Además de integrar pods de Horizon independientes con Workspace ONE Access, se pueden integrar implementaciones de la Arquitectura Cloud Pod (CPA) de Horizon.
La función Arquitectura Cloud Pod de Horizon vincula varios pods de Horizon para formar un único entorno grande de administración y gestión de aplicaciones y escritorios llamado federación de módulos. Una federación de pods puede abarcar varios sitios y centros de datos.
Se pueden integrar una o varias federaciones de pods en el servicio Workspace ONE Access. Tenga en cuenta que las federaciones de módulos se crean y administran en Horizon, y que las autorizaciones de usuarios y grupos para los grupos de aplicaciones y escritorios de la federación de módulos se establecen en Horizon. Se sincronizan los recursos y autorizaciones con Workspace ONE Access.
Las federaciones de pods tienen autorizaciones globales, que permiten autorizar usuarios a utilizar escritorios y aplicaciones a los que se puede acceder desde cualquier pod de la federación. Una autorización global puede consistir en recursos de varios pods de la federación. Por ejemplo, una autorización de escritorio global puede contener grupos de escritorios de tres pods distintos en tres centros de datos diferentes. Los pods individuales de la federación de pods también pueden tener configuradas autorizaciones locales. Es posible sincronizar autorizaciones tanto locales como globales en Workspace ONE Access.
La integración de una federación de pods con el servicio Workspace ONE Access involucra las siguientes tareas de alto nivel en la consola de Workspace ONE Access:
- Agregar todos los pods que forman la federación y especificar los detalles de Horizon Connection Server de cada uno de ellos.
Aunque Workspace ONE Access puede sincronizar las autorizaciones globales de cualquiera de los pods de la federación, necesita conectarse a cada uno de ellos para sincronizar los metadatos requeridos para la autenticación SAML. También necesita conectarse a los pods para sincronizar autorizaciones locales, si corresponde.
- Agregar los detalles de la federación de pods y especificar la URL de inicio global. La URL de inicio global, que normalmente es la del equilibrador de carga global, se utiliza para iniciar escritorios y aplicaciones con autorizaciones globales.
La URL de inicio global se puede personalizar para rangos de redes específicos para, por ejemplo, acceso interno y externo.
- Sincronizar recursos y autorizaciones de la federación de pods con el servicio Workspace ONE Access.
- Personalizar la URL de inicio global estableciendo direcciones URL de acceso de cliente para determinados rangos de red. Estas URL se utilizan para iniciar recursos con autorización global desde la federación de pods. De forma predeterminada, la URL de inicio global especificada al agregar la federación es la que se utiliza como URL de inicio global para todos los rangos de red.
- Especificar las URL de acceso de cliente de cada pod de la federación que tenga configuradas autorizaciones globales. Estas URL se utilizan para iniciar escritorios y aplicaciones con autorizaciones globales desde el pod. Una URL de acceso de cliente puede ser una URL de una instancia de Horizon Connection Server, de un servidor de seguridad o de un equilibrador de carga. Las URL de acceso de cliente se configuran para rangos de red específicos. De forma predeterminada, la URL de Horizon Connection Server especificada al agregar el pod es la que se utiliza como URL de acceso de cliente para todos los rangos de redes.
Al integrar una federación de pods con el servicio Workspace ONE Access, el servicio hace lo siguiente:
- Sincroniza todas las autorizaciones globales de la federación de pods.
- Sincroniza las autorizaciones locales, si se seleccionan, desde los pods que forman parte de la federación.
- Sincroniza los metadatos de todas las instancias de Horizon Connection Server de la federación de módulos.
- Permite a los usuarios finales acceder a sus escritorios y aplicaciones de Horizon desde la aplicación o el portal de Workspace ONE Intelligent Hub.
Los usuarios finales acceden a sus escritorios y aplicaciones de Horizon desde la aplicación o el portal de Intelligent Hub. Se muestran todos los recursos para los que están autorizados, ya sea mediante autorizaciones globales o locales. Las aplicaciones y los escritorios se inician en Horizon Client o en un navegador. Cuando un usuario inicia un escritorio o una aplicación con autorización local, se inicia desde Horizon Connection Server al que se conecta el usuario. Los recursos con autorizaciones globales se inician desde la instancia de Horizon Connection Server donde se encuentra el recurso.
Implementación de la Arquitectura Cloud Pod de ejemplo
El diagrama siguiente muestra un ejemplo de implementación de la Arquitectura Cloud Pod y de cómo se integra con el servicio de Workspace ONE Access.
Este diagrama representa la implementación de una federación de pods de ejemplo. Se crea una federación de pods, llamada Federación 1, en Horizon 6. Tiene tres pods: Pod 1, Pod 2 y Pod 3. Los pods 1 y 2 se configuran con instancias de servidor de seguridad para cada Horizon Connection Server, con un equilibrador de carga externo para el acceso externo y otro interno para el acceso interno. El pod 3 se configura solo para acceso interno con un equilibrador de carga interno. La federación de pods en conjunto dispone de un equilibrador de carga global externo y de otro interno.
Los grupos de aplicaciones y escritorios se implementan en los pods. Se configuran autorizaciones globales para la federación 1 y también autorizaciones locales para cada uno de los pods.
La federación 1 está integrada con el servicio Workspace ONE Access. El servicio Workspace ONE Access sincroniza las autorizaciones globales y locales de Federación 1. Como las autorizaciones globales se replican en cada pod, se sincronizan las autorizaciones globales de Pod 1. También se sincronizan las autorizaciones locales de Pod 1, Pod 2 y Pod 3.
Los usuarios finales pueden ver todos los escritorios y aplicaciones para los que están autorizados, ya sea mediante autorizaciones globales o locales, en la aplicación o el portal de Intelligent Hub. Cuando un usuario inicia un escritorio o una aplicación, si forma parte de una autorización global, la solicitud de inicio pasa al equilibrador de carga global interno o externo, URL EG o URL IG, de acuerdo con el rango de red del usuario. Si el recurso pertenece a una autorización local, la solicitud de inicio va al equilibrador de carga interno o externo del pod en el que se implementó el recurso, según el rango de red del usuario. Por ejemplo, para un recurso en Pod 2, la solicitud va a la URL I2 o a la URL E2.