Konfigurieren Sie Horizon-Pods und Pod-Verbünde in der VMware Identity Manager-Konsole, um Ressourcen und Berechtigungen mit dem VMware Identity Manager-Dienst zu synchronisieren.

Um die Pods und Pod-Verbünde zu konfigurieren, erstellen Sie eine oder mehrere Sammlungen virtueller Apps auf der Seite Katalog > Sammlungen virtueller Apps und geben Konfigurationsinformationen ein, zum Beispiel die Horizon-Verbindungsserver, von denen aus Ressourcen und Berechtigungen synchronisiert werden sollen, oder Details zu Pod-Verbünden oder den VMware Identity Manager-Connector, der für die Synchronisierung verwendet werden soll, oder Administratoreinstellungen wie der Standardclient für den Start.

Nachdem Sie die Pods und Pod-Verbünde hinzugefügt haben, konfigurieren Sie die Clientzugriffs-FQDNs für bestimmte Netzwerkbereiche, sodass Endbenutzer beim Zugriff auf Ressourcen eine Verbindung mit den richtigen Servern herstellen.

Sie können alle Horizon-Pods und Pod-Verbünde einer Sammlung hinzufügen, oder Sie können mehrere Sammlungen erstellen, die Ihren Bedürfnissen entsprechen. Beispielsweise können Sie für eine einfachere Verwaltung für jeden Pod-Verbund oder jeden Pod eine separate Sammlung erstellen. Dies ist ebenfalls hilfreich, um die Synchronisierung auf verschiedene Konnektoren zu verteilen. Oder Sie können alle Pods und jeden Pod-Verbund in einer Sammlung für Testzwecke zusammenfassen und eine andere identische Sammlung für Ihre Produktionsumgebung nutzen.

Voraussetzungen

  • Einrichtung von Horizon gemäß Anforderungen zum Integrieren von Horizon Pods und Voraussetzungen für die Integration von Horizon Pod-Verbünden.
  • Einrichtung von VMware Identity Manager gemäß Einrichten Ihrer VMware Identity Manager-Umgebung.
  • Stellen Sie für jeden Horizon-Pod, den Sie in VMware Identity Manager konfigurieren möchten, sicher, dass Sie über die Anmeldedaten eines Benutzers mit der Administratorrolle verfügen.
  • Um diesen Vorgang in VMware Identity Manager durchzuführen, müssen Sie eine Administratorrolle verwenden, die die Aktion „Desktop-Anwendungen verwalten“ im Katalogdienst enthält.
  • Am Ende dieses Vorgangs werden Sie zur Seite „Netzwerkbereiche“ umgeleitet, um Clientzugriffs-FQDNs zu konfigurieren. Um die Seite „Netzwerkbereiche“ zu bearbeiten und zu speichern, benötigen Sie die Rolle „Super-Admin“. Sie können diesen Schritt separat durchführen.

Prozedur

  1. Melden Sie sich bei der VMware Identity Manager-Konsole an.
  2. Wählen Sie die Registerkarte Katalog > Sammlungen virtueller Apps.
  3. Klicken Sie auf Neu.
  4. Wählen Sie Horizon als Quelltyp aus.
  5. Geben Sie im Assistenten „Neue Horizon-Sammlung virtueller Apps“ die folgenden Informationen auf der Seite „Konnektor“ ein.
    Option Beschreibung
    Name Geben Sie einen eindeutigen Namen für die Horizon-Sammlung ein.
    Connector Wählen Sie den Konnektor aus, den Sie zum Synchronisieren dieser Sammlung verwenden möchten. Um den Konnektor auszuwählen, wählen Sie das Verzeichnis aus, das ihm zugeordnet ist. Wenn Sie einen Cluster von Konnektoren eingerichtet haben, werden alle Konnektor-Instanzen in der Liste Host angezeigt, und Sie können sie in der Failover-Reihenfolge für diese Sammlung anordnen.
    Wichtig: Nachdem Sie die Sammlung erstellt haben, können Sie kein anderes Verzeichnis auswählen.
  6. Klicken Sie auf Weiter.
  7. Klicken Sie auf der Seite „Pod und Verbund“ auf Pod hinzufügen und geben Sie die Pod-Informationen ein.
    Wenn der Pod über mehrere Horizon-Verbindungsserver-Instanzen verfügt, geben Sie die Informationen für eine beliebige Instanz ein.
    Option Beschreibung
    Verbindungsserver Geben Sie den voll qualifizierten Hostnamen einer der Horizon-Verbindungsserver-Instanzen innerhalb des Pod ein. Beispiel: connectionserver.horizondomain.com. Der Domänenname muss mit dem Domänennamen übereinstimmen, mit dem die Horizon-Verbindungsserver-Instanz verbunden ist.
    Wichtig: Wenn der Pod über mehrere Horizon-Verbindungsserverinstanzen verfügt, müssen Sie nur eine der Instanzen hinzufügen. VMware Identity Manager ruft die Informationen für alle Instanzen innerhalb des Pods ab.
    Benutzername Geben Sie den Administratorbenutzernamen für den Horizon-Verbindungsserver ein. Der Benutzer muss über die Administratorrolle in Horizon verfügen.
    Kennwort Geben Sie das Kennwort für den Horizon-Verbindungsserver-Administrator ein.
    Smartcard-Authentifizierung Aktivieren Sie diese Option, wenn Benutzer die Smartcard-Authentifizierung anstelle von Kennwörtern verwenden, um sich beim Horizon-Verbindungsserver anzumelden.
    True SSO

