Siga los pasos que se indican acá cuando el entorno de tenant de Horizon Cloud esté configurado para utilizar el brokering de pod único y desee utilizar Workspace ONE Access con él. Al integrar la implementación de Horizon Cloud on Microsoft Azure con un entorno de Workspace ONE Access alojado en la nube, puede ofrecer a sus usuarios finales la capacidad de autenticarse en sus aplicaciones y escritorios aprovisionados mediante un pod autorizados desde un único catálogo unificado en Workspace ONE Access.

Horizon Cloud admite la integración con el entorno de Workspace ONE Access alojado en la nube.

Para lograr esta integración, es necesario implementar un conector de Workspace ONE Access que conecte el entorno de Workspace ONE Access con el pod. Este conector le ofrece la capacidad de sincronizar las autorizaciones de usuario final del pod a Workspace ONE Access.

Nota: Es posible que las capturas de pantalla en la documentación de Workspace ONE Access se vean diferentes de los elementos de interfaz de usuario que se muestran en el entorno de Workspace ONE Access específico.

Terminología e información de referencia

  • Configure asignaciones de aplicaciones remotas y escritorios para los usuarios y los grupos desde Horizon Universal Console siguiendo el procedimiento habitual.
  • Después de que complete los pasos para integrar el pod con su entorno de Workspace ONE Access, sincronice la información de las asignaciones de pod con Workspace ONE Access.
  • A partir de ese momento, podrá consultar los escritorios y las aplicaciones en la consola de administración de Workspace ONE Access y los usuarios finales podrán autenticarse en sus recursos asignados desde Workspace ONE Access.
  • Puede configurar una programación regular que sincronice la información de asignaciones desde Horizon Cloud con el entorno de Workspace ONE Access.
  • El nombre anterior de Workspace ONE Access era VMware Identity Manager™. El nombre anterior de este conector era VMware Identity Manager™ Connector. Es posible que continúe viendo referencias al nombre anterior en los artículos del producto, la documentación y la base de conocimientos, especialmente si utiliza versiones anteriores del conector.
  • La documentación de Workspace ONE Access utiliza las autorizaciones de términos cuando describe la sincronización del conector desde el pod a Workspace ONE Access.

    En Horizon Cloud, una asignación representa la combinación de un recurso y su autorización.

    En Horizon Universal Console, al agregar un usuario a una asignación, se autoriza al usuario para el recurso aprovisionado mediante un pod de la asignación, por ejemplo, cuando crea una asignación de escritorios VDI dedicados.

  • La consola de Workspace ONE Access se actualizó con un asistente que utiliza el término Colección de Horizon Cloud. Es posible que vea ambas frases en la documentación de Workspace ONE Access y en la de Horizon Cloud: colección de aplicaciones virtuales y colección de Horizon Cloud.

Visión de nivel general de los componentes clave

Cuando el entorno de tenant de Horizon Cloud está configurado para utilizar brokering de pod único, cada pod individual se integra en Microsoft Azure con Workspace ONE Access para utilizar las funciones de Workspace ONE Access con los recursos de usuario final aprovisionados desde cada pod.

La integración de un pod en Microsoft Azure con Workspace ONE Access implica los siguientes conceptos clave.

  • El pod implementado en Microsoft Azure
  • Su entorno de tenant de Workspace ONE Access
  • Un certificado SSL válido cargado en las máquinas virtuales del administrador de pods. Con este certificado, el conector de Workspace ONE Access puede confiar en la conexión con el pod cuando el conector de Workspace ONE Access sincroniza las autorizaciones y los recursos aprovisionados por el pod para la colección de aplicaciones virtuales de Horizon Cloud definida en Workspace ONE Access.
  • Se instaló un conector de Workspace ONE Access y se estableció la configuración para sincronizar con Workspace ONE Access la información sobre estos recursos:
    • Grupos y usuarios de Active Directory
    • Las asignaciones del pod (los recursos aprovisionados mediante un pod y las autorizaciones para esos recursos)
  • Opciones de configuración de Horizon Universal Console para configurar el artefacto de SAML que permite a Workspace ONE Access realizar la comunicación SAML con el pod.

