Para iniciar aplicaciones y escritorios remotos desde VMware Identity Manager o para conectarse a estos a través de una puerta de enlace o un equilibrador de carga de terceros, debe crear un autenticador SAML en Horizon Administrator. Un autenticador SAML contiene el intercambio de metadatos y de confianza entre Horizon 7 y el dispositivo al que se conectan los clientes.

Por qué y cuándo se efectúa esta tarea

Se asocia un autenticador SAML con una instancia del servidor de conexión. Si la implementación incluye más de una instancia del servidor de conexión, el autenticador SAML se debe asociar a cada una de ellas.

Puede permitir que un autenticador estático y varios autenticadores dinámicos se publiquen a la vez. Puede configurar los autenticadores vIDM (dinámico) y Unified Access Gateway (estático) y mantenerlos en estado activo. Puede establecer conexiones a través de uno de estos autenticadores.

Puede configurar más de un autenticador SAML en un servidor de conexión y todos los autenticadores pueden estar activos de forma simultánea. Sin embargo, el ID de entidad de cada uno de estos autenticadores SAML configurados en el servidor de conexión deben ser diferentes.

El estado del autenticador SAML en el panel de control siempre es verde ya que este metadato es predefinido y estático. La alternancia verde y rojo solo se aplica para autenticadores dinámicos.

Para obtener más información sobre cómo configurar un autenticador SAML en dispositivos de VMWare Unified Access Gateway, consulte Implementación y configuración de Unified Access Gateway.

Requisitos

  • Compruebe que Workspace ONE, VMware Identity Manager, un equilibrador de carga o una puerta de enlace de terceros estén instalados y configurados. Consulte la documentación de instalación de ese producto.

  • Verifique que el certificado raíz de la autoridad de certificación que firma el certificado del servidor SAML esté instalado en el host del servidor de conexión. VMware no recomienda configurar los autenticadores SAML para utilizar certificados autofirmados. Para obtener información sobre la autenticación de certificados, consulte el documento Instalación de View.

  • Anote el FQDN o la dirección IP de los servidores de Workspace ONE, de VMware Identity Manager o el equilibrador de carga externo.

  • Si usa Workspace ONE o VMware Identity Manager, anote la URL de la interfaz web del conector.

  • Si crea un autenticador para Unified Access Gateway o un dispositivo de terceros que necesite que genere metadatos SAML y que cree un autenticador estático, realice el procedimiento en el dispositivo para generar los metadatos SAML y, a continuación, cópielos.

Procedimiento

  1. En Horizon Administrator, seleccione Configuración > Servidores.
  2. En la pestaña Servidores de conexión, seleccione una instancia del servidor para asociarla al autenticador SAML y haga clic en Editar.
  3. En la pestaña Autenticación, seleccione un valor del menú desplegable Delegación de la autenticación a VMware Horizon (autenticador SAML 2.0) para habilitar o deshabilitar el autenticador SAML.

    Opción

    Descripción

    Deshabilitada

    La autenticación SAML está deshabilitada. Solo se pueden iniciar aplicaciones y escritorios remotos desde Horizon Client.

    Permitida

    La autenticación SAML está habilitada. Puede iniciar aplicaciones y escritorios remotos para Horizon Client y VMware Identity Manager o el dispositivo de terceros.

    Obligatoria

    La autenticación SAML está habilitada. Puede iniciar aplicaciones y escritorios remotos solo desde el VMware Identity Manager o el dispositivo de terceros. No puede iniciar aplicaciones o escritorios desde Horizon Client de forma manual.

    Cada una de las instancias del servidor de conexión de la implementación se puede configurar con distintos valores de autenticación SAML, de acuerdo a las necesidades.

  4. Haga clic en Administrar autenticadores SAML y en Agregar.
  5. Configure el autenticador SAML en el cuadro de diálogo Agregar autenticador SAML 2.0.

    Opción

    Descripción

    Tipo

    Para Unified Access Gateway o un dispositivo de terceros, seleccione Estático. Para VMware Identity Manager, seleccione Dinámico. Para los autenticadores dinámicos, puede especificar una URL de metadatos y una URL de administración. Para los autenticadores estáticos, debe generar en primer lugar los metadatos de Unified Access Gateway o de un dispositivo de terceros, copie los metadatos y, a continuación, péguelos en el cuadro de texto Metadatos SAML.

    Etiqueta

    Nombre único que identifica al autenticador SAML.

    Descripción

    Breve descripción del autenticador SAML. Este valor es opcional.

    URL de metadatos

    (Para los autenticadores dinámicos) URL para recuperar toda la información necesaria para intercambiar la información SAML entre el proveedor de identidad SAML y la instancia del servidor de conexión. En la URL https://<NOMBRE DEL HORIZON SERVER>/SAAS/API/1.0/GET/metadata/idp.xml, haga clic en <NOMBRE DEL HORIZON SERVER> y reemplace el FQDN o la dirección IP del servidor de VMware Identity Manager o el equilibrador de carga externo (dispositivo de terceros).

    URL de administración

    (Para autenticadores dinámicos) URL para acceder a la consola de administración del proveedor de identidades SAML. Para VMware Identity Manager, esta URL debe dirigir a la interfaz web del conector de VMware Identity Manager. Este valor es opcional.

    Metatados SAML

    (Para autenticadores estáticos) Texto de metadatos que generó y copió desde Unified Access Gateway o de un dispositivo de terceros.

    Habilitado para el servidor de conexión

    Seleccione esta casilla para habilitar el autenticador. Se pueden habilitar varios autenticadores. La lista solo incluye los autenticadores habilitados.

  6. Haga clic en Aceptar para guardar la configuración del autenticador SAML.

    Si se proporcionó información válida, se debe aceptar el certificado autofirmado (no se recomienda) o utilizar un certificado de confianza para Horizon 7 y VMware Identity Manager o el dispositivo de terceros.

    El cuadro de diálogo Administrar autenticadores SAML muestra el nuevo autenticador creado.

  7. En la sección Estado del sistema del panel de información de Horizon Administrator, seleccione Otros componentes > Autenticadores SAML 2.0, seleccione el autenticador SAML agregado y verifique los detalles.

    Si la configuración es correcta, el estado del autenticador se mostrará en verde. El estado del autenticador puede estar en rojo si no se confía en el certificado, si VMware Identity Manager no está disponible o si la URL de metadatos no es válida. Si no se confía en el certificado, es posible que se pueda hacer clic en Verificar para validar y aceptar el certificado.

Qué hacer a continuación

Amplíe el período de caducidad de los metadatos del servidor de conexión para que las sesiones remotas no finalicen después de solo 24 horas. Consulte Cambiar el período de caducidad de los metadatos del proveedor de servicios en el servidor de conexión.