Im Rahmen der Integration von Workspace ONE Access und Horizon geben Sie FQDNs für Client-Zugriff für Netzwerkbereiche an, sodass sich Benutzer basierend auf ihrem Netzwerkbereich mit dem richtigen Horizon Server verbinden. Darüber hinaus können Sie Benutzer filtern, indem Sie Benutzergruppen für jeden Netzwerkbereich angeben.

Wenn Sie eine Sammlung virtueller Apps für Horizon erstellen, führt Sie der Assistent zur Registerkarte „Netzwerkbereiche“, um die FQDNs für Client-Zugriff für die Pods und den Pod-Verbund in der Sammlung zu konfigurieren. Nach dem Erstellen der Sammlung können Sie die FQDNs für Client-Zugriff jederzeit über die Registerkarte „Netzwerkbereiche“ bearbeiten.

Für alle Netzwerkbereiche in Ihrem Mandanten müssen Clientzugriffs-FQDNs für Horizon-Pods und Pod-Verbunde festgelegt sein. Wenn ein Netzwerkbereich keinen Clientzugriffs-FQDN definiert hat, können Benutzer, die über diesen Netzwerkbereich auf Horizon Ressourcen zugreifen, ihre zugewiesenen Anwendungen und Desktops nicht starten. Stellen Sie sicher, dass Sie immer dann, wenn Sie neue Netzwerkbereiche erstellen, auch die Sammlungen virtueller Apps bearbeiten, um Clientzugriffs-FQDNs für Horizon-Pods und Pod-Verbunde zum neuen Netzwerkbereich hinzuzufügen.

Sie können Clientzugriffs-FQDNs auf Workspace ONE Access auf folgende Arten konfigurieren:

  • Verwenden Sie nur Netzwerkbereiche, um Benutzer zu den entsprechenden Clientzugriffs-FQDNs weiterzuleiten.

    Erstellen Sie mehrere Netzwerkbereiche und geben Sie Clientzugriffs-FQDNs für jeden Netzwerkbereich an. Wählen Sie keine Benutzergruppen für die Netzwerkbereiche aus. Alle Benutzer werden basierend auf dem Netzwerkbereich, von dem aus sie auf ihre zugewiesenen Horizon-Apps und -Desktops zugreifen, zu Clientzugriffs-FQDNs geleitet.

    Beispielsweise können Sie separate Netzwerkbereiche für den internen und externen Zugriff erstellen und die entsprechenden Clientzugriffs-FQDNs für jeden Bereich angeben.

  • Verwenden Sie sowohl Netzwerkbereiche als auch Gruppen, um Benutzer zu den entsprechenden Clientzugriffs-FQDNs zu leiten.

    Erstellen Sie mehrere Netzwerkbereiche und geben Sie Clientzugriffs-FQDNs für jeden Bereich an. Wählen Sie auch Benutzergruppen für die Netzwerkbereiche aus. Damit Benutzer Horizon-Apps und -Desktops über einen Clientzugriffs-FQDN starten können, muss ihre Client-IP-Adresse mit dem Netzwerkbereich übereinstimmen und zu mindestens einer der Gruppen gehören, die für den Netzwerkbereich ausgewählt wurden. Wenn keine Gruppen für einen Netzwerkbereich ausgewählt sind, können alle Benutzer, deren Client-IP-Adresse dem Netzwerkbereich entspricht, Apps und Desktops aus dem Clientzugriffs-FQDN dieses Netzwerkbereichs starten.

    Sie können beispielsweise separate Netzwerkbereiche für internen und externen Zugriff erstellen und Benutzer für jeden Bereich filtern, je nachdem, ob sie einer permanenten Mitarbeitergruppe oder einer temporären Mitarbeitergruppe angehören.

    Hinweis: Wenn Sie nicht mehrere Netzwerkbereiche erstellen möchten, können Sie Benutzergruppen im standardmäßigen ALLE BEREICHE-Netzwerkbereich für jede Sammlung virtueller Apps konfigurieren. Nur Benutzer, die zu einer der ausgewählten Gruppen gehören, können Horizon-Apps und -Desktops über den ALLE BEREICHE-Clientzugriffs-FQDN starten.

    Sie können beispielsweise verschiedene Sammlungen virtueller Apps für Pods in verschiedenen Regionen erstellen, Benutzergruppen nach Region einrichtenm und die entsprechenden Benutzergruppen für den ALLE BEREICHE-Netzwerkbereich für jede Sammlung auswählen.

Wenn Sie überlappende Netzwerkbereiche konfigurieren, wendet Workspace ONE Access die folgenden Regeln an, um die beste Übereinstimmung für den Benutzer zu finden:

  • Wenn die Client-IP-Adresse des Benutzers mehreren Bereichen entspricht und keine Gruppen für einen der Netzwerkbereiche angegeben sind, wird der zuletzt erstellte Netzwerkbereich verwendet, um den Clientzugriffs-FQDN für den Benutzer zu bestimmen.
  • Wenn die Client-IP-Adresse des Benutzers mehreren Netzwerkbereichen entspricht und die Gruppen des Benutzers nur mit einem dieser Netzwerkbereiche übereinstimmen, wird der Netzwerkbereich, der mit der Client-IP-Adresse und den -Gruppen übereinstimmen, verwendet, um den Clientzugriffs-FQDN für den Benutzer zu bestimmen.
  • Wenn die Client-IP-Adresse mehreren Netzwerkbereichen entspricht und der Benutzer einer oder mehreren Gruppen in all diesen Netzwerkbereichen angehört, wird der Netzwerkbereich mit den meisten Benutzergruppen-Übereinstimmungen verwendet, um den Clientzugriffs-FQDN für den Benutzer zu bestimmen.
  • Wenn die Client-IP-Adresse mehreren Netzwerkbereichen entspricht und die Anzahl der übereinstimmenden Benutzergruppen über mehrere Netzwerkbereiche hinweg identisch ist, wird der zuletzt erstellte Netzwerkbereich verwendet, um den Clientzugriffs-FQDN für den Benutzer zu bestimmen.

