Bevor Sie Ihren Horizon Cloud-Mandanten in Workspace ONE Access integrieren, stellen Sie sicher, dass Sie die in diesem Thema aufgeführten Voraussetzungen erfüllen. Diese Informationen gelten für die Workspace ONE Access-Integration in Horizon Cloud Service on Microsoft Azure mit Einzel-Pod-Broker- und Horizon Cloud Service on IBM Cloud-Umgebungen unter Verwendung von Workspace ONE Access Connector 22.05 oder höher.
- Stellen Sie sicher, dass Sie über die folgenden Komponenten verfügen:
- Ein Workspace ONE Access-Mandant
- Ein oder mehrere Horizon Cloud-Mandanten
- Eine oder mehrere Instanzen des Diensts „Virtuelle App“ (Version 22.05 oder höher), die lokal bereitgestellt werden. Der Dienst „Virtuelle App“ ist eine Komponente von Workspace ONE Access Connector.
Wichtig:
- In der Workspace ONE Access Connector-Version 22.05 und 22.09 bietet der Dienst „Virtuelle App“ keine Unterstützung für den FIPS-Modus (Federal Information Processing Standards). Zur Verwendung des Diensts „Virtuelle App“ müssen Sie den Workspace ONE Access Connector im Nicht-FIPS-Modus installieren.
- Alle Virtual App-Dienstinstanzen müssen die Horizon Cloud-Mandanten erreichen können.
- Eine oder mehrere Instanzen des Verzeichnissynchronisierungsdiensts, die lokal bereitgestellt werden. Der Verzeichnissynchronisierungsdienst ist eine Komponente des Workspace ONE Access Connectors und synchronisiert Benutzer und Gruppen aus Active Directory mit Workspace ONE Access.
- Stellen Sie sicher, dass jeder Horizon Cloud-Mandant die im Folgenden aufgeführten Anforderungen erfüllt.
- Beim Mandantennamen muss es sich um einen vollqualifizierten Domänennamen (FQDN) und nicht nur um ein Hostnamen handeln. Beispiel: server-ta1.example.com anstelle von server-ta1.
- Die Mandanten-Appliances müssen über gültige, signierte Zertifikate verfügen, die von einer Zertifizierungsstelle ausgestellt wurden. Das Zertifikat muss dem FQDN der Mandanten-Appliance entsprechen. Wenn die Mandanten-Appliances über selbst signierte Zertifikate verfügen, müssen Sie die selbst signierten Zertifikate als vertrauenswürdige Stammzertifikate in Workspace ONE Access Connector hochladen. Sie können die Zertifikate hochladen, indem Sie das Connector-Installationsprogramm erneut ausführen und die Zertifikate auf der Seite „Vertrauenswürdige Stammzertifikate installieren“ hochladen.
- Stellen Sie sicher, dass die zugrunde liegenden Horizon-Server des Horizon Cloud-Mandanten über gültige Zertifikate verfügen, die von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert wurden. Wenn Sie keine von einer Zertifizierungsstelle signierten Zertifikate erhalten haben und selbstsignierte Zertifikate vorübergehend zu Testzwecken verwenden, müssen Sie die Stammzertifikate mithilfe des Workspace ONE Access Connector-Installationsprogramms in den Trust Store des Diensts „Virtuelle App“ hochladen und dann den Dienst „Virtuelle App“ neu starten.
- Wenn der Workspace ONE Access Connector einen ausgehenden Proxyserver verwendet, muss der Proxyserver über ein gültiges, von einer Zertifizierungsstelle signiertes Zertifikat verfügen. Wenn der Proxy-Server über ein selbstsigniertes Zertifikat verfügt, müssen Sie sein Root-Zertifikat als vertrauenswürdiges Root-Zertifikat auf den Connector hochladen.
- Stellen Sie sicher, dass die Horizon Cloud-Mandanten und der Workspace ONE Access-Dienst zeitsynchronisiert sind. Ist dies nicht der Fall, kann ein SAML-Fehler auftreten, wenn Benutzer Horizon Cloud-Desktops und -Anwendungen ausführen.
- Erstellen und konfigurieren Sie Desktop- und Anwendungspools, die als „Zuweisungen“ bezeichnet werden, in der Horizon Cloud-Konsole. Sie können folgende Arten von Pools im Horizon Cloud-Mandanten erstellen:
- Dynamische Desktop-Pools, auch als „Zuweisungen unverankerter Desktops“ bezeichnet
- Statische Desktop-Pools, auch als „Zuweisungen zugewiesener Desktops“ bezeichnet
- Sitzungsbasierte Pools mit Desktops, auch als „Zuweisungen von Sitzungs-Desktops“ bezeichnet
- Sitzungsbasierte Pools mit Anwendungen, auch als „Zuweisungen von Remoteanwendungen“ bezeichnet
Weitere Informationen zu diesen Pooltypen finden Sie in der Horizon Cloud-Dokumentation. Beachten Sie, dass diese Informationen für den Typ der Horizon Cloud-Umgebung spezifisch sein können.
- Legen Sie Benutzer- und Gruppenberechtigungen für Horizon Cloud-Desktops und -Anwendungen in der Horizon Cloud-Konsole fest.
- Stellen Sie in der Workspace ONE Access-Konsole sicher, dass mithilfe der Verzeichnissynchronisierung Benutzer und Gruppen mit Horizon Cloud-Berechtigungen von Active Directory mit Workspace ONE Access synchronisiert werden.
Befolgen Sie diese Richtlinien:
- Wenn Sie mehrere Horizon-Cloud-Mandanten integrieren möchten, stellen Sie sicher, dass Sie alle relevanten Verzeichnisse und Domänen zu Workspace ONE Access hinzufügen, damit Benutzer mit Berechtigungen in einem der Horizon Cloud-Mandanten mit Workspace ONE Access synchronisiert werden.
- „sAMAccountName“ muss als Verzeichnissuchattribut für das Verzeichnis in Workspace ONE Access festgelegt sein.
- Stellen Sie sicher, dass das Attribut „distinguishedName“ dem Active Directory-Attribut „distinguishedName“ zugeordnet ist.
- Navigieren Sie in der Workspace ONE Access-Konsole zur Seite .
- Wählen Sie das Verzeichnis aus, das die Benutzer und Gruppen mit Horizon Cloud Berechtigungen enthält.
- Klicken Sie auf der Verzeichnisseite auf Synchronisierungseinstellungen und wählen Sie dann die Option Zugeordnete Attribute.
- Stellen Sie sicher, dass das Attribut distinguishedName dem Active Directory-Attribut distinguishedName zugeordnet ist.
Hinweis: Benutzer müssen das Attribut „distinguishedName“ haben. Wenn das Attribut „distinguishedName“ für einen Benutzer nicht festgelegt wurde, ist der Benutzer möglicherweise nicht in der Lage, Desktops und Anwendungen auszuführen.