El implementador de pods de Horizon Cloud necesita una entidad de servicio para acceder a la capacidad de su suscripción a Microsoft Azure y utilizarla para los pods de Horizon Cloud. Cuando se registra una aplicación de Microsoft Azure AD, también se crea la entidad de servicio. También debe generar una clave de autenticación y asignar una función a la entidad de servicio en el nivel de suscripción. Si va a utilizar la función para que la puerta de enlace externa use su propia suscripción, independiente de la del pod, también debe realizar pasos parecidos para una entidad de servicio asociada con la suscripción.

Para obtener detalles actualizados y detallados y capturas de pantallas para crear una entidad de servicio, consulte el tema de la documentación de Microsoft Azure Procedimientos: Uso del portal para crear una aplicación de Azure AD y una entidad de servicio con acceso a los recursos.

Importante: A cada entidad de servicio que configure para el uso de Horizon Cloud se le debe asignar una función adecuada en la suscripción asociada a la entidad de servicio. La función de una entidad de servicio debe permitir las acciones que Horizon Cloud necesite para operar en los recursos administrados de Horizon Cloud en la suscripción de Microsoft Azure asociada a la entidad de servicio. La entidad de servicio de la suscripción del pod requiere una función que permita las acciones necesarias para implementar correctamente el pod, para operar en él y en los recursos que este administra con el objetivo de completar los flujos de trabajo de administrador iniciados mediante la consola administrativa y para mantener el pod a lo largo del tiempo. Cuando se utiliza una suscripción independiente para la configuración de la instancia de Unified Access Gateway externa del pod, la entidad de servicio de esa suscripción necesita una función que permita a las acciones implementar correctamente los recursos necesarios para la configuración de la puerta de enlace, para operar en los recursos administrados por Horizon Cloud de cara a completar los flujos de trabajo de administrador y para mantener los recursos relacionados con la puerta de enlace a lo largo del tiempo.

Como se describe en Operaciones requeridas por Horizon Cloud en las suscripciones de Microsoft Azure, se debe conceder acceso a la entidad de servicio mediante uno de los siguientes métodos:

  • En el nivel de suscripción, asigne la función de Colaborador. La función de colaborador es una de las funciones integradas en Microsoft Azure. La función de colaborador se describe en el tema Roles integrados en los recursos de Azure de la documentación de Microsoft Azure.
  • En el nivel de suscripción, asigne una función personalizada que haya configurado para proporcionar a la entidad de servicio el conjunto mínimo de acciones permitidas que Horizon Cloud necesite para implementar los recursos relacionados con el pod y para flujos de trabajo en curso iniciados por el administrador y operaciones de mantenimiento del pod.
  • Cuando se utiliza una suscripción independiente para la configuración de la instancia de Unified Access Gateway externa y se implementa en un grupo de recursos existente, una combinación válida es conceder acceso a la entidad de servicio para acceder a ese grupo de recursos y a la red virtual asociada utilizando una función que proporciona permisos de ámbito restringido y además conceder acceso a la entidad de servicio para acceder a la suscripción mediante la función de Lector integrada.

Siga estos pasos usando el portal de Microsoft Azure adecuado para su cuenta registrada. Por ejemplo, hay varios endpoints de portal específicos para estas nubes de Microsoft Azure.

  • Microsoft Azure (estándar global)
  • Microsoft Azure China
  • Microsoft Azure, gobierno de EE. UU.
Nota: Cuando realice estos pasos, podrá recopilar algunos de los valores que necesitará para el asistente de implementación, como se describe en Información relacionada con la suscripción para el asistente de implementación de pods de Horizon Cloud, concretamente:
  • ID de aplicación
  • Clave de autenticación
Precaución: A pesar de que puede definir la duración de la caducidad de la clave secreta en un periodo de tiempo específico, si lo hace, debe recordar actualizar la clave antes de que caduque. De lo contrario, el pod de Horizon Cloud asociado dejará de funcionar. Horizon Cloud no puede detectar ni saber qué duración se establece. Para un correcto funcionamiento, asigne la caducidad de la clave en Nunca.