Voraussetzungen

Zum Erstellen und Bearbeiten von Netzwerkbereichen ist eine Super-Admin-Rolle oder eine benutzerdefinierte Rolle erforderlich, die die Aktion „Einstellungen verwalten“ im Identitäts- und Zugriffsmanagementdienst ausführen kann.

Prozedur

  1. Wählen Sie in der Workspace ONE Access-Konsole die Registerkarte Katalog > Sammlungen virtueller Apps aus.
  2. Klicken Sie auf die Sammlung virtueller Horizon-Apps und wählen Sie dann die Registerkarte Netzwerkbereiche .
  3. Klicken Sie auf den Netzwerkbereich, um bei Bedarf einen neuen Netzwerkbereich zu bearbeiten oder zu erstellen.
  4. Wenn Sie einen neuen Netzwerkbereich erstellen, geben Sie einen Namen, eine optionale Beschreibung und den IP-Bereich ein.
  5. (Optional) Wählen Sie im Bereich Gruppenmitgliedschaft die Benutzergruppen aus, die Sie diesem Netzwerkbereich zuordnen möchten.
    Wenn Sie Gruppen auswählen, müssen Benutzer zum Starten von Horizon-Anwendungen und -Desktops über den diesem Netzwerkbereich zugeordneten Clientzugriffs-FQDN mindestens einer Gruppe angehören und ihre Client-IP-Adresse muss mit dem Netzwerkbereich übereinstimmen.

    Wenn Sie keine Gruppen auswählen, können alle Benutzer, deren Client-IP-Adresse dem Netzwerkbereich entspricht, Horizon-Anwendungen und -Desktops über den diesem Netzwerkbereich zugeordneten Clientzugriffs-FQDN starten.

    Beispiel:

    Dieses Bild zeigt das Popup „Pods zu Netzwerkbereichen zuweisen“ an. Für den Netzwerkbereich wird ein IP-Bereich angegeben. Zwei Gruppen, Gruppe A und Gruppe B, werden ebenfalls für den Netzwerkbereich ausgewählt.
  6. Scrollen Sie zum Abschnitt Pod und Verbund.
    Der Pod-Abschnitt listet alle Horizon-Pods in der Sammlung auf, für die die Option „Lokale Zuweisungen synchronisieren“ aktiviert ist. Der Abschnitt „CPA-Verbund“ listet die Pod-Verbünde in der Sammlung auf, sofern vorhanden.

    Netzwerkbereich für View-Einstellungen bearbeiten

  7. Bearbeiten Sie den Abschnitt Pod für jeden Pod und geben Sie die entsprechenden Werte für diesen Netzwerkbereich ein.
    Option Beschreibung
    FQDN für Client-Zugriff Der vollqualifizierte Domänenname (FQDN) des Servers, auf den Clients verweisen, die auf lokale Berechtigungen auf diesem Pod zugreifen, wenn die Anforderungen aus diesem Netzwerkbereich stammen. Dieser Wert kann ein Horizon-Verbindungsserver, ein Sicherheitsserver, ein Lastausgleichsdienst oder ein Reverse-Proxy-FQDN sein.

    Beispiel: internallb.example.com

    Der Clientzugriffs-FQDN für einen Pod wird verwendet, um Ressourcen mit lokalen Berechtigungen aus dem Pod zu starten.

    Port Der Serverport.
    Artefakt in JWT umschließen Siehe Starten von Horizon-Ressourcen durch Validierung von Gateways.
    Zielgruppe in JWT Siehe Starten von Horizon-Ressourcen durch Validierung von Gateways.
  8. Bearbeiten Sie den Abschnitt CPA-Verbund für jeden Pod-Verbund und geben Sie die entsprechenden Werte für diesen Netzwerkbereich ein.
    Option Beschreibung
    FQDN für Client-Zugriff Der vollqualifizierte Domänenname (FQDN) des Servers, auf den Clients verweisen, die auf globale Berechtigungen auf diesem Pod-Verbund zugreifen, wenn die Anforderungen aus diesem Netzwerkbereich stammen. Bei diesem Wert handelt es sich in der Regel um den globalen Lastausgleichsdienst der Pod-Verbund-Bereitstellung.

    Beispiel: globallb.example.com

    Der Clientzugriffs-FQDN für einen Pod-Verbund wird verwendet, um Ressourcen mit globalen Berechtigungen zu starten.

    Port Der Serverport.
    Artefakt in JWT umschließen Wenn der Workspace ONE Access-Dienst in ein Validierungs-Gateway integriert ist, z. B. F5, muss diese Option aktiviert sein, um Horizon-Ressourcen zu authentifizieren, die Benutzern zugewiesen sind. Siehe Starten von Horizon-Ressourcen durch Validierung von Gateways.
    Zielgruppe in JWT Siehe Starten von Horizon-Ressourcen durch Validierung von Gateways.
  9. Klicken Sie auf Speichern.
  10. Wiederholen Sie diese Schritte, um bei Bedarf die anderen Netzwerkbereiche zu bearbeiten.
    Wichtig: Vergewissern Sie sich, dass für jeden Netzwerkbereich in Ihrer Umgebung ein Clientzugriffs-FQDN festgelegt ist. Wenn für einen Netzwerkbereich der Clientzugriffs-FQDN fehlt, können Benutzer, die über diesen Netzwerkbereich auf Ressourcen zugreifen, ihre Horizon Desktops und Anwendungen nicht starten.