Pour lancer des applications et des postes de travail à distance depuis VMware Identity Manager ou vous connecter à des applications et des postes de travail à distance via une passerelle ou un équilibreur de charge tiers, vous devez créer un authentificateur SAML dans Horizon Administrator. Un authentificateur SAML contient l'approbation et l'échange de métadonnées entre Horizon 7 et le périphérique auquel se connectent les clients.

Vous associez un authentificateur SAML à une instance du Serveur de connexion. Si votre déploiement inclut plusieurs instances du Serveur de connexion, vous devez associer l'authentificateur SAML à chaque instance.

Vous pouvez autoriser la mise en service d'un authentificateur statique et de plusieurs authentificateurs dynamiques à la fois. Vous pouvez configurer des authentificateurs vIDM (Dynamique) et (Statique) Unified Access Gateway et les maintenir actifs. Vous pouvez établir des connexions via l'un de ces authentificateurs.

Vous pouvez configurer plusieurs authentificateurs SAML sur un Serveur de connexion, et tous les authentificateurs peuvent être actifs simultanément. Toutefois, l'ID d'entité de chacun de ces authentificateurs SAML configurés sur le Serveur de connexion doit être différent.

L'état de l'authentificateur SAML dans le tableau de bord est toujours vert, car il s'agit de métadonnées prédéfinies qui sont statiques par nature. Le basculement entre le rouge et le vert ne s'applique que pour les authentificateurs dynamiques.

Pour plus d'informations sur la configuration d'un authentificateur SAML pour les dispositifs Unified Access Gateway de VMware, consultez le document Déploiement et configuration d'Unified Access Gateway.

Conditions préalables

  • Vérifiez qu'Workspace ONE, VMware Identity Manager ou une passerelle ou un équilibrage de charge tiers est installé et configuré. Consultez la documentation d'installation de ce produit.

  • Vérifiez que le certificat racine de l'autorité de certification de signature pour le certificat du serveur SAML est installé sur l'hôte du serveur de connexion. VMware recommande de ne pas configurer d'authentificateurs SAML pour utiliser des certificats auto-signés. Pour plus d'informations sur l'authentification des certificats, reportez-vous au document Installation d'Horizon 7.
  • Notez le nom de domaine complet ou l'adresse IP du serveur Workspace ONE, du serveur VMware Identity Manager ou de l'équilibrage de charge externe.
  • (Facultatif) Si vous utilisez Workspace ONE ou VMware Identity Manager, notez l'URL de l'interface Web du connecteur.
  • Si vous créez un authentificateur pour Unified Access Gateway ou un dispositif tiers qui exige que vous génériez des métadonnées SAML et que vous créiez un authentificateur statique, exécutez la procédure sur le périphérique pour générer les métadonnées SAML, puis copiez les métadonnées.

Procédure

  1. Dans Horizon Administrator, sélectionnez Configuration > Serveurs.
  2. Dans l'onglet Serveurs de connexion, sélectionnez une instance du serveur à associer à l'authentificateur SAML et cliquez sur Modifier.
  3. Dans l'onglet Authentification, sélectionnez un paramètre dans le menu déroulantDélégation de l'authentification à VMware Horizon (authentificateur SAML 2.0) pour activer ou désactiver l'authentificateur SAML.
    Option Description
    Désactivé L'authentification SAML est désactivée. Vous ne pouvez lancer des applications et des postes de travail distants qu'à partir d'Horizon Client.
    Autorisé L'authentification SAML est activée. Vous pouvez lancer des applications et des postes de travail distants depuis Horizon Client et VMware Identity Manager ou le périphérique tiers.
    Requis L'authentification SAML est activée. Vous pouvez lancer des applications et des postes de travail distants uniquement depuis VMware Identity Manager ou le périphérique tiers. Vous ne pouvez pas lancer manuellement des postes de travail ou des applications à partir d'Horizon Client.
    Vous pouvez configurer chaque instance du Serveur de connexion dans votre déploiement pour disposer de paramètres d'authentification SAML différents, adaptés à vos besoins.
  4. Cliquez sur Gérer des authentificateurs SAML, puis sur Ajouter.
  5. Configurez l'authentificateur SAML dans la boîte de dialogue Ajouter un authentificateur SAML 2.0.
    Option Description
    Type Pour Unified Access Gateway ou un périphérique tiers, sélectionnez Statique. Pour VMware Identity Manager sélectionnez Dynamique. Pour les authentificateurs dynamiques, vous pouvez spécifiez une URL de métadonnées et une URL d'administration. Pour les authentificateurs statiques, vous devez d'abord générer les métadonnées sur Unified Access Gateway ou sur un périphérique tiers, copier les métadonnées, puis les coller dans la zone de texte Métadonnées SAML.
    Étiquette Nom unique qui identifie l'authentificateur SAML.
    Description Brève description de l'authentificateur SAML. Cette valeur est facultative.
    URL de métadonnées (Pour les authentificateurs dynamiques) URL pour récupérer toutes les informations requises pour échanger des informations SAML entre le fournisseur d'identité SAML et l'instance du Serveur de connexion. Dans l'URL https://<NOM DE VOTRE SERVEUR HORIZON>/SAAS/API/1.0/GET/metadata/idp.xml, cliquez sur <NOM DE VOTRE SERVEUR HORIZON> et remplacez-le par le FQDN ou l'adresse IP du serveur VMware Identity Manager ou de l'équilibrage de charge externe (périphérique tiers).
    URL d'administration (Pour les authentificateurs dynamiques) URL pour accéder à la console d'administration du fournisseur d'identité SAML. Pour VMware Identity Manager, cette URL doit pointer vers l’interface Web d’VMware Identity Manager Connector. Cette valeur est facultative.
    Métadonnées SAML (Pour les authentificateurs statiques) Texte des métadonnées que vous avez générées et copiées depuis Unified Access Gateway ou depuis un périphérique tiers.
    Activé pour le Serveur de connexion Cochez cette case pour activer l'authentificateur. Vous pouvez activer plusieurs authentificateurs. Seuls les authentificateurs activés sont affichés dans la liste.
  6. Cliquez sur OK pour enregistrer la configuration de l'authentificateur SAML.
    Si vous avez fourni des informations valides, vous devez accepter le certificat auto-signé (non recommandé) ou utiliser un certificat approuvé pour Horizon 7 et VMware Identity Manager ou le périphérique tiers.

    La boîte de dialogue Gérer des authentificateurs SAML affiche l'authentificateur récemment créé.

  7. Dans la section Intégrité du système du tableau de bord de Horizon Administrator, sélectionnez Autres composants > Authentificateurs SAML 2.0, sélectionnez l'authentificateur SAML que vous avez ajouté, puis vérifiez les détails.
    Si la configuration aboutit, la santé de l'authentificateur est représentée par la couleur verte. La santé de l'authentificateur peut s'afficher en rouge si le certificat n'est pas approuvé, si VMware Identity Manager n'est pas disponible ou si l'URL des métadonnées n'est pas valide. Si le certificat n'est pas approuvé, vous pourrez peut-être cliquer sur Vérifier pour valider et accepter le certificat.

Que faire ensuite

Allongez la période d'expiration des métadonnées du Serveur de connexion pour que les sessions à distance ne se terminent pas après seulement 24 heures. Reportez-vous à la section Modifier la période d’expiration des métadonnées du fournisseur de services sur le Serveur de connexion.