Configure federaciones de pods y pods de Horizon en la consola de VMware Identity Manager para sincronizar recursos y autorizaciones con el servicio de VMware Identity Manager.

Para configurar los pods y las federaciones de pods, cree una o varias colecciones de aplicaciones virtuales en la página Catálogo > Colecciones de aplicaciones virtuales e introduzca la información de configuración, como los servidores de conexión de Horizon desde los que se sincronizan los recursos y las autorizaciones, detalles de la federación de módulos, la instancia de VMware Identity Manager Connector que se utilizará para la sincronización y los parámetros del administrador, como el cliente de inicio predeterminado.

Después de agregar los pods y las federaciones de pods, configure los FQDN para acceso de cliente para rangos de redes específicos, de modo que los usuarios finales se conecten a los servidores correctos cuando accedan a los recursos.

Puede añadir todas las federaciones de módulos y los pods de Horizon en una colección, o puede crear varias colecciones, según cuáles sean sus necesidades. Por ejemplo, puede decidir crear colecciones independientes para cada federación de módulos o cada pod para facilitar la administración y distribuir la carga de la sincronización entre varios conectores. O puede incluir todos los pods y las federaciones de módulos en una colección para fines de prueba y tener otra colección idéntica para el entorno de producción.

Importante: Si cambia algún ajuste u opción de configuración de SAML en Horizon Server, asegúrese de editar la página Colección de aplicaciones virtuales en la consola de VMware Identity Manager y haga clic en Guardar para actualizar la configuración de Horizon en el servicio de VMware Identity Manager con los valores más recientes.

Requisitos previos

  • Configure Horizon de acuerdo con Requisitos para integrar pods de Horizon y Requisitos para integrar federaciones de módulos de Horizon.
  • Configure VMware Identity Manager según Configurar el entorno de VMware Identity Manager.
  • Asegúrese de disponer de las credenciales de un usuario con función de administrador para todos los pods de Horizon que desee configurar en VMware Identity Manager.
  • Para llevar a cabo este procedimiento en VMware Identity Manager, debe utilizar una función de administrador que incluya la acción Administrar aplicaciones de escritorio en el servicio Catálogo.
  • Al final de este procedimiento, se le redirigirá a la página Rangos de redes para configurar los FQDN para acceso de cliente. Para editar y guardar la página Rangos de redes, necesita una función de superadministrador. Tiene la opción de realizar este paso por separado.

Procedimiento

  1. Inicie sesión en la consola de VMware Identity Manager.
  2. Seleccione la pestaña Catálogo > Colecciones de aplicaciones virtuales.
  3. Haga clic en Nuevo.
  4. Seleccione Horizon como el tipo de origen.
  5. En el asistente Nueva colección de aplicaciones virtuales de Horizon, introduzca la siguiente información en la página Conector.
    Opción Descripción
    Nombre Introduzca un nombre único para la colección de Horizon.
    Conector Seleccione el conector que desee utilizar para sincronizar esta colección. Para seleccionar el conector, seleccione el directorio que tiene asociado. Si ha configurado un clúster de conectores, todas las instancias de conector aparecen en la lista Host, y puede organizarlas en orden de conmutación por error para esta colección.
    Importante: Después de crear la colección, no puede seleccionar un directorio diferente.
  6. Haga clic en Siguiente.
  7. En la página Pod y federación, haga clic en Agregar un pod e introduzca la información del pod.
    Si el pod tiene varias instancias de Horizon Connection Server, introduzca la información para cualquiera de las instancias.
    Opción Descripción
    Servidor de conexión Introduzca el nombre de host completo de cualquiera de las instancias de Servidor de conexión de Horizon dentro del pod. Por ejemplo, connectionserver.horizondomain.com. El nombre de dominio debe coincidir con el nombre de dominio con el que se unió la instancia de Servidor de conexión de Horizon.
    Importante: Si el pod tiene varias instancias de Horizon Connection Server, solo necesita añadir una de ellas. VMware Identity Manager extrae la información de todas las instancias dentro del pod.
    Nombre de usuario Introduzca el nombre del usuario administrador de Horizon Connection Server. El usuario debe tener la función de administrador en Horizon.
    Contraseña Introduzca la contraseña del administrador de Horizon Connection Server.
    Autenticación con tarjeta inteligente Habilite esta opción si los usuarios van a utilizar la autenticación con tarjeta inteligente en lugar de contraseñas para iniciar sesión en Horizon Connection Server.
    True SSO

    Seleccione esta opción si True SSO está habilitado para Horizon Connection Server. Esta opción solo se aplica a las versiones de Horizon compatibles con la función True SSO.

