Der Horizon Cloud-Pod-Bereitsteller benötigt einen Dienstprinzipal, um auf die Kapazität Ihres Microsoft Azure-Abonnements für Ihre Horizon Cloud-Pods zuzugreifen und diese zu nutzen. Wenn Sie eine Microsoft Azure-AD-Anwendung registrieren, wird der Dienstprinzipal ebenfalls erstellt. Außerdem müssen Sie einen Authentifizierungsschlüssel generieren und dem Dienstprinzipal auf Abonnementebene eine Rolle zuweisen. Wenn Sie die Funktion verwenden möchten, damit das externe Gateway sein eigenes, von dem des Pods getrenntes Abonnement verwendet, müssen Sie ähnliche Schritte auch für einen Dienstprinzipal ausführen, der mit diesem Abonnement verknüpft ist.

Aktuelle und detaillierte Informationen und Screenshots zum Erstellen eines Dienstprinzipals finden Sie in der Microsoft Azure-Dokumentation im Thema Verwenden des Portals zum Erstellen einer Azure-AD-Anwendung und eines Dienstprinzipals mit Zugriff auf Ressourcen.

Wichtig: Jedem Dienstprinzipal, den Sie für die Verwendung von Horizon Cloud konfigurieren, muss eine entsprechende Rolle im zugehörigen Abonnement des Dienstprinzipals zugewiesen werden. Die Rolle für einen Dienstprinzipal muss die Aktionen zulassen, die Horizon Cloud für die von Horizon Cloud verwalteten Ressourcen im zugehörigen Microsoft Azure-Abonnement des Dienstprinzipals ausführen muss. Der Dienstprinzipal für das Abonnement des Pods benötigt eine Rolle, die Aktionen zum erfolgreichen Bereitstellen des Pods, zum Ausführen von Vorgängen auf dem Pod und zu den vom Pod verwalteten Ressourcen ermöglicht, um die über die Verwaltungskonsole initiierten Administrator-Workflows zu erfüllen und den Pod im Verlauf der Zeit zu pflegen. Wenn Sie ein separates Abonnement für die externe Unified Access Gateway-Konfiguration des Pods verwenden, benötigt der Dienstprinzipal für dieses Abonnement eine Rolle, die es ermöglicht, die für die Konfiguration dieses Gateways benötigten Ressourcen erfolgreich bereitzustellen und mit diesen von Horizon Cloud verwalteten Ressourcen zu arbeiten, um die Administrator-Workflows zu erfüllen und diese Gateway-bezogenen Ressourcen mit der Zeit zu pflegen.

Wie unter Für Horizon Cloud in Ihren Microsoft Azure-Abonnements erforderliche Vorgänge beschrieben, muss dem Dienstprinzipal mithilfe einer der folgenden Methoden Zugriff gewährt werden:

  • Weisen Sie auf Abonnementebene die Rolle Mitwirkender zu. Die Rolle Mitwirkender ist eine der in Microsoft Azure integrierten Rollen. Die Rolle Mitwirkender wird unter Integrierte Rollen für Azure-Ressourcen in der Microsoft Azure-Dokumentation beschrieben.
  • Weisen Sie auf Abonnementebene eine benutzerdefinierte Rolle zu, die Sie so eingerichtet haben, dass für den Dienstprinzipal der Minimalsatz zulässiger Aktionen bereitgestellt wird, die Horizon Cloud für die Bereitstellung der Pod-bezogenen Ressourcen und für fortlaufende, vom Administrator initiierte Workflows und Pod-Wartungsvorgänge benötigt.
  • Wenn Sie ein separates Abonnement für die externe Unified Access Gateway-Konfiguration und die Bereitstellung in einer vorhandenen Ressourcengruppe verwenden, besteht eine gültige Kombination darin, dem Dienstprinzipal Zugriff auf diese Ressourcengruppe und das zugehörige VNet mithilfe einer Rolle zu gewähren, die eng gefasste Berechtigungen bereitstellt und mithilfe der integrierten Leser-Rolle dem Dienstprinzipal Zugriff auf das Abonnement gewährt.