Descripción general del proceso de integración

La siguiente lista es un resumen detallado del proceso integral para permitir que sus usuarios finales puedan autenticarse en sus aplicaciones y escritorios aprovisionados mediante un pod usando Workspace ONE Access.

Antes de estos pasos, debe tener el pod ya implementado en Microsoft Azure y el arrendatario de Horizon Cloud configurado para usar el brokering de pod único, además de contar con el arrendatario de nube de Workspace ONE Access.

  1. En el servidor DNS, asigne la dirección IP del equilibrador de carga de Azure del administrador de pods a un nombre de dominio completo (FQDN), como mypod1.example.com. Esta dirección IP se muestra en la página de detalles del pod. Consulte Descripción general de la configuración de certificados SSL en las máquinas virtuales del administrador de pods para saber dónde ubicar esa dirección IP en la página de detalles del pod.
    Nota: Antes de la versión de servicio trimestral de julio de 2020, esta dirección IP tenía la etiqueta Dirección IP del dispositivo arrendatario en la página de detalles del pod. La etiqueta actual es IP del equilibrador de carga del administrador de pods. Los pods de manifiestos recientes incluyen un equilibrador de carga de Microsoft Azure implementado para la instancia de administrador de pods de forma predeterminada, y la etiqueta actual refleja esa arquitectura de pod. A pesar de que los pods de manifiestos anteriores al 1600 no tienen un equilibrador de carga de Microsoft Azure implementado para la máquina virtual del administrador de pods, la dirección IP que se debe usar para esta tarea de emparejamiento es la dirección IP que se muestra junto a esa etiqueta en la página de detalles del pod.
  2. Obtenga un certificado SSL de confianza válido basado en el FQDN. Para obtener más información sobre los elementos necesarios, consulte los siguientes temas:
    Nota: Los formatos de archivo de certificado necesarios para cargar un certificado SSL en el pod son diferentes del formato de archivo PEM utilizado por las configuraciones de puerta de enlace del pod.
  3. Cargue ese certificado SSL en las máquinas virtuales del administrador de pods, como se describe en Configurar certificados SSL directamente en las máquinas virtuales del administrador de pods.
    Importante: Cuando el pod no incluye ningún certificado SSL configurado de ese modo para presentarlo al conector de Workspace ONE Access con el que intenta conectar, se produce un error en este intento de conexión mediante el cual se pretenden sincronizar las autorizaciones y los recursos, ya que el conector no realiza conexiones de red que no son de confianza. El certificado SSL del pod debe recibir la confianza del conector de Workspace ONE Access para que se conecte correctamente al pod. Hasta que haya cargado un certificado SSL que cumpla los criterios en el pod, no podrá integrar correctamente Workspace ONE Access con el pod.
  4. Implemente el dispositivo conector de Workspace ONE Access en una red que pueda comunicarse con el pod de Horizon Cloud y el entorno de Active Directory. El propósito del conector es sincronizar los recursos y las autorizaciones del pod, así como sincronizar usuarios y grupos del entorno de Active Directory.

    Lea todos los requisitos previos relacionados con el conector a partir de la siguiente sección titulada Qué se necesita antes de comenzar los pasos de integración.

    Importante: También debe asegurarse de que el origen de hora autoritativo que configure en el conector coincida con el servidor NTP configurado para el pod. Si los orígenes de hora no coinciden, pueden ocurrir problemas de sincronización. En la página de detalles del pod se muestra el servidor NTP configurado del pod. Puede abrir la página de detalles del pod desde la página Capacidad de Horizon Universal Console.
  5. Asegúrese de cumplir los requisitos previos de Workspace ONE Access para la integración, tal como se documenta en la documentación del producto Workspace ONE Access adecuada para la situación. Consulte la sección siguiente titulada Qué se necesita antes de comenzar los pasos de integración.