    Aktivieren Sie diese Option nur, wenn True SSO für den Horizon-Verbindungsserver aktiviert wurde. Diese Option steht nur für Horizon-Versionen zur Verfügung, die die True-SSO-Funktion unterstützen.

    Wenn diese Option aktiviert ist, werden Benutzer, die bei VMware Identity Manager mit einer Authentifizierungsmethode ohne Kennwort, wie z. B. SecurID, angemeldet sind, nicht zur Eingabe eines Kennworts aufgefordert, wenn sie Ihre Windows-Desktops starten.

    Lokale Zuweisungen synchronisieren Aktivieren Sie diese Option, um neben globalen Zuweisungen lokale Berechtigungen vom Horizon-Verbindungsserver zu synchronisieren.
  8. Um weitere Pods hinzuzufügen, klicken Sie auf Pod hinzufügen und geben Sie die Informationen für jeden Pod ein.
  9. Wenn die Option Cloud-Pod-Architektur in Horizon für eine der von Ihnen hinzugefügten Pods aktiviert ist, führen Sie die folgenden Schritte aus, um die Informationen zum Pod-Verbund hinzuzufügen.
    1. Legen Sie die Option Haben Sie Cloud-Pod-Architektur für einen der oben hinzugefügten Pods aktiviert? auf Ja fest.
    2. Klicken Sie auf Verbund hinzufügen.
    3. Geben Sie die Informationen für den Pod-Verbund ein.
      Option Beschreibung
      Verbundname Der Name für den Pod-Verbund.
      FQDN für Client-Zugriff Der vollqualifizierte Domänenname (FQDN) des Servers, auf den Clients verweisen, die auf globale Berechtigungen in diesem Pod-Verbund zugreifen. Bei diesem Wert handelt es sich in der Regel um den globalen Lastausgleichsdienst der Pod-Verbund-Bereitstellung.

      Beispiel: federationA.example.com.

      Sie können den Clientzugriffs-FQDN später für bestimmte Netzwerkbereiche im Rahmen der Konfiguration anpassen.

      Horizon-Pods Wählen Sie die Pods aus, die zum Pod-Verbund gehören. In der Spalte Verfügbare Pods werden alle Pods angezeigt, die Sie der Sammlung hinzugefügt haben. Wenn Sie einen Pod auswählen, wird er der Spalte Ausgewählte Pods hinzugefügt. Sie können die Pods in der Spalte Ausgewählte Pods in der Failover-Reihenfolge anordnen.
    4. Um einen anderen Pod-Verbund hinzuzufügen, klicken Sie auf Verbund hinzufügen und geben die Informationen für den Pod-Verbund ein.
  10. Klicken Sie auf Weiter.
  11. Geben Sie auf der Seite „Konfiguration“ die folgenden Informationen ein.
    Option Beschreibung
    Frequenz Wählen Sie aus, wie häufig Sie die Ressourcen in der Sammlung synchronisieren möchten.

