Um Horizon Cloud-Mandanten in den VMware Identity Manager-Dienst zu integrieren, erstellen Sie in der VMware Identity Manager-Konsole eine Sammlung virtueller Apps, die Horizon Cloud-Mandanteninformationen sowie Synchronisierungseinstellungen enthält, und synchronisieren Sie Ressourcen und Berechtigungen von dem Horizon Cloud-Mandanten mit dem VMware Identity Manager-Dienst.

Wenn Sie über mehrere Horizon Cloud-Mandanten verfügen, können Sie separate virtuelle Apps-Sammlungen für jeden Mandanten erstellen, oder Sie konfigurieren alle Mandanten in einer einzelnen Sammlung, die Ihren Anforderungen entspricht. Jede Sammlung wird separat synchronisiert.

Voraussetzungen

Prozedur

  1. Melden Sie sich bei der VMware Identity Manager-Konsole an.
  2. Wählen Sie die Registerkarte Katalog > Virtuelle Apps und klicken Sie dann auf Konfiguration virtueller Apps.
  3. Klicken Sie auf Virtuelle Anwendungen hinzufügen und wählen Sie Horizon Cloud.
  4. Geben Sie einen eindeutigen Namen für die Sammlung ein.
  5. Wählen Sie aus dem Dropdown-Menü Synchronisierungskonnektoren den Konnektor, mit dessen Hilfe Sie die Ressourcen dieser Sammlung synchronisieren möchten.

    Wenn Sie zum Zweck der Hochverfügbarkeit mehrere Konnektoren eingerichtet haben, klicken Sie auf Konnektor hinzufügen und wählen Sie die Konnektoren aus. Die Reihenfolge, in der die Konnektoren aufgeführt sind, bestimmt die Failover-Reihenfolge.

  6. Geben Sie im Abschnitt Mandanten die Informationen über den Horizon Cloud-Mandanten ein.
    Wichtig: Verwenden Sie beim Eingeben Ihrer Domäneninformationen ausschließlich ASCII-Zeichen.
    Option Beschreibung
    Mandantenhost Vollqualifizierter Domänenname Ihres Horizon Cloud-Mandantenhosts. Beispiel: tenant1.example.com
    Mandantenport Portnummer Ihres Horizon Cloud-Mandantenhosts. Beispiel: 443
    Admin-Benutzer Benutzername für Ihr Horizon Cloud-Mandantenadministratorkonto. Beispiel: tenantadmin
    Administratorkennwort Kennwort für Ihr Horizon Cloud-Mandantenadministratorkonto.
    Administratordomäne Name der Active Directory NetBIOS-Domäne, in der sich der Horizon Cloud-Mandantenadministrator befindet.
    Zu synchronisierende Domänen NETBIOS-Domänennamen für Active Directory zum Synchronisieren der Ressourcen und Berechtigungen in Horizon Cloud.
    Hinweis: Für dieses Feld muss die Groß-/Kleinschreibung beachtet werden. Stellen Sie sicher, dass bei der Eingabe der Namen Groß- und Kleinbuchstaben korrekt verwendet werden.
    Assertion Consumer Service-URL

    Die URL, an die die SAML-Assertion gesendet werden soll. Diese URL ist typischerweise die unverankerte IP-Adresse oder der Hostname oder die Unified Access Gateway-URL des Horizon Cloud-Mandanten. Beispiel: https://mytenant.example.com.

    True SSO für Horizon Cloud aktiviert Aktivieren Sie diese Option, wenn True SSO für den Horizon Cloud-Mandanten aktiviert wurde.

    Wenn die True-SSO im Horizon Cloud-Mandanten aktiviert wurde, müssen Benutzer kein Kennwort eingeben, wenn sie sich bei ihren Windows-Desktops anmelden.

    Wenn jedoch Benutzer bei VMware Identity Manager mithilfe einer Authentifizierungsmethode ohne Kennwort (z. B. SecurID) angemeldet sind, werden sie zur Eingabe eines Kennworts aufgefordert, wenn sie ihre Windows-Desktops starten. Durch Auswahl dieser Option wird in einem solchen Fall das Dialogfeld zur Kennworteingabe unterdrückt.

    Benutzerdefinierte ID-Zuordnung Sie können die Benutzer-ID, die in der SAML-Antwort verwendet wird, wenn Benutzer Horizon Cloud-Anwendungen und -Desktops starten, anpassen. Standardmäßig wird der Benutzerprinzipalname (User Principal Name, UPN) verwendet. Sie können auch andere Formate für die Namens-ID-wie z. B. sAMAccountName oder die E-Mail-Adresse verwenden und den Wert anpassen.

    Namens-ID-Format: Wählen Sie das Namens-ID-Format aus, z. B. die E-Mail-Adresse oder den Benutzerprinzipalnamen. Der Standardwert lautet Nicht angegeben (Benutzername).

    Wert der Namens-ID: Klicken Sie auf Aus Vorschlägen auswählen und wählen Sie aus einer vordefinierten Liste von Werten aus oder klicken Sie auf Benutzerdefinierter Wert und geben Sie den Wert ein. Dieser Wert kann jeder gültige EL-Ausdruck (Expression Language) wie z. B. ${user.userName}@${user.domain} sein. Der Standardwert lautet ${user.userPrincipalName}.
    Hinweis: Stellen Sie sicher, dass es sich bei den Attributen, die Sie in dem Ausdruck verwenden, um Attribute handelt, die in dem VMware-Verzeichnis zugeordnet sind. Sie können die zugeordneten Attribute in der Registerkarte „Synchronisierungseinstellungen für das Verzeichnis“ anzeigen. Im obigen Beispiel sind „userName“, „userPrincipalName“ und die Domäne dem Verzeichnis zugeordnete Attribute.

