Konfigurieren Sie Horizon-Pods und Pod-Verbünde in der VMware Identity Manager-Konsole, um Ressourcen und Berechtigungen mit dem VMware Identity Manager-Dienst zu synchronisieren.

Zum Konfigurieren der Pods und Pod-Verbünde erstellen Sie eine oder mehrere Sammlungen virtueller Apps auf der Seite Katalog > Virtuelle Apps und geben Konfigurationsinformationen ein, zum Beispiel die Horizon-Verbindungsserver, von denen aus Ressourcen und Berechtigungen synchronisiert werden sollen, Details zu Pod-Verbünden, den VMware Identity Manager Connector, der für die Synchronisierung verwendet werden soll, sowie Administratoreinstellungen wie der Standardclient für den Start.

Sie können alle Horizon-Pods und Pod-Verbünde einer Sammlung hinzufügen, oder Sie können mehrere Sammlungen erstellen, die Ihren Bedürfnissen entsprechen. Beispielsweise können Sie für eine einfachere Verwaltung für jeden Pod-Verbund oder jeden Pod eine separate Sammlung erstellen. Dies ist ebenfalls hilfreich, um die Synchronisierung auf verschiedene Konnektoren zu verteilen. Oder Sie können alle Pods und jeden Pod-Verbund in einer Sammlung für Testzwecke zusammenfassen und eine andere identische Sammlung für Ihre Produktionsumgebung nutzen.

Nach dem Hinzufügen der Pods konfigurieren Sie die Clientzugriff-URLs für spezifische Netzwerkbereiche.
Wichtig: Wenn Sie Einstellungen oder die SAML-Konfiguration auf dem Horizon-Server ändern, stellen Sie sicher, dass Sie die Seite „Virtuelle Horizon-Apps“ in der VMware Identity Manager-Konsole bearbeiten und auf „Speichern“ klicken, um die aktuellen Horizon-Einstellungen im VMware Identity Manager-Dienst zu aktualisieren.

Voraussetzungen

Prozedur

  1. Melden Sie sich bei der VMware Identity Manager-Konsole an.
  2. Wählen Sie die Registerkarte Katalog > Virtuelle Apps und klicken Sie dann auf Konfiguration virtueller Apps.
  3. Klicken Sie auf Virtuelle Anwendungen hinzufügen und wählen Sie Horizon View On-Premises.
  4. Geben Sie einen eindeutigen Namen für die Sammlung ein.
  5. Wählen Sie aus dem Dropdown-Menü Synchronisierungskonnektoren den Konnektor, mit dessen Hilfe Sie die Ressourcen dieser Sammlung synchronisieren möchten.

    Wenn Sie zum Zweck der Hochverfügbarkeit mehrere Konnektoren eingerichtet haben, klicken Sie auf Konnektor hinzufügen und wählen Sie die anderen Konnektoren aus. Die Reihenfolge, in der die Konnektoren aufgeführt sind, bestimmt die Failover-Reihenfolge.

  6. Geben Sie im Abschnitt Horizon-Pods die Konfigurationsinformationen für die Horizon-Pods an, die Sie dieser Sammlung hinzufügen.
    Verbindungsserver Geben Sie den vollqualifizierten Hostnamen der Horizon-Verbindungsserver-Instanz ein, wie z. B. connectionserver.example.com. Der Domänenname muss exakt mit dem Namen der Domäne übereinstimmen, der Sie die Horizon-Verbindungsserver-Instanz hinzugefügt haben.
    Benutzername Geben Sie den Administrator-Benutzernamen für den Pod ein. Der Benutzer muss über die Administratorrolle in Horizon verfügen.
    Kennwort Geben Sie das Administratorkennwort für den Pod ein.
    Smartcard-Authentifizierung Wenn die Benutzer für die Anmeldung bei dem Pod anstelle von Kennwörtern die Smartcard-Authentifizierung verwenden, aktivieren Sie das Kontrollkästchen.
    True SSO aktiviert

    Wählen Sie diese Option, wenn True SSO für Horizon aktiviert wurde. Diese Option steht nur für Horizon-Versionen zur Verfügung, die die True-SSO-Funktion unterstützen.