    Sie können einen festen Zeitraum für eine automatische Synchronisierung festlegen oder eine manuelle Synchronisierung auswählen. Um einen Zeitraum festzulegen, wählen Sie das Intervall aus, z. B. täglich oder wöchentlich, und wählen Sie die Tageszeit aus, an der die Synchronisierung ausgeführt werden soll. Wenn Sie Manuell auswählen, müssen Sie auf der Seite „Sammlungen virtueller Apps“ Synchronisieren anklicken, nachdem Sie die Sammlung eingerichtet haben und immer dann, wenn sich Ihre Horizon Cloud-Ressourcen oder -Berechtigungen geändert haben.

    Doppelte Apps synchronisieren Legen Sie diese Option auf Nein fest, um zu verhindern, dass doppelte Anwendungen von mehreren Servern synchronisiert werden.

    Wenn VMware Identity Manager in mehreren Rechenzentren bereitgestellt wird, werden die gleichen Ressourcen in diesen Rechenzentren eingerichtet. Wenn Sie diese Option auf Nein festlegen, wird verhindert, dass die Desktop- oder Anwendungspools in Ihrem VMware Identity Manager-Katalog dupliziert werden.

    Aktivierungsrichtlinie Wählen Sie aus, wie Sie Ressourcen in dieser Sammlung für Benutzer im Workspace ONE-Portal und der App verfügbar machen möchten. Wenn Sie beabsichtigen, einen Genehmigungsablauf einzurichten, wählen Sie Benutzeraktiviert aus, andernfalls Automatisch.

    Mit den Optionen Benutzeraktiviert und Automatisch werden die Ressourcen zur Seite „Katalog“ hinzugefügt. Benutzer können die Ressourcen über die Seite „Katalog“ ausführen oder sie zur Seite „Lesezeichen“ verschieben. Wenn jedoch ein Genehmigungsprozess für eine der Apps eingerichtet werden muss, müssen Sie „Benutzer aktiviert“ für die App auswählen.

    Die Aktivierungsrichtlinie gilt für alle Benutzerberechtigungen für sämtliche Ressourcen in der Sammlung. Sie können die Aktivierungsrichtlinie für einzelne Benutzer oder Gruppen pro Ressource auf der Seite „Benutzer„ oder „Gruppe“ auf der Registerkarte Benutzer & Gruppen ändern.

    Standardclient für Start Wählen Sie den Standardclient für Endbenutzer aus, die auf Horizon-Desktops und -Apps über das Workspace ONE Portal oder die App zugreifen.
    Keine Auf der Administratorebene ist keine Standardeinstellung festgelegt. Wenn für diese Option Keine ausgewählt wird und der Endbenutzer auch keine Einstellung vornimmt, wird die Horizon-Einstellung Standardanzeigeprotokoll verwendet, um festzulegen, wie der Desktop oder die Anwendung gestartet werden soll.
    Browser Horizon-Desktops und -Anwendungen werden standardmäßig in einem Webbrowser gestartet. Endbenutzereinstellungen haben, sofern festgelegt, Vorrang vor dieser Einstellung.
    Systemeigen Horizon-Desktops und -Anwendungen werden standardmäßig in Horizon Client gestartet. Endbenutzereinstellungen haben, sofern festgelegt, Vorrang vor dieser Einstellung.

    Diese Einstellung gilt für alle Benutzer sämtlicher Ressourcen in dieser Sammlung.

    Für die standardmäßigen Starteinstellungen des Clients gilt die folgende Rangfolge (von der höchsten zur niedrigsten):

