Además de integrar pods de Horizon independientes con VMware Identity Manager, se pueden integrar implementaciones de Horizon Cloud Pod Architecture (CPA).
La función Horizon Cloud Pod Architecture vincula varios pods de Horizon para formar un único entorno grande de administración y gestión de aplicaciones y escritorios llamado federación de módulos. Una federación de pods puede abarcar varios sitios y centros de datos.
Se pueden integrar una o varias federaciones de pods en el servicio VMware Identity Manager. Tenga en cuenta que las federaciones de módulos se crean y administran en Horizon, y que las autorizaciones de usuarios y grupos para los grupos de aplicaciones y escritorios de la federación de módulos se establecen en Horizon. Se sincronizan los recursos y autorizaciones con VMware Identity Manager.
Las federaciones de pods tienen autorizaciones globales, que permiten autorizar usuarios a utilizar escritorios y aplicaciones a los que se puede acceder desde cualquier pod de la federación. Una autorización global puede consistir en recursos de varios pods de la federación. Por ejemplo, una autorización de escritorio global puede contener grupos de escritorios de tres pods distintos en tres centros de datos diferentes. Los pods individuales de la federación de pods también pueden tener configuradas autorizaciones locales. Es posible sincronizar autorizaciones tanto locales como globales en VMware Identity Manager.
La integración de una federación de pods con el servicio VMware Identity Manager requiere realizar las siguientes tareas de alto nivel en la consola deVMware Identity Manager:
- Agregar todos los pods que forman la federación y especificar los detalles del servidor de conexión de Horizon de cada uno de ellos.
Aunque VMware Identity Manager puede sincronizar las autorizaciones globales de cualquiera de los pods de la federación, necesita conectarse a cada uno de ellos para sincronizar los metadatos requeridos para la autenticación SAML. También necesita conectarse a los pods para sincronizar autorizaciones locales, si corresponde.
- Agregar los detalles de la federación de pods y especificar la URL de inicio global. La URL de inicio global, que normalmente es la del equilibrador de carga global, se utiliza para iniciar escritorios y aplicaciones con autorizaciones globales.
La URL de inicio global se puede personalizar para rangos de redes específicos para, por ejemplo, acceso interno y externo.
- Sincronizar recursos y autorizaciones de la federación de pods con el servicio VMware Identity Manager.
Nota: Solo se sincronizan las autorizaciones globales que tengan la directiva de ámbito para todas las ubicaciones en una federación de pods. La directiva de ámbito para todas las ubicaciones establece el ámbito de la búsqueda de una aplicación o escritorio en todos los pods de la federación.
- Personalizar la URL de inicio global estableciendo direcciones URL de acceso de cliente para determinados rangos de red. Estas URL se utilizan para iniciar recursos con autorización global desde la federación de pods. De forma predeterminada, la URL de inicio global especificada al agregar la federación es la que se utiliza como URL de inicio global para todos los rangos de red.
- Especificar las URL de acceso de cliente de cada pod de la federación que tenga configuradas autorizaciones globales. Estas URL se utilizan para iniciar escritorios y aplicaciones con autorizaciones globales desde el pod. Una URL de acceso de cliente puede ser una URL de un servidor de conexión de Horizon, de un servidor de seguridad o de un equilibrador de carga. Las URL de acceso de cliente se configuran para rangos de red específicos. De forma predeterminada, la URL de servidor de conexión de Horizon especificada al agregar el pod es la que se utiliza como URL de acceso de cliente para todos los rangos de redes.
Al integrar una federación de pods con el servicio VMware Identity Manager, el servicio hace lo siguiente:
- Sincroniza todas las autorizaciones globales que tengan la directiva de ámbito para todas las ubicaciones desde una federación de pods.
- Sincroniza las autorizaciones locales, si se seleccionan, desde los pods que forman parte de la federación.
- Sincroniza los metadatos de todos los servidores de conexión de Horizon de la federación de módulos.
- Permite a los usuarios finales acceder a sus escritorios y aplicaciones de Horizon desde el portal de Workspace ONE.
Los usuarios finales acceden a sus escritorios y aplicaciones de Horizon desde el portal de Workspace ONE. Se muestran todos los recursos para los que están autorizados, ya sea mediante autorizaciones globales o locales. Las aplicaciones y escritorios se inician en Horizon Client. Cuando un usuario inicia un escritorio o una aplicación con autorización local, se inicia desde el servidor de conexión de Horizon al que se conecta el usuario. Los recursos con autorizaciones globales se inician desde el servidor de conexión de Horizon en el que se encuentra el recurso.
Implementación de Arquitectura Cloud Pod de ejemplo
El diagrama siguiente muestra un ejemplo de implementación de Arquitectura Cloud Pod y de cómo se integra con el servicio VMware Identity Manager.
Este diagrama representa la implementación de una federación de pods de ejemplo. Se crea una federación de pods, llamada Federación 1, en Horizon 6. Tiene tres pods: Pod 1, Pod 2 y Pod 3. Los pods 1 y 2 se configuran con instancias de servidor de seguridad para cada servidor de conexión de Horizon, con un equilibrador de carga externo para el acceso externo y otro interno para el acceso interno. El pod 3 se configura solo para acceso interno con un equilibrador de carga interno. La federación de pods en conjunto dispone de un equilibrador de carga global externo y de otro interno.
Los grupos de aplicaciones y escritorios se implementan en los pods. Se configuran autorizaciones globales para la federación 1 y también autorizaciones locales para cada uno de los pods.
La federación 1 está integrada con el servicio VMware Identity Manager. El servicio VMware Identity Manager sincroniza las autorizaciones globales y locales de Federación 1. Como las autorizaciones globales se replican en cada pod, se sincronizan las autorizaciones globales de Pod 1. También se sincronizan las autorizaciones locales de Pod 1, Pod 2 y Pod 3.
Los usuarios finales pueden ver todos los escritorios y aplicaciones para los que están autorizados, ya sea mediante autorizaciones globales o locales, en el portal de Workspace ONE de VMware Identity Manager. Cuando un usuario inicia un escritorio o una aplicación, si forma parte de una autorización global, la solicitud de inicio pasa al equilibrador de carga global interno o externo, URL EG o URL IG, de acuerdo con el rango de red del usuario. Si el recurso pertenece a una autorización local, la solicitud de inicio va al equilibrador de carga interno o externo del pod en el que se implementó el recurso, según el rango de red del usuario. Por ejemplo, para un recurso en Pod 2, la solicitud va a la URL I2 o a la URL E2.