Das folgende Diagramm veranschaulicht die Architektur und den Kommunikationsfluss der Komponenten in einer Horizon Cloud-Umgebung, die mit Universal Broker konfiguriert und in Workspace ONE Access und Intelligent Hub-Dienste integriert ist.


Diagramm der Architektur und des Kommunikationsflusses bei der Integration zwischen Workspace ONE Access, Hub-Diensten und Horizon Cloud-Mandant mit Universal Broker
  1. Während des Aktivierungsworkflows wird der Workspace ONE Access-Mandant für die Integration in den Horizon Cloud-Mandanten registriert.
  2. Der Workspace ONE Access Connector synchronisiert den Workspace ONE Access-Mandanten mit den Active Directory-Benutzern und -Gruppen.
  3. Der Benutzer authentifiziert sich über Workspace ONE Access und fordert das Laden des Hub-Katalogs an.
  4. Die VMware Workspace ONE Intelligent Hub-Dienste rufen Informationen über die Berechtigungen des Benutzers aus allen konfigurierten Quellen des Katalogs ab. Zu den Quellen können Workspace ONE Access, Workspace ONE UEM, Okta und der Universal Broker-Dienst gehören.
  5. Der Hub-Katalog stellt dem Benutzer einen einheitlichen Katalog seiner Berechtigungen zur Verfügung. Der Katalog enthält die Zuweisungsberechtigungen des Benutzers, die vom Universal Broker-Dienst abgerufen wurden.
  6. Der Benutzer klickt im Katalog auf einen zugewiesenen Desktop oder eine zugewiesene Anwendung, um eine Verbindungssitzung zu starten.
  7. Die VMware Workspace ONE Intelligent Hub-Dienste bereiten die Start-URL für die zugewiesene Ressource vor, indem Sie mit Workspace ONE Access kommunizieren und ein SAML-Artefakt generieren, das an die Universal Broker-URL angehängt wird. Die Dienste senden dann die Start-URL an den VMware Workspace ONE Intelligent Hub-Client.
  8. Der VMware Workspace ONE Intelligent Hub-Client startet den Horizon Client-Desktop oder die Webanwendung.
  9. Horizon Client leitet die Authentifizierungsanforderung an den Universal Broker-Dienst weiter.
  10. Mittels der Kommunikation mit Workspace ONE Access löst der Universal Broker-Dienst das SAML-Artefakt auf und validiert den vertrauenswürdigen Benutzer.
  11. Horizon Client fordert den zugewiesenen Desktop oder die zugewiesene Anwendung vom Universal Broker-Dienst an.
  12. Nachdem ermittelt wurde, welcher Client die zugewiesene Ressource am besten bereitstellen kann, sendet der Universal Broker-Dienst eine Meldung an den Universal Broker-Client, der innerhalb dieses Pods ausgeführt wird. Der Universal Broker-Client leitet die Meldung entweder an das Universal Broker Plug-in weiter, das auf dem Verbindungsserver (für einen Horizon-Pod) ausgeführt wird, oder (für einen Pod in Microsoft Azure) an den aktiven Pod-Manager. Das Universal Broker Plug-in oder der aktive Pod-Manager identifiziert die am besten verfügbare Ressource, die dem Endbenutzer zugeteilt werden soll.
  13. Der Universal Broker-Dienst gibt eine Verbindungsantwort an den Horizon Client zurück, die den eindeutigen FQDN des Pods enthält. Der eindeutige FQDN ist in der Regel entweder der FQDN des lokalen Load Balancers des Horizon-Pods oder der Load Balancer von Microsoft Azure.
  14. Nach dem passieren des Load Balancers wird die Anforderung an das Unified Access Gateway für den Pod geleitet. Das Unified Access Gateway überprüft, ob die Anforderung vertrauenswürdig ist, und bereitet Blast Secure Gateway, PCoIP Secure Gateway und den Tunnelserver vor.
  15. Der Benutzer erhält den zugewiesenen Desktop oder die zugewiesene Anwendung und stellt eine Verbindungssitzung basierend auf dem konfigurierten sekundären Protokoll (Blast Extreme, PCoIP oder RDP) her.