Sie führen diese Schritte über das Microsoft Azure-Portal aus, das für Ihr registriertes Konto geeignet ist. Beispielsweise gibt es spezifische Portal-Endpunkte für diese Microsoft Azure-Clouds.

  • Microsoft Azure (globaler Standard)
  • Microsoft Azure China
  • Microsoft Azure US-Regierung
Hinweis: Beim Durchführen dieser Schritte können Sie einige der Werte erfassen, die Sie für den Bereitstellungsassistenten benötigen, wie unter Abonnementinformationen für den Horizon Cloud-Pod-Bereitstellungsassistenten beschrieben, insbesondere:
  • Anwendungs-ID
  • Authentifizierungsschlüssel
Vorsicht: Sie können die Ablaufdauer des geheimen Schlüssels zwar auf einen bestimmten Zeitrahmen festlegen, müssen aber in diesem Fall daran denken, den Schlüssel zu aktualisieren, bevor er abläuft. Andernfalls funktioniert der zugehörige Horizon Cloud-Pod nicht mehr. Horizon Cloud kann nicht erkennen oder wissen, welche Dauer Sie festgelegt haben. Legen Sie die Ablaufdauer des Schlüssels für einen reibungslosen Betrieb auf Nie fest.

Wenn Sie Nie nicht verwenden möchten und der Schlüssel vor seinem Ablauf stattdessen aktualisiert werden soll, müssen Sie sich vor dem Ablaufdatum bei Horizon Cloud anmelden und unter den Pod-Details den neuen Schlüsselwert in die Abonnementinformationen des zugehörigen Pods eingeben. Informationen zu den ausführlichen Schritten finden Sie unter dem Thema Aktualisieren der Abonnementinformationen im Zusammenhang mit bereitgestellten Pods im Administratorleitfaden.

In den unten aufgeführten Schritten wird unter Schritt 7.a veranschaulicht, wie der Dienstprinzipal Zugriff auf die Abonnementebene erhält.

Voraussetzungen

Wenn Sie dem Dienstprinzipal anstelle der integrierten Rolle Mitwirkender eine benutzerdefinierte Rolle zuweisen möchten, stellen Sie sicher, dass die benutzerdefinierte Rolle in Ihrem Abonnement vorhanden ist. Stellen Sie sicher, dass die benutzerdefinierte Rolle die für Horizon Cloud erforderlichen Management-Vorgänge zulässt, wie unter Für Horizon Cloud in Ihren Microsoft Azure-Abonnements erforderliche Vorgänge beschrieben.

Prozedur

  1. Klicken Sie in der linken Navigationsleiste des Microsoft Azure-Portals auf Menüoption „Microsoft Azure Active Directory“ im Hauptmenü des Microsoft Azure-Portals (Azure Active Directory) und dann auf Menüoption „Anwendungsregistrierungen“ im Azure Active Directory-Untermenü des Azure-Portals (Anwendungsregistrierungen).
  2. Klicken Sie auf Neue Anwendungsregistrierung.
  3. Geben Sie einen beschreibenden Namen ein und wählen Sie einen unterstützten Kontotyp aus.
  4. Wählen Sie im Abschnitt „Umleitungs-URI“ Web aus, geben Sie http://localhost:8000 ein und klicken Sie auf Registrieren.
    Option Beschreibung
    Name Den Namen können Sie frei wählen. Der Name ist eine Möglichkeit, den von Horizon Cloud verwendeten Dienstprinzipal von anderen Dienstprinzipalen zu unterscheiden, die eventuell in demselben Abonnement vorhanden sind.
    Umleitungs-URI Stellen Sie sicher, dass Web ausgewählt ist.

    Geben Sie http://localhost:8000 ein (wie dargestellt). Microsoft Azure markiert dieses Feld als erforderlich. Da Horizon Cloud keine Anmelde-URL für den Dienstprinzipal benötigt, wird http://localhost:8000 verwendet, um die Microsoft Azure-Anforderungen zu erfüllen.