Si, en lugar de establecer la caducidad en Nunca, prefiere actualizar la clave antes de que caduque, debe recordar iniciar sesión en Horizon Cloud antes de la fecha de caducidad e introducir el nuevo valor de la clave en la información de suscripción del pod asociado (esta información se muestra en los detalles del pod). Si desea obtener pasos más específicos, consulte el tema Actualizar la información de suscripción asociada con pods implementados de la Guía de administración.

En los pasos siguientes, el paso 7.a ilustra la entidad de servicio a la que se le concede acceso en el nivel de suscripción.

Requisitos previos

Si desea asignar un rol personalizado a la entidad de servicio en lugar del rol de colaborador integrado, compruebe que el rol personalizado existe en su suscripción. Compruebe que el rol personalizado permita las operaciones de administración requeridas por Horizon Cloud, como se describe en Operaciones requeridas por Horizon Cloud en las suscripciones de Microsoft Azure.

Procedimiento

  1. En la barra de navegación de la izquierda del portal de Microsoft Azure, haga clic en Elemento del menú principal del portal de Microsoft Azure Active Directory (Azure Active Directory), a continuación, haga clic en el elemento de menú Registros de aplicaciones del submenú de Azure AD del portal de Azure (Registros de aplicaciones).
  2. Haga clic en Nuevo registro de aplicaciones.
  3. Escriba un nombre descriptivo y seleccione un tipo de cuenta compatible.
  4. En la sección URI de redirección, seleccione Web, escriba http://localhost:8000 y haga clic en Registrar.
    Opción Descripción
    Nombre Elija el nombre que desee. El nombre sirve para diferenciar la entidad de servicio que utiliza Horizon Cloud de otras entidades de servicio que puedan existir en la misma suscripción.
    URI de redirección Asegúrese de que Web esté seleccionado.

    Escriba http://localhost:8000 como se muestra. Microsoft Azure se marca como un campo obligatorio. Debido a que Horizon Cloud no necesita una URL de inicio de sesión para el servicio principal http://localhost:8000, se utiliza para cumplir con el requisito de Microsoft Azure.

    El registro de la aplicación recién creado se muestra en la pantalla.
  5. Copie el ID de la aplicación y el ID del directorio (arrendatario) y guárdelos en una ubicación desde la que pueda recuperarlos cuando ejecute el asistente de implementación.

    Pantalla de detalles de la entidad de servicio con una flecha que apunta al ID de la aplicación.

  6. Desde la pantalla de detalles de la entidad de servicio, cree una clave secreta de autenticación para dicha entidad.
    1. Haga clic en el elemento de menú Certificados y secretos del portal de Microsoft Azure (Certificados y secretos).
    2. Haga clic en Nuevo secreto de cliente.
    3. Escriba una descripción, seleccione la duración de la caducidad y haga clic en Guardar.
      La descripción de la clave debe tener 16 caracteres como máximo, por ejemplo Hzn-Cloud-Key1.
      Precaución: Puede asignar el valor de la caducidad como Nunca o en un periodo de tiempo específico. Sin embargo, si establece una duración específica, recuerde actualizar la clave antes de que caduque e introducir su nuevo valor en Horizon Cloud mediante la consola, en los detalles del pod donde se muestra su información de suscripción. De lo contrario, el pod asociado dejará de funcionar. Horizon Cloud no puede detectar ni averiguar la duración establecida en el portal de Microsoft Azure.

      Pantalla de claves que muestra una nueva clave que se agrega con una duración que no caduca nunca.

      Importante: Mantenga esta pantalla abierta hasta que copie el valor de la clave secreta y pegue el valor en una ubicación desde la que pueda recuperarlo más tarde. No cierre la pantalla hasta que copie el valor de la clave secreta.

      Clave de autenticación mostrada en la pantalla Secretos de cliente con el valor pixelado.