    Wenn die True-SSO-Anmeldung in Horizon konfiguriert wurde, müssen Benutzer kein Kennwort eingeben, wenn sie sich bei ihren Windows-Desktops anmelden. Wenn jedoch Benutzer bei VMware Identity Manager mithilfe einer Authentifizierungsmethode ohne Kennwort (z. B. SecurID) angemeldet sind, werden sie zur Eingabe eines Kennworts aufgefordert, wenn sie ihre Windows-Desktops starten. Durch Auswahl dieser Option wird in einem solchen Fall das Dialogfeld zur Kennworteingabe unterdrückt.

    Lokale Berechtigungen synchronisieren Wenn für den Pod lokale Berechtigungen konfiguriert wurden, aktivieren Sie diese Option.
    Zum Beispiel:
    Pods hinzufügen

  7. Um mehrere Pods der Sammlung hinzuzufügen, klicken Sie auf Pod hinzufügen und geben Sie die Konfigurationsinformationen für jeden Pod ein.
  8. Um einen Pod-Verbund hinzuzufügen, gehen Sie wie folgt vor.
    1. Aktivieren Sie das Kontrollkästchen Aktivieren im Abschnitt Konfiguration der Horizon Cloud-Pod-Architektur.
    2. Geben Sie die Konfigurationsinformationen für den Pod-Verbund ein.
      Option Beschreibung
      Verbundname Der Name für den Pod-Verbund.
      Horizon-Pods hinzufügen Wählen Sie alle Pods, die zum Pod-Verbund gehören. In der Liste werden alle Pods angezeigt, die Sie der Sammlung hinzugefügt haben.

      Wählen Sie einen einzelnen Pod und klicken Sie auf Zur Liste hinzufügen.

      Ausgewählte Pods Sie können die Pods neu anordnen oder entfernen.
      Start-URL Die globale Start-URL wird für den Start von Desktops und Anwendungen mit globalen Berechtigungen verwendet. Beispiel: federationA.example.com.

      Die Start-URL ist in der Regel die globale Lastausgleichsdienst-URL des Pod-Verbunds. Sie können die Start-URL später für bestimmte Netzwerkbereiche im Rahmen der Konfiguration anpassen.

    3. Um einen anderen Pod-Verbund hinzuzufügen, klicken Sie auf Verbund hinzufügen und geben die Konfigurationsinformationen ein.
    Hinweis: Aktivieren Sie diese Option nicht, wenn die Sammlung nur einzelne Horizon-Pods enthält, die nicht zu einem Pod-Verbund gehören.
    Zum Beispiel:
    Pod-Verbund hinzufügen

  9. Aktivieren Sie das Kontrollkästchen Keine doppelten Anwendungen synchronisieren, um zu verhindern, dass doppelte Anwendungen von mehreren Servern synchronisiert werden.
    Wenn VMware Identity Manager in mehreren Datencentern bereitgestellt wird, werden die gleichen Ressourcen in mehreren Datencentern eingerichtet. Wenn Sie diese Option auswählen, wird verhindert, dass die Desktop- oder Anwendungspools in Ihrem VMware Identity Manager-Katalog dupliziert werden.
  10. Aktivieren Sie das Kontrollkästchen für Konfigurieren des Horizon-Verbindungsservers 5.x, wenn Sie einen View-Verbindungsserver 5 konfigurieren.x Instanzen.

    Die Auswahl dieser Option aktiviert eine alternative Methode zur Synchronisierung von Ressourcen, die für View 5 erforderlich ist.x

    Hinweis: Wenn Sie die Option Verzeichnissynchronisierung durchführen wählen, wird auch automatisch die Option Konfigurieren des Horizon-Verbindungsservers 5.x ausgewählt, weil beide Optionen auf der alternativen Methode zur Synchronisierung von Ressourcen basieren.
  11. Aktivieren Sie das Kontrollkästchen Verzeichnissynchronisierung durchführen, um die Verzeichnissynchronisierung als Bestandteil der Ressourcensynchronisierung durchzuführen, wenn Benutzer und Gruppen, die für Horizon-Pools in den Horizon Connection Server-Instanzen berechtigt sind, im VMware Identity Manager-Verzeichnis fehlen.

