Para iniciar aplicaciones y escritorios remotos desde VMware Identity Manager o para conectarse a estos a través de una puerta de enlace o un equilibrador de carga de terceros, debe crear un autenticador SAML en Horizon Console. Un autenticador SAML contiene el intercambio de metadatos y de confianza entre Horizon 7 y el dispositivo al que se conectan los clientes.

Se asocia un autenticador SAML con una instancia del servidor de conexión. Si la implementación incluye más de una instancia del servidor de conexión, el autenticador SAML se debe asociar a cada una de ellas.

Puede permitir que un autenticador estático y varios autenticadores dinámicos se publiquen a la vez. Puede configurar los autenticadores vIDM (dinámico) y Unified Access Gateway (estático) y mantenerlos en estado activo. Puede establecer conexiones a través de uno de estos autenticadores.

Puede configurar más de un autenticador SAML en un servidor de conexión y todos los autenticadores pueden estar activos de forma simultánea. Sin embargo, el ID de entidad de cada uno de estos autenticadores SAML configurados en el servidor de conexión deben ser diferentes.

El estado del autenticador SAML en el panel de control siempre es verde ya que este metadato es predefinido y estático. La alternancia verde y rojo solo se aplica para autenticadores dinámicos.

Para obtener más información sobre cómo configurar un autenticador SAML en dispositivos de VMware Unified Access Gateway, consulte la documentación de Unified Access Gateway.

Requisitos previos

  • Compruebe que Workspace ONE, VMware Identity Manager, un equilibrador de carga o una puerta de enlace de terceros estén instalados y configurados. Consulte la documentación de instalación de ese producto.

  • Verifique que el certificado raíz de la autoridad de certificación que firma el certificado del servidor SAML esté instalado en el host del servidor de conexión. VMware no recomienda configurar los autenticadores SAML para utilizar certificados autofirmados. Para obtener información sobre la autenticación de certificados, consulte el documento Instalación de Horizon 7.
  • Anote el FQDN o la dirección IP de los servidores de Workspace ONE, de VMware Identity Manager o el equilibrador de carga externo.
  • (opcional) Si usa Workspace ONE o VMware Identity Manager, anote la URL de la interfaz web del conector.
  • Si crea un autenticador para un dispositivo Unified Access Gateway o un dispositivo de terceros que necesite que genere metadatos SAML y que cree un autenticador estático, realice el procedimiento en el dispositivo para generar los metadatos SAML y, a continuación, cópielos.

Procedimiento

  1. En Horizon Console, acceda a Configuración > Servidores.
  2. En la pestaña Servidores de conexión, seleccione una instancia del servidor para asociarla al autenticador SAML y haga clic en Editar.
  3. En la pestaña Autenticación, seleccione un valor del menú desplegable Delegación de la autenticación a VMware Horizon (autenticador SAML 2.0) para habilitar o deshabilitar el autenticador SAML.
    Opción Descripción
    Deshabilitada La autenticación SAML está deshabilitada. Solo se pueden iniciar aplicaciones y escritorios remotos desde Horizon Client.
    Permitida La autenticación SAML está habilitada. Puede iniciar aplicaciones y escritorios remotos para Horizon Client y VMware Identity Manager o el dispositivo de terceros.
    Obligatoria La autenticación SAML está habilitada. Puede iniciar aplicaciones y escritorios remotos solo desde el VMware Identity Manager o el dispositivo de terceros. No puede iniciar aplicaciones o escritorios desde Horizon Client de forma manual.
    Cada una de las instancias del servidor de conexión de la implementación se puede configurar con distintos valores de autenticación SAML, de acuerdo a las necesidades.
  4. Haga clic en Administrar autenticadores SAML y en Agregar.
  5. Configure el autenticador SAML en el cuadro de diálogo Agregar autenticador SAML 2.0.
    Opción Descripción
    Tipo Para un dispositivo Unified Access Gateway o un dispositivo de terceros, seleccione Estático. Para VMware Identity Manager, seleccione Dinámico. Para los autenticadores dinámicos, puede especificar una URL de metadatos y una URL de administración. Para los autenticadores estáticos, debe generar en primer lugar los metadatos en el dispositivo Unified Access Gateway o en un dispositivo de terceros, copiar los metadatos y, a continuación, pegarlos en el cuadro de texto Metadatos SAML.
    Etiqueta Nombre único que identifica al autenticador SAML.
    Descripción Breve descripción del autenticador SAML. Este valor es opcional.
    URL de metadatos (Para los autenticadores dinámicos) URL para recuperar toda la información necesaria para intercambiar la información SAML entre el proveedor de identidad SAML y la instancia del servidor de conexión. En la URL https://<NOMBRE DEL HORIZON SERVER>/SAAS/API/1.0/GET/metadata/idp.xml, haga clic en <NOMBRE DEL HORIZON SERVER> y reemplace el FQDN o la dirección IP del servidor de VMware Identity Manager o el equilibrador de carga externo (dispositivo de terceros).
    URL de administración (Para autenticadores dinámicos) URL para acceder a la consola de administración del proveedor de identidades SAML. Para VMware Identity Manager, esta URL debe dirigir a la interfaz web del conector de VMware Identity Manager. Este valor es opcional.
    Metatados SAML (Para autenticadores estáticos) Texto de metadatos que generó y copió desde el dispositivo Unified Access Gateway o desde un dispositivo de terceros.
    Habilitado para el servidor de conexión Seleccione esta casilla para habilitar el autenticador. Se pueden habilitar varios autenticadores. La lista solo incluye los autenticadores habilitados.
  6. Haga clic en Aceptar para guardar la configuración del autenticador SAML.
    Si se proporcionó información válida, se debe aceptar el certificado autofirmado (no se recomienda) o utilizar un certificado de confianza para Horizon 7 y VMware Identity Manager o el dispositivo de terceros.

    El cuadro de diálogo Administrar autenticadores SAML muestra el nuevo autenticador creado.

Qué hacer a continuación

Amplíe el período de caducidad de los metadatos del servidor de conexión para que las sesiones remotas no finalicen después de solo 24 horas. Consulte Cambiar el período de caducidad de los metadatos del proveedor de servicios en el servidor de conexión.