Um Remote-Desktops und -anwendungen aus VMware Workspace ONE Access zu starten oder um mit Remote-Desktops und -anwendungen mithilfe eines Lastausgleichsdienstes oder eines Gateways von Drittanbietern eine Verbindung herzustellen, müssen Sie in Horizon Console einen SAML-Authentifikator erstellen. Ein SAML-Authentifikator enthält den Vertrauensstellungs- und Metadatenaustausch zwischen VMware Horizon und dem Gerät, mit dem Clients eine Verbindung herstellen.

Sie verknüpfen einen SAML-Authentifikator mit einer Verbindungsserver-Instanz. Wenn Ihre Bereitstellung mehr als eine Verbindungsserver-Instanz beinhaltet, müssen Sie den SAML-Authentifikator mit jeder Instanz verknüpfen.

Sie können festlegen, dass ein statischer Authentifikator und mehrere dynamische Authentifikatoren zur gleichen Zeit aktiv sein können. Sie haben die Möglichkeit, (dynamische) vIDM- und (statische) Unified Access Gateway-Authentifikatoren zu konfigurieren und sie im aktiven Zustand zu belassen. Verbindungen können über beide Arten von Authentifikatoren hergestellt werden.

Sie können mehrere SAML-Authentifikatoren für einen Verbindungsserver konfigurieren, und alle Authentifikatoren können gleichzeitig aktiv sein. Allerdings müssen die auf dem Verbindungsserver konfigurierten SAML-Authentifikatoren jeweils über eine eigene Entitäts-ID verfügen.

Im Dashboard wird der Status des SAML-Authentifikators immer grün angezeigt, da es sich um vordefinierte Metadaten handelt, die von Haus aus statisch sind. Der Wechsel von rot zu grün betrifft nur dynamische Authentifikatoren.

Informationen zur Konfiguration eines SAML-Authentifikators für VMware Unified Access Gateway-Appliances finden Sie in der Unified Access Gateway-Dokumentation.

Voraussetzungen

  • Stellen Sie sicher, dass Workspace ONE, VMware Workspace ONE Access oder ein Gateway bzw. ein Lastausgleichsdienst eines Drittanbieters installiert und konfiguriert ist. Weitere Informationen finden Sie in der Installationsdokumentation des betreffenden Produkts.

  • Stellen Sie sicher, dass das Stammzertifikat der signierenden Zertifizierungsstelle für das SAML-Serverzertifikat auf dem Verbindungsserver-Host installiert ist. VMware empfiehlt nicht, SAML-Authentifikatoren zur Verwendung selbstsignierter Zertifikate zu konfigurieren. Informationen zur Zertifikatauthentifizierung finden Sie im Dokument Horizon-Installation und -Upgrade.
  • Notieren Sie sich den FQDN oder die IP-Adresse des Workspace ONE-Servers, des VMware Workspace ONE Access-Servers oder des externen Lastausgleichsdiensts.
  • (Optional) Wenn Sie Workspace ONE oder VMware Workspace ONE Access verwenden, notieren Sie sich die URL der Connector-Web-Schnittstelle.
  • Wenn Sie einen Authentifikator für eine Unified Access Gateway-Appliance oder eine Drittanbieter-Appliance erstellen, für die Sie SAML-Metadaten generieren und einen statischen Authentifikator erstellen müssen, führen Sie den Vorgang zur Generierung der SAML-Metadaten auf dem Gerät aus und kopieren Sie dann die Metadaten.