    Die neu erstellte App-Registrierung wird auf dem Bildschirm angezeigt.
  5. Kopieren Sie die Anwendungs- und Verzeichnis-ID (Mandant) und speichern Sie sie unter einem Verzeichnis, von dem Sie sie später abrufen können, wenn Sie den Bereitstellungsassistenten ausführen.

    Bildschirm der Dienstprinzipal-Details mit einem Pfeil auf die Anwendungs-ID.

  6. Erstellen Sie auf dem Bildschirm mit den Dienstprinzipal-Details den geheimen Authentifizierungsschlüssel des Dienstprinzipals.
    1. Klicken Sie auf das Menüelement „Zertifikate und Geheimnisse“ im Microsoft Azure-Portal (Zertifikate und Geheimnisse).
    2. Klicken Sie auf Neuer geheimer Client-Schlüssel.
    3. Geben Sie eine Beschreibung ein, wählen Sie eine Ablaufdauer aus und klicken Sie auf Hinzufügen.
      Die Beschreibung des Schlüssels darf höchstens 16 Zeichen umfassen, z. B. Hzn-Cloud-Key1.
      Vorsicht: Sie können die Ablaufdauer auf Nie oder einen bestimmten Zeitrahmen festlegen. Wenn Sie jedoch eine bestimmte Dauer festlegen, müssen Sie daran denken, den Schlüssel vor dessen Ablauf zu aktualisieren und den neuen Schlüssel in Horizon Cloud einzugeben, indem Sie die Konsole und die Details des Pods verwenden, in denen die Abonnementinformationen des Pods aufgeführt sind. Andernfalls funktioniert der zugehörige Pod nicht mehr. Horizon Cloud kann die Dauer, die Sie im Microsoft Azure-Portal festgelegt haben, nicht erkennen oder kennen.

      Bildschirm „Schlüssel“ mit neu hinzugefügtem Schlüssel, der nie abläuft.

      Wichtig: Lassen Sie diesen Bildschirm geöffnet, bis Sie den geheimen Wert kopiert und unter einem Speicherort eingefügt haben, von dem Sie ihn später abrufen können. Schließen Sie den Bildschirm erst, wenn Sie den geheimen Wert kopiert haben.

      Auf dem Bildschirm „Geheime Client-Schlüssel“ angezeigter Authentifizierungsschlüssel mit verpixeltem Wert.

    4. Kopieren Sie den geheimen Wert in einen Speicherort, von dem Sie ihn später abrufen können, wenn Sie den Bereitstellungsassistenten ausführen.
  7. Weisen Sie dem Dienstprinzipal auf Abonnementebene eine Rolle zu.
    Vorsicht: Wenn die zugewiesene Rolle des Dienstprinzipals nicht die Vorgänge zulässt, die der Pod-Bereitsteller benötigt, blockiert der Bereitstellungsassistent gemäß den von Ihnen ausgewählten Optionen im Assistenten das Abschließen der zugehörigen Schritte. Informationen zu den Berechtigungen, die die zugewiesene Rolle bereitstellen muss, finden Sie unter Für Horizon Cloud in Ihren Microsoft Azure-Abonnements erforderliche Vorgänge.
    1. Navigieren Sie zum Einstellungsbildschirm für Ihr Abonnement, indem Sie in der Hauptnavigationsleiste des Microsoft Azure-Portals auf Alle Dienste, Abonnements und anschließend auf den Namen des Abonnements klicken, das Sie für den Pod verwenden möchten.
      Hinweis: Auf diesem Bildschirm können Sie nun die Abonnement-ID kopieren, die Sie später im Bereitstellungsassistenten benötigen.

      Abonnementdetails im Azure-Portal mit verpixelten IDs und einem grünen Pfeil, der auf die ID zeigt.

