Zur Integration von Horizon Cloud-Mandanten mit dem Workspace ONE Access-Dienst erstellen Sie eine Sammlung virtueller Apps in der Workspace ONE Access-Konsole. Die Sammlung enthält Konfigurationsinformationen wie den Horizon Cloud-Mandanten, über den Zuweisungen synchronisiert werden sollen, die für die Synchronisierung zu verwendende Instanz des Diensts „Virtuelle App“ und Synchronisierungseinstellungen.

Wenn Sie über mehrere Horizon Cloud-Mandanten verfügen, können Sie je nach Ihren Anforderungen für jeden Mandanten eine separate Sammlung virtueller Apps erstellen oder alle Mandanten in einer einzelnen Sammlung konfigurieren. Jede Sammlung wird separat synchronisiert.

Hinweis: Dieses Thema gilt für die Workspace ONE Access-Integration in Horizon Cloud Service on Microsoft Azure mit Einzel-Pod-Broker oder Horizon Cloud Service on IBM Cloud unter Verwendung von Workspace ONE Access Connector 22.05 oder höher.

Voraussetzungen

Prozedur

  1. Melden Sie sich bei der Workspace ONE Access-Konsole an.
  2. Wählen Sie Ressourcen > Sammlungen virtueller Apps aus.
  3. Klicken Sie auf Neu.
  4. Wählen Sie Horizon Cloud als Quelltyp aus.

    Wählen Sie „Horizon Cloud“ aus.
  5. Geben Sie im Assistenten „Neue Horizon Cloud-Sammlung“ die folgenden Informationen auf der Seite „Connector“ ein.
    Option Beschreibung
    Name Geben Sie einen eindeutigen Namen für die Horizon Cloud-Sammlung ein.
    Connector Wählen Sie die Konnektoren aus, die zum Synchronisieren dieser Sammlung verwendet werden sollen. Sie können mehrere Konnektoren hinzufügen und sie in der Failover-Reihenfolge anordnen. Nur Konnektoren, auf denen der Dienst „Virtuelle App“ installiert ist, werden in der Liste angezeigt.
    Beispiel:
    Auf der Seite „Konnektor“ des Assistenten befindet sich eine Sammlung mit der Bezeichnung „Horizon Cloud-Desktops und -Apps“ und ein aktiver Connector vom Typ „connector1.example.com“.
  6. Klicken Sie auf Weiter.
  7. Klicken Sie auf der Seite „Mandant“ auf Mandant hinzufügen und geben Sie Ihre Horizon Cloud-Mandanteninformationen ein.
    Wichtig: Verwenden Sie beim Eingeben Ihrer Domäneninformationen ausschließlich ASCII-Zeichen.
    Option Beschreibung
    Host Vollqualifizierter Domänenname Ihres Horizon Cloud-Mandantenhosts. Beispiel: tenant1.example.com
    Port Portnummer Ihres Horizon Cloud-Mandantenhosts. Beispiel: 443
    Admin-Benutzer Benutzername für Ihr Horizon Cloud-Mandantenadministratorkonto. Beispiel: tenantadmin
    Administratorkennwort Kennwort für Ihr Horizon Cloud-Mandantenadministratorkonto.
    Administratordomäne Name der Active Directory NetBIOS-Domäne, in der sich der Horizon Cloud-Mandantenadministrator befindet.
    Zu synchronisierende Domänen NETBIOS-Domänennamen für Active Directory zum Synchronisieren der Ressourcen und Berechtigungen in Horizon Cloud.
    Assertion Consumer Service-URL

    Die URL, an die die SAML-Assertion gesendet werden soll. Diese URL ist typischerweise die unverankerte IP-Adresse oder der Hostname oder die Unified Access Gateway-URL des Horizon Cloud-Mandanten. Beispiel: https://mytenant.example.com.

    True SSO Wählen Sie diese Option nur aus, wenn True SSO für den Horizon Cloud-Mandanten aktiviert ist.

    Wenn diese Option aktiviert ist, werden Benutzer, die beim Intelligent Hub-Portal oder der -App mit einer Authentifizierungsmethode ohne Kennwort, wie z. B. SecurID, angemeldet sind, nicht zur Eingabe eines Kennworts aufgefordert, wenn sie Ihre Windows-Desktops starten.