Prozedur

  1. Navigieren Sie in Horizon Console zu Einstellungen > Server.
  2. Wählen Sie auf der Registerkarte Verbindungsserver eine Serverinstanz aus, die mit dem SAML-Authentifikator verknüpft werden soll, und klicken Sie auf Bearbeiten.
  3. Wählen Sie auf der Registerkarte Authentifizierung eine Einstellung aus dem Dropdown-Menü Delegierung von Authentifizierung an VMware Horizon (SAML 2.0-Authentifikator) aus, um den SAML-Authentifikator zu aktivieren oder zu deaktivieren.
    Option Beschreibung
    Deaktiviert Die SAML-Authentifizierung ist deaktiviert. Sie können Remote-Desktops und -anwendungen nur aus Horizon Client heraus starten.
    Zulässig Die SAML-Authentifizierung ist aktiviert. Sie können Remote-Desktops und -anwendungen sowohl von Horizon Client und VMware Workspace ONE Access als auch vom Gerät eines Drittanbieters aus starten.
    Erforderlich Die SAML-Authentifizierung ist aktiviert. Sie können Remote-Desktops und -anwendungen nur von VMware Workspace ONE Access oder vom Gerät eines Drittanbieters aus starten. Sie können Desktops oder Anwendungen nicht manuell aus Horizon Client heraus starten.
    Sie können die einzelnen Verbindungsserver-Instanzen in Ihrer Bereitstellung so konfigurieren, dass sie abhängig von Ihren Anforderungen über unterschiedliche SAML-Authentifizierungseinstellungen verfügen.
  4. Klicken Sie auf SAML-Authentifikatoren verwalten und dann auf Hinzufügen.
  5. Konfigurieren Sie den SAML-Authentifikator im Dialogfeld zum Hinzufügen von SAML 2.0-Authentifikatoren.
    Option Beschreibung
    Typ Wählen Sie für eine Unified Access Gateway-Appliance oder ein Drittanbietergerät Statisch aus. Wählen Sie für VMware Workspace ONE Access die Option Dynamisch aus. Für dynamische Authentifikatoren können Sie eine Metadaten-URL und eine Verwaltungs-URL angeben. Bei statischen Authentifikatoren müssen Sie zunächst die Metadaten auf der Unified Access Gateway-Appliance oder dem Drittanbietergerät generieren, die Metadaten kopieren und diese dann in das Textfeld SAML-Metadaten einfügen.
    Bezeichnung Eindeutiger Name, der den SAML-Authentifikator identifiziert.
    Beschreibung Kurzbeschreibung des SAML-Authentifikators. Dieser Wert ist optional.
    Metadaten-URL (Für dynamische Authentifikatoren) URL zum Abrufen aller Informationen, die für den Austausch von SAML-Informationen zwischen dem SAML-Identitätsanbieter und der Verbindungsserver-Instanz erforderlich sind. Klicken Sie in der URL https://<IHR HORIZON SERVER-NAME>/SAAS/API/1.0/GET/metadata/idp.xml auf <IHR HORIZON SERVER-NAME> und ersetzen Sie diese Zeichenfolge mit dem FQDN oder der IP-Adresse des VMware Workspace ONE Access-Servers oder des externen Lastausgleichsdiensts (Drittanbietergerät).
    Verwaltungs-URL (Für dynamische Authentifikatoren) URL für den Zugriff auf die Verwaltungskonsole des SAML-Identitätsanbieters. Für VMware Workspace ONE Access sollte diese URL auf die VMware Workspace ONE Access Connector-Webschnittstelle verweisen. Dieser Wert ist optional.
    True SSO-Auslösermodus (Für dynamische Authentifikatoren) Aktivieren oder deaktivieren Sie TrueSSO für SAML-Authentifikatoren.
    SAML-Metadaten (Für statische Authentifikatoren) Metadatentext, den Sie generiert und von der Unified Access Gateway-Appliance oder einem Drittanbietergerät kopiert haben.
    Aktiviert für den Verbindungsserver Aktivieren Sie dieses Kontrollkästchen, um den Authentifikator zu aktivieren. Sie können mehrere Authentifikatoren aktivieren. Nur aktivierte Authentifikatoren werden in der Liste angezeigt.
  6. Klicken Sie auf OK, um die SAML-Authentifikatorkonfiguration zu speichern.
    Sofern Sie gültige Informationen angegeben haben, müssen Sie entweder das selbstsignierte Zertifikat akzeptieren (nicht empfohlen) oder ein vertrauenswürdiges Zertifikat für VMware Horizon und VMware Workspace ONE Access oder ein Drittanbietergerät verwenden.

    Der neu erstellte Authentifikator wird im Dialogfeld „SAML-Authentifikatoren verwalten“ angezeigt.

Nächste Maßnahme

Erweitern Sie den Ablaufzeitraum der Metadaten des Verbindungsservers, sodass Remotesitzungen nicht nach nur 24 Stunden beendet werden. Siehe Ändern des Ablaufzeitraums der Metadaten von Dienstanbietern auf dem Verbindungsserver.