    Cuando esta opción está habilitada, a los usuarios que hayan iniciado sesión en Workspace ONE con un método de autenticación que no sea una contraseña, como SecurID, no se les solicitará una contraseña cuando inicien sus escritorios de Windows.

    Sincronizar las asignaciones locales Habilite esta opción para sincronizar las autorizaciones locales de Horizon Connection Server, además de las asignaciones globales.
  8. Para agregar más pods, haga clic en Agregar pod e introduzca la información de cada pod.
  9. Si la opción Arquitectura Cloud Pod está habilitada en Horizon para cualquiera de los pods que ha agregado, siga estos pasos para agregar la información de la federación de pods.
    1. Establezca el ajuste ¿Habilitó la Arquitectura Cloud Pod para alguno de los pods agregados arriba? en .
    2. Haga clic en Agregar federación.
    3. Introduzca la información de la federación de pods.
      Opción Descripción
      Nombre de federación El nombre de la federación de módulos.
      FQDN para acceso de cliente El nombre de dominio completo (FQDN) del servidor al cual se dirigen los clientes que acceden a las autorizaciones globales en esta federación de pods. Este valor normalmente es el equilibrador de carga global de la implementación de la federación de pods.

      Por ejemplo, federacionA.ejemplo.com.

      Se puede personalizar el FQDN para acceso de cliente para determinados rangos de redes posteriormente, durante el proceso de configuración.

      Pods de Horizon Seleccione todos los pods que pertenezcan a la federación de pods. La columna Pods disponibles muestra todos los pods que se han agregado a la colección. Al seleccionar un pod, se agrega a la columna Pods seleccionados. Puede organizar los pods en la columna Pods seleccionados en orden de conmutación por error.
    4. Para agregar otra federación de módulos, haga clic en Agregar federación e introduzca la información de la federación de pods.
  10. Haga clic en Siguiente.
  11. En la página Configuración, introduzca la siguiente información.
    Opción Descripción
    Frecuencia de sincronización Seleccione la frecuencia con la que desea sincronizar los recursos en la colección.

    Puede configurar una programación de sincronización automática o elegir sincronizar manualmente. Para establecer una programación, seleccione el intervalo, por ejemplo, diariamente o semanalmente, y seleccione la hora del día en que se ejecutará la sincronización. Si selecciona Manual, debe hacer clic en Sincronizar en la página Colecciones de aplicaciones virtuales después de configurar la colección y cada vez que se realice un cambio en los recursos o las autorizaciones de Horizon Cloud.

    Sincronizar las aplicaciones duplicadas Establezca este ajuste en No para impedir que se sincronicen aplicaciones duplicadas de varios servidores.

    Al implementar VMware Identity Manager en varios centros de datos, se configuran los mismos recursos en todos ellos. Al establecer este ajuste en No, se evita la duplicación de los grupos de escritorios y aplicaciones en el catálogo de VMware Identity Manager.

    Directiva de activación Seleccione cómo desea que los recursos de esta colección estén disponibles para los usuarios en la aplicación y el portal de Workspace ONE. Si pretende configurar un flujo de aprobación, seleccione Activado por el usuario; de lo contrario, seleccione Automático.

    Con las opciones Activado por el usuario y Automático, los recursos se agregan a la pestaña Catálogo. Los usuarios pueden usar los recursos desde la pestaña Catálogo o moverlos a la pestaña Marcadores. Sin embargo, para configurar un flujo de aprobación para cualquiera de las aplicaciones, debe seleccionar Activada por el usuario para esa aplicación.

    La directiva de activación se aplica a todas las autorizaciones de usuario para todos los recursos en la colección. Puede modificar la directiva de activación para usuarios individuales o grupos por recurso, desde la página del usuario o grupo en la pestaña Usuarios y grupos.

    Cliente de inicio predeterminado Seleccione el cliente predeterminado para los usuarios finales que acceden a las aplicaciones y los escritorios de Horizon desde la aplicación o el portal de Workspace ONE.

    Ninguno: no se establece ninguna preferencia predeterminada en el nivel de administrador. Si esta opción se establece en Ninguno y el usuario final tampoco establece ninguna preferencia, se utiliza el ajuste Protocolo de visualización predeterminado de Horizon para determinar la forma en que se debe iniciar la aplicación o el escritorio.

    Navegador: las aplicaciones y los escritorios de Horizon se inician en un navegador web de forma predeterminada. Si se establecen preferencias de usuario final, esas preferencias anulan esta configuración.

    Nativo: las aplicaciones y los escritorios de Horizon se inician en Horizon Client de forma predeterminada. Si se establecen preferencias de usuario final, esas preferencias anulan esta configuración.

    Esta opción se aplica a todos los usuarios para todos los recursos de esta colección.

