Como parte de la integración de Workspace ONE Access y Horizon, se especifican los FQDN de acceso de cliente para los rangos de redes, de modo que los usuarios se conectan al servidor correcto en función de su rango de redes. Además, es posible filtrar los usuarios si especifica grupos de usuarios para cada rango de redes.

Nota: La opción para asociar grupos de usuarios con rangos de redes solo está disponible en el servicio de Workspace ONE Access Cloud.

Al crear una colección de aplicaciones virtuales de Horizon, el asistente le lleva a la página Rangos de redes para que pueda configurar los FQDN de acceso de cliente para los pods y la federación de pods de la colección. Después de crear la colección, puede editar los FQDN para acceso de cliente en cualquier momento.

Todos los rangos de redes del arrendatario deben tener establecidos los FQDN de acceso de cliente para las federaciones de pods y los pods de Horizon. Si un rango de redes no tiene un FQDN de acceso de cliente definido, los usuarios que accedan a los recursos de Horizon a través de ese rango de redes no podrán iniciar sus escritorios y aplicaciones asignadas. Asegúrese de que cada vez que cree nuevos rangos de redes también edite las colecciones de aplicaciones virtuales para agregar los FQDN de acceso de cliente para las federaciones de pods y los pods de Horizon al nuevo rango de redes.

Los FQDN de acceso de cliente se pueden configurar en Workspace ONE Access de las siguientes maneras:

  • Use solo rangos de redes para dirigir a los usuarios a los FQDN de acceso de cliente adecuados.

    Cree varios rangos de redes y especifique los FQDN de acceso de cliente para cada uno de los rangos de redes. No seleccione ningún grupo de usuarios para los rangos de redes. Se dirigirá a todos los usuarios a los FQDN de acceso de cliente en función de qué rango de red usen para acceder a las aplicaciones y los escritorios de Horizon asignados.

    Por ejemplo, puede crear rangos de redes independientes para el acceso interno y externo y especificar los FQDN de acceso de cliente adecuados para cada rango.

  • Utilice los grupos y los rangos de redes para dirigir a los usuarios a los FQDN de acceso de cliente adecuados.

    Cree varios rangos de redes y especifique los FQDN de acceso de cliente para cada uno de los rangos. Seleccione también grupos de usuarios para los rangos de redes. Para que los usuarios puedan iniciar escritorios y aplicaciones de Horizon desde un FQDN de acceso de cliente, su dirección IP de cliente debe coincidir con el rango de redes y deben pertenecer al menos a uno de los grupos seleccionados para ese rango de redes. Si no se selecciona ningún grupo para un rango de redes, todos los usuarios cuya dirección IP de cliente coincida con el rango de redes podrán iniciar aplicaciones y escritorios desde el FQDN de acceso de cliente de ese rango de redes.

    Por ejemplo, puede crear rangos de redes independientes para los accesos interno y externo y filtrar los usuarios para cada rango en función de si pertenecen a un grupo de empleados permanentes o a un grupo de empleados temporales.

    Nota: Si no desea crear varios rangos de redes, puede configurar grupos de usuarios en el rango de redes TODOS LOS RANGOS predeterminado para cada colección de aplicaciones virtuales. Solo los usuarios que pertenezcan a uno de los grupos seleccionados podrán iniciar escritorios y aplicaciones de Horizon desde el FQDN de acceso de cliente de TODOS LOS RANGOS.

    Por ejemplo, puede crear diferentes colecciones de aplicaciones virtuales para pods de diferentes regiones, crear grupos de usuarios por región y seleccionar los grupos de usuarios adecuados para el rango de redes TODOS LOS RANGOS de cada colección.

Si configura rangos de redes superpuestos, Workspace ONE Access aplicará las siguientes reglas para encontrar la mejor coincidencia para el usuario:

  • Si la dirección IP del cliente del usuario coincide con varios rangos y no se especifica ningún grupo para alguno de los rangos de redes, se utilizará el último rango de redes que se creó para determinar el FQDN de acceso de cliente para el usuario.
  • Si la dirección IP del cliente del usuario coincide con varios rangos de redes y los grupos del usuario solo coinciden con uno de esos rangos de redes, se utilizará el rango de redes que coincida tanto con la dirección IP del cliente como con los grupos del cliente para determinar el FQDN de acceso de cliente para el usuario.
  • Si la dirección IP del cliente coincide con varios rangos de redes y el usuario pertenece a uno o varios grupos de todos esos rangos de redes, se utilizará el rango de redes que coincida con un mayor número de grupos de usuarios para determinar el FQDN de acceso de cliente para el usuario.
  • Si la dirección IP del cliente coincide con varios rangos de redes y el número de grupos de usuarios que coinciden es idéntico en los múltiples rangos de redes, se utilizará el último rango de redes que se creó para determinar el FQDN de acceso de cliente para el usuario.