    2. Klicken Sie auf Menüelement „Zugriffssteuerung (IAM)“ (Zugriffssteuerung (IAM)) und dann auf Hinzufügen > Rollenzuweisung hinzufügen, um den Bildschirm Rollenzuweisung hinzufügen zu öffnen.
    3. Wählen Sie im Bildschirm Rollenzuweisung hinzufügen für Rolle die Rolle aus, die Sie zuweisen möchten. Beachten Sie dabei die unter Für Horizon Cloud in Ihren Microsoft Azure-Abonnements erforderliche Vorgänge beschriebenen Regeln.
    4. Verwenden Sie das Feld Auswählen, um mit dem von Ihnen angegebenen Namen nach Ihrem Dienstprinzipal zu suchen.
      Der folgende Screenshot veranschaulicht diesen Schritt, wobei die Rolle Mitwirkender für den Dienstprinzipal ausgewählt ist.
      Screenshot des Bildschirms „Berechtigungen hinzufügen“ des Azure-Portals mit der Auswahl der Rolle „Besitzer“ und der Suche nach dem Dienstprinzipal.

      Hinweis: Stellen Sie sicher, dass die Dropdownliste Zugriff zuweisen zu auf Azure AD-Benutzer, -Gruppe oder -Anwendung eingestellt ist.
    5. Klicken Sie auf den Dienstprinzipal, um ihn zu einem ausgewählten Mitglied zu machen, und klicken Sie dann auf Speichern.

      Bildschirm „Berechtigungen hinzufügen“ mit dem als ausgewähltes Mitglied der Rolle „Besitzer“ hinzugefügten Dienstprinzipal.

  8. Stellen Sie sicher, dass Ihr Abonnement die registrierten Ressourcenanbieter aufweist, die der Pod erfordert.
    1. Navigieren Sie vom Bildschirm „Access Control (IAM)“ aus dem vorherigen Schritt zur Liste der Ressourcenanbieter des Abonnements. Klicken Sie dazu im Abonnementmenü auf Menü für Ressourcenanbieterauswahl im Menü für Abonnementeinstellungen (Ressourcenanbieter).
    2. Stellen Sie sicher, dass die folgenden Ressourcenanbieter den Status Symbol des Status „Registriert“ im Azure-Portal für einen Ressourcenanbieter (Registriert) aufweisen. Registrieren Sie sie andernfalls.
      • Microsoft.Compute
      • microsoft.insights
      • Microsoft.Network
      • Microsoft.Storage
      • Microsoft.KeyVault
      • Microsoft.Authorization
      • Microsoft.Resources
      • Microsoft.ResourceHealth
      • Microsoft.DBforPostgreSQL
      • Microsoft.Sql

      Ressourcenanbieter-Bildschirm mit einem grünen Pfeil, der auf einen nicht registrierten Ressourcenanbieter zeigt.

Ergebnisse

Sie haben nun einen Dienstanbieter für den Pod erstellt und konfiguriert und Sie verfügen über die auf das Abonnement bezogenen Werte, die Sie im ersten Schritt des Assistenten für die Pod-Bereitstellung benötigen. Die vier auf das Abonnement bezogenen Werte sind:

  • Abonnement-ID
  • Azure Active Directory-ID
  • Anwendungs-ID
  • Wert des Anwendungsschlüssels

Nächste Maßnahme

Stellen Sie sicher, dass Sie alle abonnementbezogenen Informationen gesammelt haben, die Sie im Bereitstellungsassistenten eingeben. Siehe Abonnementinformationen für den Horizon Cloud-Pod-Bereitstellungsassistenten.

Wenn Sie ein separates Abonnement für die Bereitstellung der externen Unified Access Gateway-Konfiguration in einer vorhandenen Ressourcengruppe verwenden und detaillierte, eng gefasste Berechtigungen anstelle des Zugriffs auf Zertifikatsebene erteilen möchten, finden Sie weitere Einzelheiten unter Für Horizon Cloud in Ihren Microsoft Azure-Abonnements erforderliche Vorgänge. Stellen Sie sicher, dass dem Dienstprinzipal der entsprechende Zugriff gewährt wird, um die Anforderungen des Horizon Cloud-Bereitstellers zu erfüllen.