El siguiente diagrama muestra la arquitectura de alto nivel y el flujo de comunicación de los componentes de en un entorno de Horizon Cloud que está configurado con Universal Broker e integrado con los servicios de Workspace ONE Access e Intelligent Hub.
- Durante el flujo de trabajo de activación, el arrendatario de Workspace ONE Access se registra para la integración con el arrendatario de Horizon Cloud.
- Workspace ONE Access Connector sincroniza el tenant de Workspace ONE Access con los usuarios y grupos de Active Directory.
- El usuario se autentica a través de Workspace ONE Access y solicita cargar el catálogo de Hub.
- Los servicios de Workspace ONE Intelligent Hub recuperan información acerca de las autorizaciones del usuario de todos los orígenes configurados del catálogo. Los orígenes pueden incluir Workspace ONE Access, Workspace ONE UEM, Okta y el servicio Universal Broker.
- El catálogo de Hub presenta un catálogo unificado de autorizaciones para el usuario. El catálogo incluye las autorizaciones de asignación del usuario que se recuperan del servicio Universal Broker.
- Desde el catálogo, el usuario hace clic en un escritorio o aplicación asignados para iniciar una sesión de conexión con este.
- Los servicios de Workspace ONE Intelligent Hub preparan la URL de inicio del recurso asignado mediante la comunicación con Workspace ONE Access y la generación de un artefacto de SAML, que se anexa a la URL de Universal Broker. A continuación, los servicios envían la URL de inicio al cliente de Workspace ONE Intelligent Hub.
- El cliente de Workspace ONE Intelligent Hub inicia el escritorio o la aplicación web de Horizon Client.
- Horizon Client reenvía la solicitud de autenticación al servicio Universal Broker.
- A través de las comunicaciones con Workspace ONE Access, el servicio Universal Broker resuelve el artefacto SAML y valida el usuario de confianza.
- Horizon Client solicita el escritorio o la aplicación asignados del servicio Universal Broker.
- Después de determinar qué pod puede proporcionar mejor el recurso asignado, el servicio Universal Broker envía un mensaje al cliente de Universal Broker, que se ejecuta dentro de ese pod. El cliente de Universal Broker reenvía el mensaje al complemento de Universal Broker que se ejecuta en el servidor de conexión (para un pod de Horizon) o al administrador de pods activo (para un pod de Microsoft Azure). El complemento de Universal Broker o el administrador de pods activo identifica el mejor recurso disponible para asignar al usuario final.
- El servicio Universal Broker devuelve una respuesta de conexión a Horizon Client que incluye el FQDN único del pod. El FQDN único suele ser el FQDN del equilibrador de carga local del pod de Horizon o del equilibrador de carga de Microsoft Azure.
- Después de pasar por el equilibrador de carga, la solicitud va a Unified Access Gateway para el pod. Unified Access Gateway valida que la solicitud es de confianza y prepara la puerta de enlace segura de Blast, la puerta de enlace segura PCoIP y el servidor de túnel.
- El usuario recibe el escritorio o aplicación especificado y establece una sesión de conexión basada en el protocolo secundario configurado (Blast Extreme, PCoIP o RDP).