und Single Sign-on (SSO) für SaaS, das Web, die Cloud und native mobile Anwendungen. Workspace ONE Access verarbeitet die Authentifizierung von Benutzern für den Zugriff auf die Elemente, die Sie für sie im Workspace ONE Access-Katalog konfiguriert haben. Horizon Cloud-Kunden verwenden in der Regel von VMware gehosteten Workspace ONE Access in der Cloud.

Einen Überblick über diese Integration aus der Perspektive der Workspace ONE Access-Umgebung finden Sie in der Übersicht zum Gewähren von Zugriff auf VMware Horizon Cloud Service-Desktops und -Anwendungen. Sie konfigurieren wie gewohnt die Zuweisungen für Desktops und Remoteanwendungen für Ihre Benutzer und Gruppen in der Horizon Cloud-Verwaltungskonsole. Nachdem Sie die Schritte zur Integration Ihres Pods in Ihrer Workspace ONE Access-Umgebung abgeschlossen haben, synchronisieren Sie die Pod-Zuweisungsinformationen mit Workspace ONE Access. Dann können Sie die Desktops und Anwendungen in der Workspace ONE Access-Verwaltungskonsole anzeigen und Ihre Endbenutzer können sich bei ihren zugewiesenen Ressourcen in Workspace ONE Access authentifizieren. Sie können einen regelmäßigen Synchronisierungszeitplan einrichten, um die Zuweisungsinformationen in Horizon Cloud mit Ihrer Workspace ONE Access-Umgebung zu synchronisieren.

Hinweis: Die Screenshots in der Dokumentation zu Workspace ONE Access sehen möglicherweise anders als die Elemente der Benutzeroberfläche aus, die Sie in Ihrer Workspace ONE Access-Umgebung sehen.

Überblick über die Schlüsselkomponenten

Wenn Ihre Horizon Cloud-Mandantenumgebung für Einzel-Pod-Brokering konfiguriert ist, integrieren Sie jeden einzelnen Pod in Microsoft Azure mit Workspace ONE Access, um die Funktionen von Workspace ONE Access mit den von jedem Pod bereitgestellten Endbenutzerressourcen zu verwenden. Die Integration eines Pods in Microsoft Azure in Workspace ONE Access umfasst die folgenden Schlüsselkonzepte.

  • Den in Microsoft Azure bereitgestellten Pod
  • Ihre Workspace ONE Access-Mandantenumgebung
  • Ein gültiges SSL-Zertifikat, das auf die Manager-VMs des Pods hochgeladen wurde. Dieses SSL-Zertifikat ermöglicht dem Workspace ONE Access-Connector die vertrauenswürdige Verbindung mit dem Pod, wenn der Workspace ONE Access-Connector die Berechtigungen und die vom Pod bereitgestellten Ressourcen für die Sammlung virtueller Apps von Horizon Cloud in Workspace ONE Access synchronisiert.
  • Ein Workspace ONE Access-Connector ist installiert und die Einstellungen für die Synchronisierung der Informationen zu den folgenden Ressourcen mit Workspace ONE Access sind eingerichtet:
    • Die Active Directory-Benutzer und -Gruppen
    • Die Zuweisungen des Pods (die vom Pod bereitgestellten Ressourcen und die Berechtigungen für diese Ressourcen)
  • Konfigurationseinstellungen in der Horizon Cloud-Verwaltungskonsole zum Einrichten des SAML-Artefakts, mit dem Workspace ONE Access die SAML-Kommunikation mit dem Pod vornehmen kann.

Überblick über den Integrationsvorgang

Die folgende Liste ist eine allgemeine Übersicht über die End-to-End-Schritte, damit sich Ihre Endbenutzer über Workspace ONE Access bei ihren vom Pod bereitgestellten Desktops und Anwendungen authentifizieren können. Bevor diese Schritte ausgeführt werden, muss der Pod bereits in Microsoft Azure bereitgestellt und Ihre Workspace ONE Access-Umgebung vorhanden sein. Wenn Sie die Integration in eine in der Cloud gehostete Workspace ONE Access-Umgebung möchten und dieser Mandant noch nicht vorhanden ist, können Sie auf der Seite „Identitätsverwaltung“ der Horizon Cloud-Verwaltungskonsole die Einrichtung eines Workspace ONE Access-Cloud-Mandanten initiieren. Weitere Informationen finden Sie unter Seite „Identitätsverwaltung“ in der Horizon Cloud-Verwaltungskonsole.