    4. Copie el valor secreto a una ubicación desde la que pueda recuperarlo cuando ejecute el asistente de implementación.
  7. Asigne un rol a la entidad de servicio en el nivel de suscripción.
    Precaución: Si la función asignada de la entidad de servicio no permite las operaciones que requiere el implementador de pods, de acuerdo con las opciones seleccionadas en el asistente de implementación, el asistente le impedirá que complete los pasos del asistente. En relación con los permisos que debe proporcionar la función asignada, consulte Operaciones requeridas por Horizon Cloud en las suscripciones de Microsoft Azure.
    1. Para acceder a la pantalla de configuración de su suscripción haciendo clic en Todos los servicios de la barra de navegación principal del portal de Microsoft Azure, haga clic en Suscripciones y, a continuación, haga clic en el nombre de la suscripción que utilizará con el pod.
      Nota: En este momento, puede copiar el ID de la suscripción que aparece en la pantalla y que necesitará posteriormente para el asistente de implementación.

      Detalles de la suscripción en el portal de Azure con los ID pixelados y una flecha verde que señala el ID.

    2. Haga clic en el elemento de menú Control de acceso (IAM) (Control de acceso (IAM)) y, a continuación, haga clic en Agregar > Agregar asignación de funciones para abrir la pantalla Agregar asignación de funciones.
    3. En la pantalla Agregar asignación de funciones, para Función, seleccione la función que va a asignar, de acuerdo con las reglas que se describen en Operaciones requeridas por Horizon Cloud en las suscripciones de Microsoft Azure.
    4. Utilice la casilla Seleccionar para buscar la entidad de servicio por el nombre que le haya asignado.
      La siguiente captura de pantalla muestra este paso en el que se selecciona la función de colaborador para la entidad de servicio.
      Captura de la pantalla Agregar permisos del portal de Azure con el rol Propietario seleccionado y en busca de la entidad de servicio.

      Nota: Asegúrese de que la lista desplegable Asignar acceso a esté establecida en Aplicación, grupo o usuario de Azure AD.
    5. Haga clic en su entidad de servicio para establecerla como un miembro seleccionado y, a continuación, haga clic en Guardar.

      Entidad de servicio agregada como miembro seleccionado del rol Propietario en la pantalla Agregar permisos.

  8. Compruebe que la suscripción tenga los proveedores de recursos registrados que requiere el pod.
    1. Desde la pantalla en la que se encuentra desde el paso anterior, acceda a la lista de la suscripción de proveedores de recursos haciendo clic en la opción del menú Proveedores de recursos del menú Configuración de la suscripción (Proveedores de recursos) del menú de la suscripción.
    2. Compruebe que los siguientes proveedores de recursos tengan el estado Icono de estado registrado en el portal de Azure para un proveedor de recursos (Registrado) y si no es así, regístrelos.
      • Microsoft.Compute
      • microsoft.insights
      • Microsoft.Network
      • Microsoft.Storage
      • Microsoft.KeyVault
      • Microsoft.Authorization
      • Microsoft.Resources
      • Microsoft.ResourceHealth
      • Microsoft.DBforPostgreSQL
      • Microsoft.Sql

      Pantalla Proveedores de recursos con una flecha verde que señala un proveedor que no está registrado.

Resultados

En este momento, ha creado y configurado el proveedor de servicios para el pod y tiene los valores relacionados con la suscripción que necesita en el primer paso del asistente de implementación de pods. Los cuatro valores relacionados con la suscripción son los siguientes:

  • ID de suscripción
  • ID de Azure Active Directory
  • ID de aplicación
  • Valor de clave de aplicación

Qué hacer a continuación

Compruebe que haya recopilado toda la información relacionada con la suscripción que introducirá en el Asistente de implementación. Consulte Información relacionada con la suscripción para el asistente de implementación de pods de Horizon Cloud.

Si va a utilizar una suscripción independiente para implementar la configuración de la instancia de Unified Access Gateway externa en un grupo de recursos existente y desea conceder permisos detallados de ámbito restringido en lugar de acceso en el nivel de suscripción, consulte Operaciones requeridas por Horizon Cloud en las suscripciones de Microsoft Azure para obtener más información. Asegúrese de que se concede el acceso adecuado a la entidad de servicio para cumplir con los requisitos del implementador de Horizon Cloud.