Bevor Sie Ihren Horizon Cloud-Mandanten in Workspace ONE Access integrieren, stellen Sie sicher, dass Sie die in diesem Thema aufgeführten Voraussetzungen erfüllen. Diese Informationen gelten für die Workspace ONE Access-Integration in Horizon Cloud Service-Umgebungen mit aktiviertem Single-Pod-Brokering für die in Microsoft Azure bereitgestellten Pods oder den Horizon Cloud Service in IBM Cloud-Umgebungen.

  • Stellen Sie sicher, dass Sie über die folgenden Komponenten verfügen:
    • Ein Workspace ONE Access-Mandant
    • Ein lokal installierter Workspace ONE Access Connector

      Installieren Sie Workspace ONE Access Version des 19.03.0.1. Weitere Informationen finden Sie unter Installieren und Konfigurieren von VMware Identity Manager Connector 19.03 (Windows).

      Wichtig: Installieren Sie Version 20.10 oder 20.01 nicht, da diese Versionen keine virtuellen Apps unterstützen.
    • Ein oder mehrere Horizon Cloud-Mandanten, auf die vom Workspace ONE Access Connector aus zugegriffen werden kann
  • Stellen Sie sicher, dass jeder Horizon Cloud-Mandant die im Folgenden aufgeführten Anforderungen erfüllt.
    • Beim Mandantennamen muss es sich um einen vollqualifizierten Domänennamen (FQDN) und nicht nur um ein Hostnamen handeln. Beispiel: server-ta1.example.com anstelle von server-ta1.
    • Die Mandanten-Appliances müssen über gültige, signierte Zertifikate verfügen, die von einer Zertifizierungsstelle ausgestellt wurden. Das Zertifikat muss dem FQDN der Mandanten-Appliance entsprechen. Wenn die Mandanten-Appliances über selbst signierte Zertifikate verfügen, müssen Sie das selbst signierte Zertifikat als vertrauenswürdiges Stammzertifikat in Workspace ONE Access hochladen. Wenn Sie mehrere Horizon-Cloud-Mandanten integrieren, müssen Sie sicherstellen, dass alle Zertifikate über dasselbe Stammzertifikat verfügen, da nur ein Stammzertifikat auf Workspace ONE Access hochgeladen werden kann.
  • Stellen Sie sicher, dass die Horizon Cloud-Mandanten und der Workspace ONE Access-Dienst zeitsynchronisiert sind. Ist dies nicht der Fall, kann ein SAML-Fehler auftreten, wenn Benutzer Horizon Cloud-Desktops und -Anwendungen ausführen.
  • Erstellen und konfigurieren Sie Desktop- und Anwendungspools (auch als „Zuweisungen“ bezeichnet) in der Verwaltungskonsole des Horizon Cloud-Mandanten. Sie können folgende Arten von Pools im Horizon Cloud-Mandanten erstellen:
    • Dynamische Desktop-Pools, auch als „Zuweisungen unverankerter Desktops“ bezeichnet
    • Statische Desktop-Pools, auch als „Zuweisungen zugewiesener Desktops“ bezeichnet
    • Sitzungsbasierte Pools mit Desktops, auch als „Zuweisungen von Sitzungs-Desktops“ bezeichnet
    • Sitzungsbasierte Pools mit Anwendungen, auch als „Zuweisungen von Remoteanwendungen“ bezeichnet

      Weitere Informationen zu diesen Pooltypen finden Sie in der Horizon Cloud-Dokumentation.

  • Legen Sie Benutzer- und Gruppenberechtigungen für Horizon Cloud-Desktops und -Anwendungen in der Verwaltungskonsole des Horizon Cloud-Mandanten fest.
    Hinweis: Es werden nur Berechtigungen für Benutzer einer registrierten Gruppe synchronisiert. Für Benutzer, die keiner Gruppe angehören, werden deren Berechtigungen nicht in Workspace ONE Access angezeigt.
  • Stellen Sie in der Workspace ONE Access-Konsole sicher, dass mithilfe der Verzeichnissynchronisierung Benutzer und Gruppen mit Horizon Cloud-Berechtigungen von Active Directory mit Workspace ONE Access synchronisiert werden.

    Befolgen Sie diese Richtlinien:

    • Wenn Sie mehrere Horizon-Cloud-Mandanten integrieren möchten, stellen Sie sicher, dass Sie alle relevanten Verzeichnisse und Domänen zu Workspace ONE Access hinzufügen, damit Benutzer mit Berechtigungen in einem der Horizon Cloud-Mandanten mit Workspace ONE Access synchronisiert werden.
    • „sAMAccountName“ muss als Verzeichnissuchattribut für das Verzeichnis in Workspace ONE Access festgelegt sein.
    • distinguishedName muss als erforderliches Attribut für das Workspace ONE Access-Verzeichnis festgelegt und dem Active Directory-Attribut distinguishedName zugeordnet werden.

      Attribute müssen vor dem Erstellen des Verzeichnisses als erforderlich gekennzeichnet werden. Nachdem das Verzeichnis erstellt wurde, können die Attribute nicht mehr von optional auf erforderlich geändert werden.

      1. Navigieren Sie in der Workspace ONE Access-Konsole zur Seite Identitäts- und Zugriffsmanagement > Einrichten > Benutzerattribute.
      2. Aktivieren Sie unter Standardattribute das Kontrollkästchen Erforderlich für distinguishedName.
      3. Klicken Sie auf Speichern.
      4. Ordnen Sie beim Erstellen des Verzeichnisses das Attribut distinguishedName dem Active Directory-Attribut distinguishedName zu.