    Consulte la página de la documentación de Workspace ONE Access Requisitos previos para la integración.

  6. Habilite los escritorios del entorno de Horizon Cloud en el entorno de Workspace ONE Access, como se describe en la información del producto de Workspace ONE Access.

    Consulte la página de la documentación de Workspace ONE Access Configurar un arrendatario de Horizon Cloud en VMware Workspace ONE Access.

    Tenga en cuenta estos puntos importantes mientras sigue los pasos descritos en la documentación de Workspace ONE Access
    • No sincronice la colección hasta que haya finalizado el paso 8 a continuación, sobre la configuración del pod para el acceso a Workspace ONE Access.
    • En el campo Host de la pantalla de Workspace ONE Access para introducir la información del arrendatario de Horizon Cloud, especifique el FQDN que asignó en el servidor DNS a la dirección IP del equilibrador de carga de Azure del administrador de pods con el fin de acceder a las máquinas virtuales del administrador de pods.

      Este FQDN debe coincidir con el certificado SSL que cargó directamente en el pod, como se describe en Configurar certificados SSL directamente en las máquinas virtuales del administrador de pods.

  7. Introduzca la configuración que permite que el entorno de Workspace ONE Access configurado se use como proveedor de administración de identidades para el pod. Consulte Pasos para configurar un pod de Horizon Cloud con la información relevante del arrendatario de Workspace ONE Access.
  8. En el arrendatario de nube de Workspace ONE Access, sincronice manualmente la colección para poder verificarla en el siguiente paso. En la consola administrativa de Workspace ONE Access, busque la colección y haga clic en Sincronizar.
  9. Verifique que los usuarios finales tengan acceso a los escritorios y las aplicaciones iniciando sesión en Workspace ONE Access como usuario final e iniciando un escritorio y una aplicación desde el catálogo. Consulte Confirmar el acceso de los usuarios finales a asignaciones de escritorios en Workspace ONE Access.

De forma opcional, después de verificar que la integración funcione, puede exigir que los usuarios se autentiquen y accedan a sus escritorios y aplicaciones a través de Workspace ONE Access. Consulte Permitir que los usuarios finales accedan a través de Workspace ONE Access.

Qué se necesita antes de comenzar los pasos de integración

Para completar totalmente el proceso de integración de extremo a extremo mediante el paso de verificación de acceso de usuario final en las aplicaciones remotas basadas en RDS o los escritorios proporcionados por el pod mediante Workspace ONE Access, asegúrese de tener los siguientes elementos.

  • Como se describe en Descripción general de la configuración de certificados SSL en las máquinas virtuales del administrador de pods y en Requisitos previos para configurar certificados SSL en las máquinas virtuales del administrador de pods, necesita una entrada en el servidor DNS que asigne la dirección IP del equilibrador de carga de Azure del administrador de pods a un nombre de dominio completo (FQDN).

    Quiere que el FQDN que va a utilizar en el certificado SSL se resuelva en la dirección IP que se muestra en la página de detalles del pod en Horizon Universal Console, junto a la etiqueta IP del equilibrador de carga del administrador de pods.

    Como ejemplo, supongamos que tiene el pod que se muestra en la captura de pantalla a continuación y desea utilizar un FQDN de mypod-a.example.com como el FQDN de ese pod para la conexión de Workspace ONE Access con el pod.


    Captura de pantalla de los detalles de un pod denominado MontereyStores con una flecha verde que apunta a la dirección IP del equilibrador de carga de Azure del administrador de pods.

    Para este ejemplo, en el DNS, debe asignar mypod-a.example.com a la dirección IP que se muestra: 192.168.21.4. 
    mypod-a.example.com    192.168.21.4

    A medida que realice los pasos de la pantalla Workspace ONE Access para introducir la información del tenant de Horizon Cloud, especifica este FQDN para el campo Host en esa pantalla de Workspace ONE Access.