    Benutzerdefinierte ID-Zuordnung Sie können die Benutzer-ID, die in der SAML-Antwort verwendet wird, wenn Benutzer Horizon Cloud-Anwendungen und -Desktops starten, anpassen. Standardmäßig wird der Benutzerprinzipalname (User Principal Name, UPN) verwendet. Sie können auch andere Formate für die Namens-ID-wie z. B. sAMAccountName oder die E-Mail-Adresse verwenden und den Wert anpassen.

    Namens-ID-Format: Wählen Sie das Namens-ID-Format aus, z. B. die E-Mail-Adresse oder den Benutzerprinzipalnamen. Der Standardwert lautet Nicht angegeben (Benutzername).

    Wert der Namens-ID: Klicken Sie auf Aus Vorschlägen auswählen und wählen Sie aus einer vordefinierten Liste von Werten aus oder klicken Sie auf Benutzerdefinierter Wert und geben Sie den Wert ein. Dieser Wert kann jeder gültige EL-Ausdruck (Expression Language) wie z. B. ${user.userName}@${user.domain} sein. Der Standardwert lautet ${user.userPrincipalName}.
    Hinweis: Stellen Sie sicher, dass es sich bei den Attributen, die Sie in dem Ausdruck verwenden, um Attribute handelt, die in dem VMware-Verzeichnis zugeordnet sind. Sie können die zugeordneten Attribute in der Registerkarte „Synchronisierungseinstellungen für das Verzeichnis“ anzeigen. Im obigen Beispiel sind „userName“, „userPrincipalName“ und die Domäne dem Verzeichnis zugeordnete Attribute.

    Die Möglichkeit der Auswahl des Namens-ID-Formats ist in folgenden Szenarien hilfreich:

    • Wenn Benutzer aus mehreren Unterdomänen synchronisiert werden, funktioniert der Benutzerprinzipalname möglicherweise nicht. Sie können für die eindeutige Identifizierung von Benutzern ein anderes Namens-ID-Format wie z. B. sAMAccountName oder die E-Mail-Adresse verwenden.
    Wichtig: Stellen Sie sicher, dass Sie dieselbe Einstellung für das Namens-ID-Format in Horizon Cloud und Workspace ONE Access verwenden.
    Beispiel:
    Hostwert ist „tenant1.example.com“, Port ist „443“, Admin-Benutzer ist „tenantadmin“, Admin-Domäne ist FTE, „Zu synchronisierende Domänen“ ist FTE.
  8. Klicken Sie auf Hinzufügen.
  9. Fügen Sie bei Bedarf weitere Mandanten hinzu und klicken Sie dann auf Weiter.
  10. Geben Sie auf der Seite „Konfiguration“ die folgenden Informationen ein.
    Option Beschreibung
    Frequenz Wählen Sie aus, wie häufig Sie die Ressourcen in der Sammlung synchronisieren möchten.

    Sie können einen festen Zeitraum für eine automatische Synchronisierung festlegen oder eine manuelle Synchronisierung auswählen. Um einen Zeitraum festzulegen, wählen Sie das Intervall aus, z. B. täglich oder wöchentlich, und wählen Sie die Tageszeit aus, an der die Synchronisierung ausgeführt werden soll. Wenn Sie Manuell auswählen, müssen Sie nach der Einrichtung einer Sammlung und bei Änderung der Horizon Cloud-Ressourcen oder -Berechtigungen auf der Seite „Sammlungen virtueller Apps“ auf Synchronisieren > Mit Schutzmaßnahmen synchronisieren oder Synchronisieren > Ohne Schutzmaßnahmen synchronisieren klicken.

    Weitere Informationen zur Synchronisierung finden Sie unter Synchronisieren von Sammlungen virtueller Apps in Workspace ONE Access.

    Schwellenwerte für Schutzmaßnahmen Konfigurieren Sie Schwellenwerte für Schutzmaßnahmen bei der Synchronisierung, wenn Sie die Anzahl der Änderungen begrenzen möchten, die bei der Synchronisierung der Sammlung virtueller Apps an Anwendungen, Desktops und Zuweisungen vorgenommen werden können. Wenn einer der Schwellenwerte erreicht wird, wird die Synchronisierung abgebrochen.

    Standardmäßig legt Workspace ONE Access den Schwellenwert für alle Kategorien auf 10 % fest.