    1. Im Workspace ONE-Portal festgelegte Endbenutzereinstellung. Diese Option ist nicht in der Workspace ONE-App verfügbar.
    2. Administratoreinstellung für Standardclient für den Start für die Sammlung, festgelegt in der VMware Identity Manager-Konsole.
    3. Horizon-Einstellung Remote-Anzeigeprotokoll > Standardanzeigeprotokoll für den Desktop- oder Anwendungspool, festgelegt in Horizon Administrator. Wenn Sie z. B. für das Anzeigeprotokoll PCoIP festlegen, wird die Anwendung oder der Desktop in Horizon Client gestartet.
  12. Klicken Sie auf Weiter.
  13. Überprüfen Sie auf der Seite „Zusammenfassung“ Ihre Auswahl und klicken Sie dann auf Netzwerkbereich speichern und konfigurieren.
    Die Seite „Netzwerkbereiche“ wird angezeigt.
  14. Bearbeiten Sie auf der Seite „Netzwerkbereiche“ jeden Netzwerkbereich und geben Sie die Clientzugriffs-FQDNs für die Pods und Pod-Verbünde von Horizon an, damit Endbenutzer, die auf Horizon-Anwendungen und -Desktops zugreifen, eine Verbindung mit dem richtigen Server herstellen.
    1. Klicken Sie auf den Netzwerkbereich, den Sie bearbeiten möchten, oder klicken Sie auf Netzwerkbereich erstellen, um bei Bedarf einen neuen Netzwerkbereich zu erstellen.
    2. Wenn Sie einen neuen Netzwerkbereich erstellen, geben Sie einen Namen, eine optionale Beschreibung und den IP-Adressbereich ein.
    3. Scrollen Sie zu den Abschnitten Pod und View CPA-Verbund.
      Der Abschnitt „Pod“ enthält alle Horizon-Pods, die Sie der Sammlung hinzugefügt haben und für die die Option „Lokale Zuweisungen synchronisieren“ ausgewählt wurde. Im Abschnitt „View CPA-Verbund“ sind alle von Ihnen hinzugefügten Pod-Verbünde aufgelistet.
      Pods zu Netzwerkbereichen zuweisen

    4. Bearbeiten Sie den Abschnitt „Pod“ für jeden Pod und geben Sie die entsprechenden Werte für diesen Netzwerkbereich ein.
      Option Beschreibung
      FQDN für Client-Zugriff Geben Sie den vollqualifizierten Domänennamen (FQDN) des Servers an, auf den Clients verweisen, die auf lokale Berechtigungen auf diesem Pod zugreifen, wenn die Anforderungen aus diesem Netzwerkbereich stammen. Dies kann ein Horizon-Verbindungsserver, ein Sicherheitsserver, ein Lastausgleichsdienst oder ein Reverse-Proxy-FQDN sein.

      Beispiel: internallb.example.com

      Für den Start von Ressourcen mit lokalen Berechtigungen aus dem Pod wird der Clientzugriffs-FQDN des betreffenden Pods verwendet.

      Port Der Serverport.
      Artefakt in JWT umschließen Siehe Starten von Horizon-Ressourcen durch Validierung von Gateways.
      Zielgruppe in JWT Siehe Starten von Horizon-Ressourcen durch Validierung von Gateways.
    5. Bearbeiten Sie den Abschnitt „View CPA-Verbund“ für jeden Pod-Verbund und geben Sie die entsprechenden Werte für diesen Netzwerkbereich ein.
      Option Beschreibung
      FQDN für Client-Zugriff Geben Sie den vollqualifizierten Domänennamen (FQDN) des Servers an, auf den Clients verweisen, die auf globale Berechtigungen auf diesem Pod-Verbund zugreifen, wenn die Anforderungen aus diesem Netzwerkbereich stammen. Bei diesem Wert handelt es sich in der Regel um den globalen Lastausgleichsdienst der Pod-Verbund-Bereitstellung.

      Beispiel: globallb.example.com

      Der Clientzugriffs-FQDN für einen Pod-Verbund wird verwendet, um Ressourcen mit globalen Berechtigungen zu starten.

      Port Der Serverport.
      Artefakt in JWT umschließen Wenn der VMware Identity Manager-Dienst in ein Validierungs-Gateway integriert ist, z. B. F5, muss diese Option aktiviert sein, um Horizon-Ressourcen zu authentifizieren, die Benutzern zugewiesen sind. Siehe Starten von Horizon-Ressourcen durch Validierung von Gateways.
      Zielgruppe in JWT Siehe Starten von Horizon-Ressourcen durch Validierung von Gateways.
    6. Klicken Sie auf Speichern.
    7. Wiederholen Sie diese Schritte, um die anderen Netzwerkbereiche zu bearbeiten.
    8. Klicken Sie auf der Seite „Netzwerkbereiche“ auf Beenden.

Nächste Maßnahme

Die Horizon-Sammlung wird erstellt und auf der Seite Katalog > Sammlungen virtueller Apps angezeigt. Die Ressourcen in der Sammlung wurden noch nicht synchronisiert. Sie können entweder auf die nächste geplante Synchronisierung warten oder die Erfassung manuell auf der Seite Katalog > Sammlungen virtueller Apps synchronisieren.