    Die Möglichkeit der Auswahl des Namens-ID-Formats ist in folgenden Szenarien hilfreich:

    • Wenn Benutzer aus mehreren Unterdomänen synchronisiert werden, funktioniert der Benutzerprinzipalname möglicherweise nicht. Sie können für die eindeutige Identifizierung von Benutzern ein anderes Namens-ID-Format wie z. B. sAMAccountName oder die E-Mail-Adresse verwenden.
    Wichtig: Stellen Sie sicher, dass die Einstellung für das Namens-ID-Format in Horizon Cloud und VMware Identity Manager identisch ist.
    Zum Beispiel:
    Horizon Cloud-Profil hinzufügen

  7. Um einen anderen Mandanten für Horizon Cloud hinzuzufügen, klicken Sie auf Mandanten hinzufügen und geben die Konfigurationsinformationen für den Mandanten ein.
  8. Wählen Sie aus der Dropdown-Liste Standardclient für den Start den Standardclient für den Start von Horizon Cloud-Anwendungen oder -Desktops aus.
    Option Beschreibung
    KEINE Auf der Administratorebene ist keine Standardeinstellung festgelegt. Wenn für diese Option Keine ausgewählt wurde und auch keine Endbenutzereinstellung festgelegt ist, bestimmt die Standardprotokolleinstellung von Horizon Cloud, wie der Desktop oder die Anwendung gestartet wird.
    BROWSER Horizon Cloud-Desktops und -Anwendungen werden standardmäßig in einem Webbrowser gestartet. Endbenutzereinstellungen haben, sofern festgelegt, Vorrang vor dieser Einstellung.
    NATIV Horizon Cloud-Desktops und -Anwendungen werden standardmäßig in Horizon Client gestartet. Endbenutzereinstellungen haben, sofern festgelegt, Vorrang vor dieser Einstellung.

    Diese Einstellung gilt für alle Benutzer sämtlicher Horizon Cloud-Ressourcen in dieser Sammlung.

    Für die standardmäßigen Starteinstellungen des Clients gilt die folgende Rangfolge (von der höchsten zur niedrigsten):

    1. Im Workspace ONE-Portal festgelegte Endbenutzereinstellung. Diese Option ist nicht in der Workspace ONE-App verfügbar.
    2. Administratoreinstellung für Standardclient für den Start für die Sammlung, festgelegt in der VMware Identity Manager-Konsole.
    3. Standardprotokolleinstellungen von Horizon Cloud
  9. Wählen Sie aus dem Dropdown-Menü Synchronisierungshäufigkeit, wie oft Sie die Ressourcen dieser Sammlung synchronisieren möchten.
    Sie können einen festen Zeitraum für eine regelmäßige Synchronisierung festlegen oder eine manuelle Synchronisierung auswählen. Wenn Sie Manuell auswählen, müssen Sie auf der Seite „Konfiguration virtueller Apps“ Synchronisieren anklicken, nachdem die Sammlung eingerichtet wurde und immer dann, wenn sich Ihre Horizon Cloud-Ressourcen oder -Berechtigungen geändert haben.
  10. Wählen Sie in der Dropdown-Liste Aktivierungsrichtlinie aus, wie Horizon Cloud-Ressourcen den Benutzern in Workspace ONE zur Verfügung gestellt werden sollen.
    Mit den Optionen Benutzer aktiviert und Automatisch werden die Ressourcen zur Seite „Katalog“ hinzugefügt. Benutzer können die Ressourcen über die Seite „Katalog“ ausführen oder sie zur Seite „Lesezeichen“ verschieben. Wenn jedoch ein Genehmigungsprozess für eine der Apps eingerichtet werden muss, müssen Sie „Benutzer aktiviert“ für die App auswählen.

    Die Aktivierungsrichtlinie, die Sie auf dieser Seite auswählen, gilt für alle Benutzerberechtigungen für sämtliche Ressourcen in der Sammlung. Auf der Seite „Berechtigungen“ der Anwendung oder des Desktops können Sie die Aktivierungsrichtlinie für einzelne Benutzer oder Gruppen pro Ressource ändern.

    Das Festlegen der Aktivierungsrichtlinie für die Sammlung auf Benutzer aktiviert wird empfohlen, wenn Sie beabsichtigen, einen Genehmigungsprozess einzurichten.

  11. Klicken Sie auf Speichern.
    Die Sammlung wird erstellt und auf der Seite „Virtuelle Apps“ angezeigt.
  12. Für die Synchronisierung der Ressourcen und Berechtigungen in der Sammlung klicken Sie auf der Seite „Konfiguration virtueller Apps“ auf Synchronisieren.
    Bei jeder Änderung von Ressourcen oder Berechtigungen in Horizon Cloud ist eine Synchronisierung erforderlich, um die Änderungen an VMware Identity Manager weiterzugeben.

Nächste Maßnahme

Konfigurieren Sie die SAML-Authentifizierung beim Horizon Cloud-Mandanten, um eine Vertrauensstellung zwischen dem VMware Identity Manager-Dienst und dem Horizon Cloud-Mandanten zu aktivieren.