    Schutzmaßnahmen bei der Synchronisierung werden bei der ersten Synchronisierung einer Sammlung ignoriert und auf alle nachfolgenden Synchronisierungen angewendet.

    Weitere Informationen zu Schutzmaßnahmen bei der Synchronisierung finden Sie unter Synchronisieren von Sammlungen virtueller Apps in Workspace ONE Access.

    Aktivierungsrichtlinie Wählen Sie aus, wie Sie die Ressourcen in dieser Erfassung Benutzern im Intelligent Hub Portal und in der App zur Verfügung stellen möchten. Wenn Sie beabsichtigen, einen Genehmigungsablauf einzurichten, wählen Sie Benutzeraktiviert aus, andernfalls Automatisch.

    Mit den Optionen Vom Benutzer aktiviert und Automatisch werden die Ressourcen zur Registerkarte Apps hinzugefügt. Benutzer können die Ressourcen auf der Registerkarte Apps ausführen oder sie als Favoriten kennzeichnen und über die Registerkarte Favoriten ausführen. Wenn jedoch ein Genehmigungsprozess für eine der Apps eingerichtet werden muss, müssen Sie Vom Benutzer aktiviert für die App auswählen.

    Die Aktivierungsrichtlinie gilt für alle Benutzerberechtigungen für sämtliche Ressourcen in der Sammlung. Sie können die Aktivierungsrichtlinie für einzelne Benutzer oder Gruppen pro Ressource auf der Benutzer- oder Gruppenseite ändern, die auf den Seiten Konten > Benutzer und Konten > Benutzergruppen verfügbar ist.

    Standardclient für Start Wählen Sie den Standardclient für Endbenutzer aus, die auf Horizon Cloud Desktops und Anwendungen über das Intelligent Hub Portal oder die-App zugreifen.

    Keine: Auf der Administratorebene wird keine Standardeinstellung festgelegt. Wenn für diese Option Keine ausgewählt wird und der Endbenutzer auch keine Einstellung vornimmt, wird die Horizon-Einstellung Standardanzeigeprotokoll verwendet, um festzulegen, wie der Desktop oder die Anwendung gestartet werden soll.

    Browser: Desktops und Anwendungen werden in einem Web-Browser standardmäßig gestartet. Endbenutzereinstellungen haben, sofern festgelegt, Vorrang vor dieser Einstellung.

    Nativ: Desktops und Anwendungen werden im Horizon Client standardmäßig gestartet. Endbenutzereinstellungen haben, sofern festgelegt, Vorrang vor dieser Einstellung.

    Diese Einstellung gilt für alle Benutzer sämtlicher Ressourcen in dieser Sammlung.

    Für die standardmäßigen Starteinstellungen des Clients gilt die folgende Rangfolge (von der höchsten zur niedrigsten):

    1. In Intelligent Hub festgelegte Endbenutzereinstellung.
    2. Administratoreinstellung für Standardclient für den Start für die Sammlung, festgelegt in der Workspace ONE Access-Konsole.
    3. Horizon Cloud-Standardprotokolleinstellungen
    Beispiel:
    „Synchronisierungshäufigkeit“ ist auf „Wöchentlich“, „Uhrzeit der Synchronisierung“ auf „Sonntag 23:55 Uhr“, „Aktivierungsrichtlinie“ auf „Vom Benutzer aktiviert“ und „Standardclient für Start“ auf „Nativ“ festgelegt.
  11. Klicken Sie auf Weiter.
  12. Überprüfen Sie auf der Seite „Zusammenfassung“ Ihre Auswahl und klicken Sie dann auf Speichern.

Ergebnisse

Die Sammlung wird erstellt und auf der Seite „Sammlungen virtueller Apps“ angezeigt. Die Ressourcen in der Sammlung wurden noch nicht synchronisiert. Nach der Einrichtung der Integration können Sie entweder auf die nächste geplante Synchronisierung warten oder die Synchronisierung manuell durchführen.

Nächste Maßnahme

Konfigurieren Sie die SAML-Authentifizierung beim Horizon Cloud-Mandanten, um eine Vertrauensstellung zwischen dem Workspace ONE Access-Dienst und dem Horizon Cloud-Mandanten zu aktivieren. Sie können erst dann Anwendungen starten, wenn die SAML-Authentifizierung konfiguriert ist.