Siga los pasos que se indican acá cuando el entorno de tenant de Horizon Cloud esté configurado para utilizar el brokering de pod único y desee utilizar Workspace ONE Access con él. Al integrar un pod en Microsoft Azure con el entorno de Workspace ONE Access alojado en la nube, puede ofrecer a sus usuarios finales la capacidad de autenticarse en sus escritorios y aplicaciones aprovisionados mediante pod autorizados desde un único catálogo unificado en Workspace ONE Access. Debe implementar un conector de Workspace ONE Access que haga de puente entre el entorno de Workspace ONE Access y el pod. Este conector le ofrece la capacidad de sincronizar las autorizaciones de usuario final del pod a Workspace ONE Access.

Sugerencia:
  • El nombre anterior de Workspace ONE Access era VMware Identity Manager™. El nombre anterior de este conector era VMware Identity Manager™ Connector. Es posible que continúe viendo referencias al nombre anterior en los artículos del producto, la documentación y la base de conocimientos, especialmente si utiliza versiones anteriores del conector.
  • Consulte la zona tecnológica de VMware Digital Workspace para obtener una excelente descripción de la integración entre Horizon Cloud y Workspace ONE Access.
  • La documentación de Workspace ONE Access utiliza las autorizaciones de términos cuando describe la sincronización del conector desde el pod a Workspace ONE Access. En Horizon Cloud, una asignación representa la combinación de un recurso y su autorización. En Consola administrativa de Horizon Cloud, al agregar un usuario a una asignación, se autoriza al usuario para el recurso aprovisionado mediante un pod de la asignación, por ejemplo, cuando crea una asignación de escritorios VDI dedicado.

Workspace ONE Access es una oferta de Identity as a Service (IDaaS) que proporciona aprovisionamiento de aplicaciones, un catálogo de autoservicio y controles de acceso provisional así como aplicaciones móviles nativas, en la nube, web y Single Sign-On (SSO) para SaaS. Workspace ONE Access controla la autenticación de los usuarios para acceder a esos elementos que se han configurado para ellos en el catálogo de Workspace ONE Access. Por lo general, los clientes de Horizon Cloud usan la instancia de Workspace ONE Access alojada en la nube, alojada por VMware.

Para obtener una descripción general de esta integración desde la perspectiva del entorno de Workspace ONE Access, consulte la descripción general Proporcionar acceso a aplicaciones y escritorios de VMware Horizon Cloud Service. Configure asignaciones de aplicaciones remotas y escritorios para los usuarios y los grupos desde Consola administrativa de Horizon Cloud siguiendo el procedimiento habitual. Después de que complete los pasos para integrar el pod con su entorno de Workspace ONE Access, sincronice la información de las asignaciones de pod con Workspace ONE Access. A partir de ese momento, podrá consultar los escritorios y las aplicaciones en la consola de administración de Workspace ONE Access y los usuarios finales podrán autenticarse en sus recursos asignados desde Workspace ONE Access. Puede configurar una programación regular que sincronice la información de asignaciones desde Horizon Cloud con el entorno de Workspace ONE Access.

Nota: Es posible que las capturas de pantalla en la documentación de Workspace ONE Access se vean diferentes de los elementos de interfaz de usuario que se muestran en el entorno de Workspace ONE Access específico.

Visión de nivel general de los componentes clave

Cuando el entorno de tenant de Horizon Cloud está configurado para utilizar brokering de pod único, se integra cada pod individual en Microsoft Azure con Workspace ONE Access para utilizar las funciones de Workspace ONE Access con los recursos de usuario final aprovisionados desde cada pod. La integración de un pod en Microsoft Azure con Workspace ONE Access implica los siguientes conceptos clave.

  • El pod implementado en Microsoft Azure
  • Su entorno de tenant de Workspace ONE Access
  • Un certificado SSL válido cargado en las máquinas virtuales del administrador de pods. Con este certificado, el conector de Workspace ONE Access puede confiar en la conexión con el pod cuando el conector de Workspace ONE Access sincroniza las autorizaciones y los recursos aprovisionados por el pod para la colección de aplicaciones virtuales de Horizon Cloud en Workspace ONE Access.
  • Se instaló un conector de Workspace ONE Access y se estableció la configuración para sincronizar con Workspace ONE Access la información sobre estos recursos:
    • Grupos y usuarios de Active Directory
    • Las asignaciones del pod (los recursos aprovisionados mediante un pod y las autorizaciones para esos recursos)
  • Opciones de configuración de Consola administrativa de Horizon Cloud para configurar el artefacto de SAML que permite a Workspace ONE Access realizar la comunicación SAML con el pod.