Requisitos previos

Se requiere una función de superadministrador o una función personalizada que pueda realizar la acción Administrar ajustes en el servicio Administración de accesos e identidades para crear y editar rangos de redes.

Procedimiento

  1. En la consola de Workspace ONE Access, seleccione la pestaña Catálogo > Colecciones de aplicaciones virtuales.
  2. Haga clic en la colección de aplicaciones virtuales de Horizon y, a continuación, seleccione la pestaña Rangos de redes.
    Nota: En las implementaciones locales de Workspace ONE Access, aparece el botón Editar rangos de redes en lugar de la pestaña Rangos de redes.
  3. Haga clic en el rango de redes para editar o crear un nuevo rango de redes, si es necesario.
  4. Si crea un rango de redes nuevo, proporcione un nombre, una descripción opcional y el rango de direcciones IP.
  5. (opcional) En la sección Afiliación a grupos, seleccione los grupos de usuarios que desea asociar a este rango de redes.
    Si selecciona grupos, para iniciar escritorios y aplicaciones de Horizon desde el FQDN de acceso de cliente que esté asociado a este rango de redes, los usuarios deben pertenecer al menos a uno de los grupos y su dirección IP de cliente debe coincidir con el rango de redes.

    Si no selecciona ningún grupo, todos los usuarios cuya dirección IP de cliente coincida con el rango de redes podrán iniciar escritorios y aplicaciones de Horizon desde el FQDN de acceso de cliente asociado a este rango de redes.

    Por ejemplo:

    Esta imagen muestra la ventana emergente Asignar pods a rangos de redes. Se especifica un rango de IP para el rango de redes. También se seleccionan dos grupos, Grupo A y Grupo B, para el rango de redes.
    Nota: La opción Afiliación a grupos está solo disponible en el servicio de Workspace ONE Access Cloud. No está disponible para implementaciones locales.
  6. Desplácese hasta la sección Pod y Federación.
    En la sección Pod se enumeran todos los pods de Horizon de la colección que tienen habilitada la opción Sincronizar las asignaciones locales. La sección Federación de CPA enumera las federaciones de pods en la colección, si existen.

    Editar rango de redes para ver la configuración

  7. Edite la sección Pod para cada pod e introduzca los valores adecuados para este rango de redes.
    Opción Descripción
    FQDN para acceso de cliente El nombre de dominio completo (FQDN) del servidor al cual se dirigen los clientes que acceden a las autorizaciones locales en este pod cuando las solicitudes proceden de este rango de redes. Este valor puede ser un servidor de conexión de Horizon, un servidor de seguridad, un equilibrador de carga o un FQDN de proxy inverso.

    Por ejemplo: equilibrador_carga_interno.ejemplo.com

    El FQDN para acceso de cliente de un pod se utiliza para iniciar recursos autorizados de forma local desde el pod.

    Puerto Puerto del servidor.
    Encapsular artefacto en JWT Consulte Iniciar los recursos de Horizon a través de puertas de enlace de validación.
    Audiencia en JWT Consulte Iniciar los recursos de Horizon a través de puertas de enlace de validación.
  8. Edite la secciónFederación de CPA para cada federación de pods e introduzca los valores adecuados para este rango de redes.
    Opción Descripción
    FQDN para acceso de cliente El nombre de dominio completo (FQDN) del servidor al cual se dirigen los clientes que acceden a las autorizaciones globales en esta federación de pods cuando las solicitudes proceden de este rango de redes. Este valor normalmente es el equilibrador de carga global de la implementación de la federación de pods.

    Por ejemplo: equilibrador_carga_global.ejemplo.com

    El FQDN para acceso de cliente de una federación de pods se utiliza para iniciar recursos con autorización global.

    Puerto Puerto del servidor.
    Encapsular artefacto en JWT Cuando el servicio de Workspace ONE Access está integrado con una puerta de enlace de validación, como F5, esta opción debe habilitarse para autenticar los recursos de Horizon asignados a los usuarios. Consulte Iniciar los recursos de Horizon a través de puertas de enlace de validación.
    Audiencia en JWT Consulte Iniciar los recursos de Horizon a través de puertas de enlace de validación.
  9. Haga clic en Guardar.
  10. Si es necesario, repita estos pasos para editar los demás rangos de redes.
    Importante: Compruebe que cada rango de redes de su entorno tenga un FQDN para acceso de cliente establecido. Si a un rango de redes le falta el FQDN de acceso de cliente, los usuarios que acceden a recursos a través de ese rango de redes no pueden iniciar sus escritorios y aplicaciones de Horizon.