  • Un pod totalmente configurado que tenga un certificado SSL válido y de confianza que haya cargado en los propios administradores de pods mediante la página de detalles del pod. Para obtener más información sobre cómo cargar el certificado, consulte Descripción general de la configuración de certificados SSL en las máquinas virtuales del administrador de pods.
  • Se configuran las asignaciones de escritorios VDI, las asignaciones de escritorios de sesión o las asignaciones de aplicaciones remotas.
  • Acceso al arrendatario de nube de Workspace ONE Access configurado de la organización.

    Cuando se utiliza la instancia de Workspace ONE Access alojada en la nube, se requiere un dispositivo de Workspace ONE Access Connector para integrar el pod con el tenant. Este conector envía la información sobre las autorizaciones de grupo y usuarios a los escritorios virtuales y las aplicaciones del arrendatario de Workspace ONE Access. Debe instalar el dispositivo del conector de Workspace ONE Access en la red de Active Directory. Siga los pasos que se describen en la documentación de Workspace ONE Access en la nube disponible en esta página de documentación y descritos en Escenario de implementación para la integración de Horizon Cloud con Workspace ONE Access. Para la versión del conector que se requiere para esta versión, consulte las matrices de interoperabilidad de productos de VMware en https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

    Compruebe que el origen de hora autoritativo configurado del conector coincida con el servidor NTP que está configurado para el pod.

    Nota: Si tiene una integración existente y el dispositivo VMware Workspace ONE® Access™ Connector, una práctica recomendada consiste en actualizar Connector antes de actualizar el pod al nivel de software más reciente del pod.
  • Compruebe que el entorno de Workspace ONE Access configurado cumpla con todos los requisitos previos para la integración con los recursos de Horizon Cloud, como se describe en la página de documentación de Workspace ONE AccessRequisitos previos para la integración.

Entorno de Horizon Cloud con brokering de pod único: Pasos para configurar un pod de Horizon Cloud en Microsoft Azure con la información relevante del tenant de Workspace ONE Access

Para integrar un pod en Microsoft Azure con Workspace ONE Access, debe configurar el pod con la información adecuada de Workspace ONE Access. Use la Horizon Universal Console para configurar esta información.

Requisitos previos

Compruebe que se haya cargado un certificado SSL basado en ese FQDN en las máquinas virtuales del administrador de pods como se describe en Configurar certificados SSL directamente en las máquinas virtuales del administrador de pods. El certificado SSL debe basarse en el FQDN que asignó a la dirección IP del equilibrador de carga de Azure del administrador de pods en el servidor DNS, como se describe en el paso 3 de Horizon Cloud con agente de pod único: integración con Workspace ONE Access.

Compruebe que el entorno de Workspace ONE Access tiene configurado el uso del FQDN, para sincronizar las autorizaciones y los recursos del usuario final aprovisionados mediante un pod en Workspace ONE Access.

Verifique que tenga la siguiente información:

  • La URL de metadatos del proveedor de identidades (IdP) SAML del arrendatario de Workspace ONE Access.

    La URL de metadatos del IdP SAML del entorno se obtiene mediante los metadatos de SAML de la consola administrativa de Workspace ONE Access.

    Consulte la página de documentación de Workspace ONE Access en la nube Configurar la autenticación SAML en el arrendatario de Horizon Cloud.

    Cuando haga clic en el vínculo Metadatos del proveedor de identidades (IdP) en esa página, aparece la URL en la barra de direcciones del navegador, normalmente con el formato https://WS1AccessFQDN/SAAS/API/1.0/GET/metadata/idp.xml, donde WS1AccessFQDN es el nombre de dominio completo (FQDN) del entorno de Workspace ONE Access.

  • El FQDN que se indica a los usuarios finales para que establezcan sus conexiones, para conectarse a Horizon Cloud.