    Se aplica el siguiente orden de prioridad, enumerado de mayor a menor, a la configuración predeterminada de inicio de cliente:

    1. Configuración de preferencias de usuario final que se establece en el portal de Workspace ONE. Esta opción no se encuentra disponible en la aplicación Workspace ONE.
    2. Configuración de cliente de inicio predeterminado del administrador para la colección que se establece en la consola de VMware Identity Manager.
    3. Configuración de protocolo de visualización remoto > Protocolo de visualización predeterminado de Horizon para el grupo de aplicaciones o escritorios que se establece en Horizon Administrator. Por ejemplo, cuando el protocolo de visualización se establece en PCoIP, la aplicación o el escritorio se inician en Horizon Client.
    Importante: Si integra Horizon 7.13 o versiones posteriores con VMware Identity Manager, los usuarios finales siempre verán la opción para iniciar aplicaciones y escritorios en un navegador. Sin embargo, si HTML Access no está instalado en las instancias de Horizon Connection Server, se produce un error al iniciar el navegador. Para Horizon 7.13 y versiones posteriores, debe instalar HTML Access en las instancias de Horizon Connection Server. Consulte la documentación de VMware Horizon HTML Access para obtener más información.
  12. Haga clic en Siguiente.
  13. En la página Resumen, revise las selecciones y, a continuación, haga clic en Guardar y Configurar el rango de redes.
    Aparece la página Rangos de redes.
  14. En la página Rangos de redes, edite cada rango de redes y especifique los FQDN para acceso de cliente para las federaciones de Horizon y los pods de Horizon para que los usuarios finales accedan a las aplicaciones y los escritorios de Horizon conectados al servidor correcto.
    1. Haga clic en el rango de redes para editar o en Crear rango de redes para crear un nuevo rango de redes, si es necesario.
    2. Si crea un rango de redes nuevo, proporcione un nombre, una descripción opcional y el rango de direcciones IP.
    3. Desplácese hasta las secciones Pod y Ver federación de CPA.
      En la sección Pod se enumeran todos los pods de Horizon agregados a la colección y que tienen seleccionada la opción Sincronizar las autorizaciones locales. En la sección Ver federación de CPA se enumeran todas las federaciones de pods agregadas.
      Asignar pods a rangos de redes

    4. Edite la sección Pod para cada pod e introduzca los valores adecuados para este rango de redes.
      Opción Descripción
      FQDN para acceso de cliente Especifique el nombre de dominio completo (FQDN) del servidor al cual se dirigen los clientes que acceden a las autorizaciones locales en este pod cuando las solicitudes proceden de este rango de redes. Puede ser un servidor de conexión de Horizon, un servidor de seguridad, un equilibrador de carga o un FQDN de proxy inverso.

      Por ejemplo: equilibrador_carga_interno.ejemplo.com

      El FQDN para acceso de cliente de un pod se utiliza para iniciar recursos autorizados de forma local desde el pod.

      Puerto Puerto del servidor.
      Encapsular artefacto en JWT Consulte Iniciar los recursos de Horizon a través de puertas de enlace de validación.
      Audiencia en JWT Consulte Iniciar los recursos de Horizon a través de puertas de enlace de validación.
    5. Edite la sección Ver federación de CPA para cada federación de pods e introduzca los valores adecuados para este rango de redes.
      Opción Descripción
      FQDN para acceso de cliente Especifique el nombre de dominio completo (FQDN) del servidor al cual se dirigen los clientes que acceden a las autorizaciones globales en esta federación de pods cuando las solicitudes proceden de este rango de redes. Normalmente es el equilibrador de carga global de la implementación de la federación de pods.

      Por ejemplo: equilibrador_carga_global.ejemplo.com

      El FQDN para acceso de cliente de una federación de pods se utiliza para iniciar recursos con autorización global.

      Puerto Puerto del servidor.
      Encapsular artefacto en JWT Cuando el servicio de VMware Identity Manager está integrado con una puerta de enlace de validación, como F5, esta opción debe habilitarse para autenticar los recursos de Horizon asignados a los usuarios. Consulte Iniciar los recursos de Horizon a través de puertas de enlace de validación.
      Audiencia en JWT Consulte Iniciar los recursos de Horizon a través de puertas de enlace de validación.
    6. Haga clic en Guardar.
    7. Repita estos pasos para editar los demás rangos de redes.
    8. En la página Rangos de redes, haga clic en Finalizar.

Qué hacer a continuación

La colección de Horizon se crea y aparece en la página Catálogo > Colecciones de aplicaciones virtuales. Los recursos de la colección aún no están sincronizados. Puede esperar a la siguiente sincronización programada o sincronizar la colección manualmente desde la página Catálogo > Colecciones de aplicaciones virtuales.