    Die Option „Verzeichnissynchronisierung durchführen“ kann nicht für Pod-Verbünde verwendet werden. Wenn Benutzer und Gruppen mit globalen Berechtigungen im VMware Identity Manager-Verzeichnis fehlen, wird die Verzeichnissynchronisierung nicht ausgelöst.

    Benutzer und Gruppen, die durch diesen Prozess synchronisiert werden, können genauso wie alle anderen Benutzer verwaltet werden, die bei der VMware Identity Manager-Verzeichnissynchronisierung hinzugefügt wurden.

    Wichtig: Die Synchronisierung dauert mit der Option „Verzeichnissynchronisierung durchführen“ länger.
    Hinweis: Wenn diese Option ausgewählt ist, wird auch automatisch die Option Konfigurieren des Horizon-Verbindungsservers 5.x ausgewählt, weil beide Optionen auf der alternativen Methode zur Synchronisierung von Ressourcen basieren.
  12. Wählen Sie aus der Dropdown-Liste Standardclient für den Start den Standardclient für den Start von Horizon-Anwendungen oder -Desktops aus.
    Option Beschreibung
    KEINE Auf der Administratorebene ist keine Standardeinstellung festgelegt. Wenn für diese Option Keine ausgewählt wird und auch keine Endbenutzereinstellung festgelegt ist, bestimmt die Horizon-Einstellung für Standardanzeigeprotokoll, wie der Desktop oder die Anwendung gestartet wird.
    BROWSER Horizon-Desktops und -Anwendungen werden standardmäßig in einem Webbrowser gestartet. Endbenutzereinstellungen haben, sofern festgelegt, Vorrang vor dieser Einstellung.
    NATIV Horizon-Desktops und -Anwendungen werden standardmäßig in Horizon Client gestartet. Endbenutzereinstellungen haben, sofern festgelegt, Vorrang vor dieser Einstellung.

    Diese Einstellung gilt für alle Benutzer sämtlicher Ressourcen in dieser Sammlung.

    Für die standardmäßigen Starteinstellungen des Clients gilt die folgende Rangfolge (von der höchsten zur niedrigsten):

    1. Im Workspace ONE-Portal festgelegte Endbenutzereinstellung. Diese Option ist nicht in der Workspace ONE-App verfügbar.
    2. Administratoreinstellung für Standardclient für den Start für die Sammlung, festgelegt in der VMware Identity Manager-Konsole.
    3. Horizon-Einstellung Remote-Anzeigeprotokoll > Standardanzeigeprotokoll für den Desktop- oder Anwendungspool, festgelegt in Horizon Administrator. Wenn Sie z. B. für das Anzeigeprotokoll PCoIP festlegen, wird die Anwendung oder der Desktop in Horizon Client gestartet.
  13. Wählen Sie aus dem Dropdown-Menü Synchronisierungshäufigkeit, wie oft Sie die Ressourcen dieser Sammlung synchronisieren möchten.
    Sie können einen festen Zeitraum für eine regelmäßige Synchronisierung festlegen oder eine manuelle Synchronisierung auswählen. Wenn Sie Manuell auswählen, müssen Sie auf der Seite „Konfiguration virtueller Apps“ Synchronisierung anklicken, nachdem die Sammlung eingerichtet wurde und immer dann, wenn sich Ihre View-Ressourcen oder -Berechtigungen geändert haben.
  14. Wählen Sie in der Dropdown-Liste Aktivierungsrichtlinie aus, wie Horizon-Ressourcen den Benutzern in Workspace ONE zur Verfügung gestellt werden sollen.
    Mit den Optionen Benutzer aktiviert und Automatisch werden die Ressourcen zur Seite „Katalog“ hinzugefügt. Benutzer können die Ressourcen über die Seite „Katalog“ ausführen oder sie zur Seite „Lesezeichen“ verschieben. Wenn jedoch ein Genehmigungsprozess für eine der Apps eingerichtet werden muss, müssen Sie „Benutzer aktiviert“ für die App auswählen.