Procedimiento

  1. En la instancia de Horizon Universal Console, desplácese hasta Configuración > Administración de identidades y haga clic en Nuevo.
  2. Configure las siguientes opciones.
    Configuración Descripción
    URL de metadatos de VMware Workspace ONE Access Escriba la URL de metadatos del proveedor de identidades (IdP) SAML del arrendatario de Workspace ONE Access. Esta URL de metadatos suele tener el formato https://WS1AccessFQDN/SAAS/API/1.0/GET/metadata/idp.xml donde WS1AccessFQDN es el FQDN del entorno de Workspace ONE Access.
    Token de tiempo de espera de inicio de sesión único (SSO) Escriba la cantidad de tiempo, en minutos, tras la cual desea que se agote el tiempo de espera del token de SSO. El valor predeterminado previamente rellenado del sistema es cero (0).
    Ubicación Seleccione una de las ubicaciones para filtrar el menú desplegable Pod para que muestre el conjunto de pods asociado a esa ubicación.
    Pod Seleccione el pod al que se aplica esta configuración.
    Centro de datos El menú desplegable muestra un valor numérico relacionado con la versión de manifiesto del pod de Horizon Cloud. Mantenga el valor predeterminado.
    FQDN de acceso del cliente Escriba el FQDN que se indica a los usuarios finales para que establezcan sus conexiones, para conectarse a Horizon Cloud.
    Redireccionamiento de Workspace ONE Cuando también tenga la configuración para forzar que los usuarios finales accedan a través de Workspace ONE Access, puede establecer esta opción en para que los clientes de los usuarios finales se redirijan automáticamente a su entorno de Workspace ONE Access. Puede obtener información sobre cómo configurar las opciones para exigir que los usuarios finales accedan a través de Workspace ONE Access en Permitir que los usuarios finales accedan a través de Workspace ONE Access.

    Con el redireccionamiento automático configurado en , en los clientes de usuario final, cuando el cliente intenta conectarse a Horizon Cloud y se configuró la autenticación forzada a través de Workspace ONE Access, se redirige al cliente automáticamente al entorno de Workspace ONE Access que está integrado con el pod.

    Cuando la opción se establece en No, el redireccionamiento automático no se habilita.

    Cuando el redireccionamiento automático no está habilitado y se configura el acceso forzado, los clientes muestran un mensaje informativo al usuario. Para obtener más información, consulte Permitir que los usuarios finales accedan a través de Workspace ONE Access.

    Nota: Puede habilitar el redireccionamiento de Workspace ONE Access para solo uno de los proveedores de administración de identidades que están configurados aquí. Si la opción ya está establecida en para otra configuración y se intenta establecer la opción en , se muestra un mensaje de error.
  3. Haga clic en Guardar.

Resultados

Si el estado aparece en verde, significa que la configuración es correcta.

Qué hacer a continuación

En el arrendatario de nube de Workspace ONE Access, sincronice manualmente las aplicaciones y los escritorios autorizados. En la consola administrativa de Workspace ONE Access, busque la colección definida para este pod de Horizon Cloud y haga clic en Sincronizar.

Importante:
  • Cada vez que los recursos o las autorizaciones cambian en Horizon Cloud, es necesario realizar una sincronización para propagar los cambios a Workspace ONE Access.
  • También debe asegurarse de que el origen de hora autoritativo que configure en el conector coincida con el servidor NTP configurado para el pod. Si los orígenes de hora no coinciden, pueden ocurrir problemas de sincronización. En la página de detalles del pod se muestra el servidor NTP configurado del pod. Puede abrir la página de detalles del pod desde la página Capacidad de Horizon Universal Console.

Entorno de Horizon Cloud con brokering de pod único: Confirmar el acceso de los usuarios finales a asignaciones de escritorios en Workspace ONE Access

Tras integrar el entorno de Horizon Cloud con el entorno de Workspace ONE Access, podrá usar estos pasos para confirmar que los usuarios finales tengan acceso remoto a sus escritorios virtuales y aplicaciones remotas aprovisionados mediante pod.

Requisitos previos

Compruebe que los siguientes elementos estén completos:

Procedimiento

  1. Utilice la URL de Workspace ONE Access de su organización para iniciar sesión en Workspace ONE Access.
  2. Inicie las aplicaciones remotas y los escritorios de Horizon Cloud autorizados desde el portal.