  1. Ordnen Sie auf Ihrem DNS-Server die IP-Adresse des Azure Load Balancer des Pod-Managers einem vollqualifizierten Domänennamen (FQDN) zu, beispielsweise mypod1.example.com. Sie finden diese IP-Adresse auf der Detailseite des Pods. Unter Übersicht über das Konfigurieren von SSL-Zertifikaten auf den Manager-VMs des Horizon Cloud-Pods für die primäre Verwendung durch den Workspace ONE Access Connector mit Pods in einer Umgebung mit Einzel-Pod-Brokering finden Sie eine Abbildung dazu, wo sich diese IP-Adresse auf der Detailseite des Pods befindet.
    Hinweis: Vor der vierteljährlichen Dienstversion vom Juli 2020 wurde diese IP-Adresse auf der Detailseite des Pods als IP-Adresse der Mandanten-Appliance bezeichnet. Die aktuelle Bezeichnung lautet IP-Adresse des Lastenausgleichsdienstes des Pod-Managers. Die Pods der aktuellen Manifeste enthalten einen Microsoft Azure Load Balancer, der standardmäßig für die Pod-Manager-Instanz bereitgestellt wird. Die aktuelle Bezeichnung spiegelt diese Architektur des Pods wider. Auch wenn für Pods mit Manifesten unter 1600 kein Microsoft Azure Load Balancer für die Pod-Manager-VM bereitgestellt wird, wird die IP-Adresse, die Sie für diese Kopplungsaufgabe verwenden müssen, neben dieser Bezeichnung auf der Detailseite des Pods angezeigt.
  2. Rufen Sie ein vertrauenswürdiges SSL-Zertifikat ab, das auf diesem FQDN basiert. Einzelheiten dazu, was benötigt wird, finden Sie in den folgenden Themen:
    Hinweis: Die Zertifikatsdateiformate, die zum Hochladen eines SSL-Zertifikats auf den Pod erforderlich sind, unterscheiden sich vom PEM-Dateiformat, das von den Pod-Gateway-Konfigurationen verwendet wird.
  3. Laden Sie das SSL-Zertifikat wie unter Konfigurieren von SSL-Zertifikaten direkt auf den Pod-Manager-VMs, z. B. beim Integrieren der Workspace ONE Access Connector Appliance mit dem Horizon Cloud-Pod in Microsoft Azure, damit der Connector Verbindungen mit den Pod-Manager-VMs vertrauen kann beschrieben hoch.
    Wichtig: Wenn der Pod über kein wie beschrieben konfiguriertes SSL-Zertifikat für den Workspace ONE Access-Connector verfügt, der versucht, eine Verbindung mit ihm herzustellen, tritt beim Versuch des Connectors, eine Verbindung mit dem Pod herzustellen, um die Berechtigungen und Ressourcen zu synchronisieren, ein Fehler auf, da der Connector keine Verbindung mit einem nicht vertrauenswürdigen Netzwerk herstellt. Das SSL-Zertifikat des Pods muss vom Workspace ONE Access-Connector als vertrauenswürdig eingestuft werden, damit dieser erfolgreich eine Verbindung mit dem Pod herstellen kann. Solange Sie kein SSL-Zertifikat auf den Pod hochgeladen haben, das die Kriterien erfüllt, können Sie Workspace ONE Access nicht erfolgreich in den Pod integrieren.
  4. Beschaffen Sie sich eine Workspace ONE Access-Umgebung, indem Sie die in der Cloud gehostete Version abonnieren, um einen Workspace ONE Access-Mandanten in der Cloud zu erhalten.
    Hinweis: Wenn Sie auf der Seite „Identitätsverwaltung“ der Konsole einen Workspace ONE Access-Mandanten eingerichtet haben, wird der Workspace ONE Access-Mandant im Rahmen dieses Prozesses Ihrem Horizon Cloud-Kundendatensatz zugeordnet. Pods, die bereits für denselben Horizon Cloud-Kundendatensatz vorhanden sind, können dann durch die Bereitstellung des Workspace ONE Access-Connectors in diesen Mandanten integriert werden. Notieren Sie sich in den folgenden Schritten die auf den Connector bezogenen Details.
  5. Implementieren Sie Workspace ONE Access entsprechend den Workspace ONE Access-Richtlinien für das von Ihnen verwendete Bereitstellungsmodell.

    Wenn Sie Workspace ONE Access als Cloud-gehostete Bereitstellung verwenden, müssen Sie die Workspace ONE Access-Connector-Appliance in Ihrem Active Directory-Netzwerk installieren. Lesen Sie alle Voraussetzungen im Zusammenhang mit dem Connector, beginnend mit dem folgenden Abschnitt mit dem Titel Was Sie vor dem Beginn der Integrationsschritte benötigen.