Descripción general del proceso de integración

La siguiente lista es un resumen detallado del proceso integral para permitir que sus usuarios finales puedan autenticarse en sus aplicaciones y escritorios aprovisionados mediante un pod usando Workspace ONE Access. Antes de realizar estos pasos, debe tener el pod ya implementado en Microsoft Azure y tener el entorno de Workspace ONE Access. Si desea realizar la integración con un entorno de Workspace ONE Access alojado en la nube y aún no tiene el tenant, puede iniciar la configuración de un tenant de nube de Workspace ONE Access mediante la página de administración de identidades de Consola administrativa de Horizon Cloud. Para obtener más información, consulte Página de administración de identidades en Consola administrativa de Horizon Cloud.

  1. En el servidor DNS, asigne la dirección IP del equilibrador de carga de Azure del administrador de pods a un nombre de dominio completo (FQDN), como mypod1.example.com. Esta dirección IP se muestra en la página de detalles del pod. Consulte Descripción general de la configuración de certificados SSL en las máquinas virtuales del administrador de pods de Horizon Cloud, principalmente para su uso por parte de Workspace ONE Access Connector con pods en un entorno de agente de pod único para ver una ilustración en la que se indica dónde encontrar esa dirección IP en la página de detalles del pod.
    Nota: Antes de la versión de servicio trimestral de julio de 2020, esta dirección IP tenía la etiqueta Dirección IP del dispositivo tenant en la página de detalles del pod. La etiqueta actual es IP del equilibrador de carga del administrador de pods. Los pods de manifiestos recientes incluyen un equilibrador de carga de Microsoft Azure implementado para la instancia de administrador de pods de forma predeterminada, y la etiqueta actual refleja esa arquitectura de pod. A pesar de que los pods de manifiestos anteriores al 1600 no tienen un equilibrador de carga de Microsoft Azure implementado para la máquina virtual del administrador de pods, la dirección IP que se debe usar para esta tarea de emparejamiento es la dirección IP que se muestra junto a esa etiqueta en la página de detalles del pod.
  2. Obtenga un certificado SSL de confianza válido basado en el FQDN. Para obtener más información sobre los elementos necesarios, consulte los siguientes temas:
    Nota: Los formatos de archivo de certificado necesarios para cargar un certificado SSL en el pod son diferentes del formato de archivo PEM utilizado por las configuraciones de puerta de enlace del pod.
  3. Cargue el certificado SSL como se describe en Configurar certificados SSL directamente en las máquinas virtuales del administrador de pods, como cuando se integra el dispositivo de Workspace ONE Access Connector con el pod de Horizon Cloud en Microsoft Azure, para que Connector pueda confiar en las conexiones con las máquinas virtuales del administrador de pods.
    Importante: Cuando el pod no incluye ningún certificado SSL configurado de ese modo para presentarlo al conector de Workspace ONE Access con el que intenta conectar, se produce un error en este intento de conexión mediante el cual se pretenden sincronizar las autorizaciones y los recursos, ya que el conector no realiza conexiones de red que no son de confianza. El certificado SSL del pod debe recibir la confianza del conector de Workspace ONE Access para que se conecte correctamente al pod. Hasta que haya cargado un certificado SSL que cumpla los criterios en el pod, no podrá integrar correctamente Workspace ONE Access con el pod.
  4. Obtenga un entorno de Workspace ONE Access, suscribiéndose a la versión alojada en la nube para tener un tenant de Workspace ONE Access en la nube.
    Nota: Si ha configurado un tenant de Workspace ONE Access mediante la página de administración de identidades, el tenant de Workspace ONE Access está asociado al registro de cliente de Horizon Cloud como parte del proceso. Los pods que ya existen para el mismo registro de cliente de Horizon Cloud pueden integrarse con el tenant mediante la implementación de Workspace ONE Access Connector. En los siguientes pasos, tome nota de los detalles relacionados con el conector.
  5. Implemente Workspace ONE Access según las directrices de Workspace ONE Access para el modelo de implementación que esté usando.

    Si está usando Workspace ONE Access alojado en la nube, debe instalar el dispositivo conector de Workspace ONE Access en la red de Active Directory. Lea todos los requisitos previos relacionados con el conector a partir de la siguiente sección titulada Qué se necesita antes de comenzar los pasos de integración.