    Die Aktivierungsrichtlinie, die Sie auf dieser Seite auswählen, gilt für alle Benutzerberechtigungen für sämtliche Ressourcen in der Sammlung. Auf der Seite „Berechtigungen“ der Anwendung oder des Desktops können Sie die Aktivierungsrichtlinie für einzelne Benutzer oder Gruppen pro Ressource ändern.

    Das Festlegen der Aktivierungsrichtlinie für die Sammlung auf Benutzer aktiviert wird empfohlen, wenn Sie beabsichtigen, einen Genehmigungsprozess einzurichten.

  15. Klicken Sie auf Speichern.
    Die Sammlung wird erstellt und auf der Seite „Konfiguration virtueller Apps“ angezeigt. Die Ressourcen in der Sammlung werden noch nicht synchronisiert.
  16. Um die Ressourcen in der Sammlung mit VMware Identity Manager zu synchronisieren, klicken Sie auf der Seite „Konfiguration virtueller Apps“ auf Synchronisieren.
    Jedes Mal, wenn Sie Einstellungen in Horizon ändern, z. B. eine Berechtigung oder einen Benutzer hinzufügen, ist eine Synchronisierung erforderlich, um die Änderungen an VMware Identity Manager weiterzugeben.
  17. Konfigurieren von Client-Zugriffs-URLs für Pods und Pod-Verbünde.
    Sie passen die URLs für bestimmte Netzwerkbereiche an. Beispielsweise werden in der Regel für den internen und für den externen Zugriff unterschiedliche Start-URLs festgelegt.
    1. Überprüfen Sie Ihre Netzwerkbereiche und erstellen Sie bei Bedarf neue.
      • Klicken Sie auf die Registerkarte Identitäts- und Zugriffsmanagement > Richtlinien.
      • Klicken Sie auf Netzwerkbereiche.
      • Überprüfen Sie die Netzwerkbereiche und klicken Sie auf Netzwerkbereich hinzufügen, um bei Bedarf neue Bereiche hinzuzufügen.
    2. Klicken Sie auf die Registerkarte Katalog > Virtuelle Apps und dann auf Einstellungen für virtuelle Apps.
    3. Klicken Sie auf Netzwerkeinstellungen.
    4. Wählen Sie den Netzwerkbereich aus, den Sie konfigurieren möchten.
      Im Abschnitt View CPA-Verbund wird die globale Start-URL der Pod-Verbünde aufgeführt, die der Sammlung hinzugefügt wurden. Der Abschnitt View-Pod enthält alle View-Pods, die Sie der Sammlung hinzugefügt haben und für die die Option „Lokale Berechtigungen synchronisieren“ ausgewählt wurde.

      Netzwerkbereiche

    5. Geben Sie im Abschnitt View CPA-Verbund für die globale Start-URL den vollqualifizierten Domänennamen des Servers ein, an den Startanforderungen für globale Berechtigungen aus diesem Netzwerkbereich weitergeleitet werden sollen. Dabei handelt es sich in der Regel um die globale Lastausgleichsdienst-URL der View-Pod-Verbund-Bereitstellung.

      Beispiel: lb.example.com

      Die globale Start-URL wird für den Start von Ressourcen mit globalen Berechtigungen verwendet.

    6. Geben Sie im Abschnitt View-Pod für jeden Pod den vollqualifizierten Domänennamen des Servers an, an den Startanforderungen für lokale Berechtigungen aus diesem Netzwerkbereich weitergeleitet werden sollen. Sie können eine Horizon-Verbindungsserver-Instanz, einen Lastausgleichsdienst oder einen Sicherheitsserver angeben. Bei der Bearbeitung eines Bereichs für den internen Zugriff geben Sie beispielsweise den internen Lastausgleichsdienst für den Pod an.

      Beispiel: lb.example.com

      Die URL für den Client-Zugriff wird für den Start von Ressourcen mit lokalen Berechtigungen aus dem Pod verwendet.

      Hinweis: Informationen zu den Optionen Artefakt in JWT umschließen und Zielgruppe in JWT finden Sie unter Starten von Horizon-Ressourcen durch Validierung von Gateways.
    7. Klicken Sie auf Fertig stellen.