    Wichtig: Sie müssen auch sicherstellen, dass die autoritative Zeitquelle, die Sie in diesem Connector konfigurieren, mit dem NTP-Server übereinstimmt, der für den Pod konfiguriert ist. Wenn die Zeitquellen nicht übereinstimmen, können Synchronisierungsprobleme auftreten. Die Detailseite des Pods zeigt den konfigurierten NTP-Server des Pods an. Sie können die Detailseite des Pods wie unter Verwalten Ihrer cloudverbundenen Pods für alle unterstützten Horizon Cloud-Pod-Typen beschrieben öffnen.
  6. Vergewissern Sie sich, dass die Voraussetzungen von Workspace ONE Access für die Integration erfüllt sind. Sie finden die Angaben in der für Ihre Situation geeigneten Workspace ONE Access-Produktdokumentation. Weitere Informationen finden Sie im folgenden Abschnitt mit dem Titel Was Sie vor dem Beginn der Integrationsschritte benötigen.
    Wichtig: Zusätzlich zu den nachfolgend aufgeführten Voraussetzungen in diesem Dokumentationsthema müssen Sie auch sicherstellen, dass Ihre konfigurierte Workspace ONE Access-Umgebung die Voraussetzungen für die Integration mit Horizon Cloud-Ressourcen erfüllt, wie in der Workspace ONE Access-Dokumentation beschrieben.
    Workspace ONE Access-Umgebung Link zu den Workspace ONE Access-Voraussetzungen in der Workspace ONE Access-Dokumentation
    In der Cloud gehostet Voraussetzungen für die Integration von Workspace ONE Access in Horizon Cloud
  7. Aktivieren Sie die Desktops aus Ihrer Horizon Cloud-Umgebung in der Workspace ONE Access-Umgebung, wie in den für Ihre Situation geeigneten Workspace ONE Access-Produktinformationen beschrieben.
    Wichtig: Geben Sie auf dem Workspace ONE Access-Bildschirm zum Eingeben der Horizon Cloud-Mandanteninformationen im Feld Host den FQDN ein, den Sie auf Ihrem DNS-Server der IP-Adresse des Azure Load Balancer des Pod-Managers zugeordnet haben. Dieser FQDN muss derjenige sein, auf dem das auf den Pod hochgeladene SSL-Zertifikat basiert, wie in Übersicht über das Konfigurieren von SSL-Zertifikaten auf den Manager-VMs des Horizon Cloud-Pods für die primäre Verwendung durch den Workspace ONE Access Connector mit Pods in einer Umgebung mit Einzel-Pod-Brokering, Voraussetzungen für das Ausführen des Workflows zum Hochladen von Pod-Zertifikaten der Horizon Cloud-Verwaltungskonsole zum Konfigurieren von SSL-Zertifikaten auf den Manager-VMs des Horizon Cloud-Pods und Konfigurieren von SSL-Zertifikaten direkt auf den Pod-Manager-VMs, z. B. beim Integrieren der Workspace ONE Access Connector Appliance mit dem Horizon Cloud-Pod in Microsoft Azure, damit der Connector Verbindungen mit den Pod-Manager-VMs vertrauen kann beschrieben.

    Unter dem Abschnitt zum Konfigurieren des Horizon Cloud-Mandanten in den Workspace ONE Access-Themen, die unten verlinkt sind, wird im letzten Schritt in diesen Verfahrensthemen beschrieben, wie Sie die Informationen zu den Berechtigungen aus ihrer Horizon Cloud-Umgebung synchronisieren. Führen Sie diesen Synchronisierungsschritt jedoch erst aus, nachdem Sie den unten aufgeführten Schritt 5 der Konfiguration Ihres Pods für den Workspace ONE Access-Zugriff abgeschlossen haben.

    Workspace ONE Access-Umgebung Link zu den Informationen für die Desktop-Aktivierung in der Workspace ONE Access-Dokumentation
    In der Cloud gehostet Konfigurieren von Horizon Cloud-Mandanten in VMware Workspace ONE Access.
  8. Geben Sie die Einstellungen ein, mit denen Ihre konfigurierte Workspace ONE Access-Umgebung als Identitätsverwaltungsanbieter für den Pod verwendet werden kann. Siehe Horizon Cloud Umgebung mit Einzel-Pod-Brokering – Schritte zum Konfigurieren eines Horizon Cloud-Pods in Microsoft Azure mit den relevanten Workspace ONE Access-Mandanteninformationen.
  9. Synchronisieren Sie in Ihrer Workspace ONE Access-Umgebung die berechtigten Desktops und Anwendungen mit Workspace ONE Access. Navigieren Sie in der Workspace ONE Access-Verwaltungskonsole zur Seite der Konfiguration virtueller Anwendungen für die in Schritt 4 erstellte Sammlung und klicken Sie auf Synchronisieren.
  10. berprüfen Sie den Endbenutzerzugriff auf Desktops und Anwendungen, indem Sie sich als Endbenutzer bei Workspace ONE Access anmelden und einen Desktop oder eine Anwendung aus dem Katalog starten. Siehe Horizon Cloud Umgebung mit Einzel-Pod-Brokering – Bestätigung des Endbenutzerzugriffs auf Desktopzuweisungen in Workspace ONE Access.

Wenn Sie sich vergewissert haben, dass die Integration funktioniert, können Sie bei Bedarf erzwingen, dass sich Endbenutzer über Workspace ONE Access bei ihren Desktops und Anwendungen authentifizieren und auf diese zugreifen. Siehe Horizon Cloud-Umgebung mit Einzel-Pod-Brokering – Erzwingen des Zugriffs der Endbenutzer über Workspace ONE Access auf ihre berechtigten Desktops und Anwendungen.

Was Sie vor dem Beginn der Integrationsschritte benötigen

Um die Integration von Ende zu Ende über den Schritt zum Überprüfen des Endbenutzerzugriffs auf die vom Pod bereitgestellten Desktops oder RDS-basierten Remoteanwendungen mit Workspace ONE Access vollständig abzuschließen, müssen Sie sicherstellen, dass Sie über die folgenden hierzu benötigten Elemente verfügen.