    Importante: También debe asegurarse de que el origen de hora autoritativo que configure en el conector coincida con el servidor NTP configurado para el pod. Si los orígenes de hora no coinciden, pueden ocurrir problemas de sincronización. En la página de detalles del pod se muestra el servidor NTP configurado del pod. Puede abrir la página de detalles del pod según se describe en Administrar los pods conectados a la nube para todos los tipos de pod compatibles con Horizon Cloud.
  6. Asegúrese de cumplir los requisitos previos de Workspace ONE Access para la integración, tal como se documenta en la documentación del producto Workspace ONE Access adecuada para la situación. Consulte la sección siguiente titulada Qué se necesita antes de comenzar los pasos de integración.
    Importante: Además de los requisitos previos que se enumeran a continuación en este tema de la documentación, también debe asegurarse de que el entorno de Workspace ONE Access configurado cumpla los requisitos previos para la integración con los recursos Horizon Cloud, tal como se describe en la documentación de Workspace ONE Access.
    Entorno de Workspace ONE Access Vínculo a los requisitos previos de Workspace ONE Access en la documentación de Workspace ONE Access
    Alojado en la nube Requisitos previos para la integración de Workspace ONE Access con Horizon Cloud
  7. Habilite los escritorios del entorno de Horizon Cloud en el entorno de Workspace ONE Access, como se describe en la información del producto Workspace ONE Access que sea más apropiada de acuerdo a la situación.
    Importante: En la pantalla Workspace ONE Access para introducir la información del tenant de Horizon Cloud, en el campo Host de esa pantalla, especifique el FQDN que asignó en el servidor DNS a la dirección IP del equilibrador de carga de Azure del administrador de pods. Este FQDN debe ser aquel en el que se basa el certificado SSL cargado en el pod, tal y como se describe en Descripción general de la configuración de certificados SSL en las máquinas virtuales del administrador de pods de Horizon Cloud, principalmente para su uso por parte de Workspace ONE Access Connector con pods en un entorno de agente de pod único, Requisitos previos para ejecutar el flujo de trabajo Cargar certificado del pod de Consola administrativa de Horizon Cloud para configurar certificados SSL en las máquinas virtuales del administrador del pod de Horizon Cloud y Configurar certificados SSL directamente en las máquinas virtuales del administrador de pods, como cuando se integra el dispositivo de Workspace ONE Access Connector con el pod de Horizon Cloud en Microsoft Azure, para que Connector pueda confiar en las conexiones con las máquinas virtuales del administrador de pods.

    En la información sobre la configuración de un tenant de Horizon Cloud, en los temas de Workspace ONE Access vinculados a continuación, el último paso en esos temas de procedimientos describe cómo sincronizar la información sobre las autorizaciones desde su entorno de Horizon Cloud. Sin embargo, no realice ese paso de sincronización hasta después de finalizar el paso 5 a continuación, sobre la configuración del pod para el acceso de Workspace ONE Access.

    Entorno de Workspace ONE Access Vínculo a la información de habilitación de escritorios en la documentación de Workspace ONE Access
    Alojado en la nube Configurar un tenant de Horizon Cloud en VMware Workspace ONE Access.
  8. Introduzca la configuración que permite que el entorno de Workspace ONE Access configurado se use como proveedor de administración de identidades para el pod. Consulte Entorno de Horizon Cloud con brokering de pod único: Pasos para configurar un pod de Horizon Cloud en Microsoft Azure con la información relevante del tenant de Workspace ONE Access.
  9. En el entorno de Workspace ONE Access, sincronice los escritorios y las aplicaciones autorizados con Workspace ONE Access. En la consola de administración de Workspace ONE Access, vaya a la página Configuración de aplicaciones virtuales para la colección que creó en el paso 4 y haga clic en Sincronizar.
  10. Verifique que los usuarios finales tengan acceso a los escritorios y las aplicaciones iniciando sesión en Workspace ONE Access como usuario final e iniciando un escritorio y una aplicación desde el catálogo. Consulte Entorno de Horizon Cloud con brokering de pod único: Confirmar el acceso de los usuarios finales a asignaciones de escritorios en Workspace ONE Access.

De forma opcional, después de verificar que la integración funcione, puede exigir que los usuarios se autentiquen y accedan a sus escritorios y aplicaciones a través de Workspace ONE Access. Consulte Entorno de Horizon Cloud con brokering de pod único: Permitir que los usuarios finales pasen por Workspace ONE Access para acceder a los escritorios y las aplicaciones autorizados..

Qué se necesita antes de comenzar los pasos de integración

Para completar totalmente el proceso de integración de extremo a extremo mediante el paso de verificación de acceso de usuario final en las aplicaciones remotas basadas en RDS o los escritorios proporcionados por el pod mediante Workspace ONE Access, asegúrese de tener los siguientes elementos.