Horizon Cloud de première génération avec Universal Broker : configurer la redirection d'Intelligent Hub pour les connexions d'utilisateur

Lorsque vous activez la redirection d'Intelligent Hub, les utilisateurs qui tentent de se connecter directement au nom de domaine complet Universal Broker ou à un nom de domaine complet au niveau de l'espace sont automatiquement transférés vers le catalogue Workspace ONE Intelligent Hub pour leurs applications et postes de travail attribués. Vous pouvez spécifier différentes stratégies de redirection selon que les utilisateurs se connectent à partir d'un réseau interne ou externe.

Une fois que vous avez intégré votre locataire Horizon Cloud à des services Workspace ONE Access et Intelligent Hub, les attributions de poste de travail et d'application s'affichent dans le catalogue du Hub dans lequel les utilisateurs autorisés peuvent y accéder facilement et en toute sécurité. Cependant, vous devez configurer la redirection d'Intelligent Hub si vous souhaitez empêcher certains utilisateurs d'accéder à ces attributions via un portail autre que le catalogue du Hub.

Lorsque la redirection d'Intelligent Hub n'est pas activée, les utilisateurs peuvent accéder à leurs attributions en se connectant au nom de domaine complet Universal Broker ou directement au nom de domaine complet d'Unified Access Gateway (UAG) d'un espace Horizon Cloud dans Microsoft Azure. Si vous souhaitez appliquer l'accès aux attributions via le catalogue du Hub uniquement, vous devez activer la redirection d'Intelligent Hub.

Lorsque la redirection d'Intelligent Hub est activée, vous avez la possibilité de spécifier différentes stratégies de redirection pour les tentatives de connexion selon qu'elles proviennent d'un réseau interne ou externe. Par exemple, vous pouvez appliquer la redirection vers le catalogue du Hub pour les utilisateurs internes, mais autoriser les utilisateurs externes à se connecter via un nom de domaine complet au niveau du Broker ou de l'espace.

Conditions préalables

Assurez-vous que votre environnement système remplit les conditions requises suivantes.

Universal Broker est activé et configuré pour votre locataire, comme indiqué à la section Configuration du service Universal Broker pour votre locataire du plan de contrôle Horizon ou Planifier et réaliser la transition d'un environnement de broker à espace unique vers un environnement Universal Broker.
Votre locataire Horizon Cloud est intégré à des services VMware Workspace ONE Access et Intelligent Hub, comme indiqué à la section Environnement Horizon Cloud avec Universal Broker : intégrer le locataire à des services Workspace ONE Access et Intelligent Hub. Vérifiez que l'intégration est entièrement terminée.
Tous vos espaces Horizon Cloud dans Microsoft Azure sont en ligne et prêts.
Tous vos espaces Horizon d'une instance de VMware SDDC disposent d'un authentificateur SAML associé à chacune de leurs instances du Serveur de connexion. Cette configuration est nécessaire à la prise en charge de la redirection d'Intelligent Hub pour les espaces Horizon. Reportez-vous à la section Configurer un authentificateur SAML dans Horizon Console (utilisez le menu en haut de l'article pour sélectionner votre version d'Horizon si nécessaire).

Pour configurer des stratégies de redirection distinctes pour des utilisateurs internes et externes, vous devez également effectuer les étapes indiquées à la section Définir des plages réseau internes pour Universal Broker.

Attention : Pour les déploiements d' Horizon 8 de votre locataire, certains de vos utilisateurs finaux peuvent déjà disposer de noms de domaine complets directs pour les instances d' Horizon Connection Servers et d' Unified Access Gateway de ces déploiements d' Horizon 8, en plus du nom de domaine complet de votre Universal Broker. Dans ce cas, ces utilisateurs finaux peuvent tenter de se connecter à l'aide de ces noms de domaine complets.

Pour les espaces Horizon 8, le paramètre Broker > Authentification d'Horizon Universal Console applique uniquement la redirection lors de l'utilisation du nom de domaine complet d'Universal Broker.

Par conséquent, lorsque vous souhaitez appliquer la redirection aux espaces Horizon 8 de votre locataire, quels que soient les noms de domaine complets avec lesquels vos utilisateurs finaux tentent de se connecter, vous devez également définir des paramètres spécifiques dans Horizon Console en suivant les étapes de la page Horizon 8 Configurer des stratégies Workspace ONE Access dans Horizon Console. Comme décrit sur cette page, vous devez, pour atteindre l'objectif, spécifier les paramètres nécessaires pour exiger la délégation de l'authentification à l'authentificateur SAML associé et activer le mode Workspace ONE avec votre nom d'hôte Workspace ONE.

Procédure

Dans Horizon Universal Console, sélectionnez Paramètres > Broker, puis l'onglet Authentification.
La page Authentification affiche la configuration actuelle de la fonctionnalité de redirection d'Intelligent Hub.
Pour modifier la configuration de la redirection d'Intelligent Hub, cliquez sur l'icône de modification de l'option.
Une boîte de dialogue s'affiche avec des contrôles pour modifier la configuration.
Pour activer la redirection d'Intelligent Hub, activez l'option Appliquer la redirection d'Intelligent Hub.
Des paramètres de configuration supplémentaires s'affichent lorsque vous activez cette option.
Pour configurer une autre stratégie de redirection pour les utilisateurs selon qu'ils se connectent à partir d'un réseau interne ou externe, activez l'option Autoriser une autre redirection d'Intelligent Hub pour les utilisateurs internes et externes. Utilisez ensuite les cases à cocher pour spécifier la stratégie de redirection pour chaque catégorie d'utilisateur.
Par exemple, pour appliquer la redirection pour les utilisateurs internes, mais pour désactiver la redirection pour les utilisateurs externes, cochez la case Utilisateurs internes et décochez la case Utilisateurs externes. Ces stratégies de redirection s'appliquent aux tentatives de connexion au niveau de l'espace (via l'adresse de l'instance d'UAG ou du Serveur de connexion de l'espace) et au niveau du Broker (via le nom de domaine complet d' Universal Broker).
Note : Pour configurer ces paramètres, vous devez d'abord définir les plages d'adresses IP correspondant à vos réseaux internes et externes. Si vous n'avez pas encore configuré ces configurations réseau, cliquez sur le lien Ajouter dans le message de rappel qui s'affiche et suivez les instructions de la section Définir des plages réseau internes pour Universal Broker.
Cliquez sur Enregistrer pour appliquer vos modifications.

Résultats

Prévoyez jusqu'à 15 minutes pour appliquer les modifications de configuration dans le service Universal Broker et les espaces Horizon Cloud et pour rendre entièrement opérationnel le nouveau comportement de redirection.

Note : Lorsque la redirection d'Intelligent Hub est activée, les utilisateurs sont transférés vers le catalogue du Hub dans lequel ils peuvent ouvrir une session vers une ressource d'espace Horizon Cloud demandée répartie par Universal Broker. En cas d'échec du service Universal Broker, les utilisateurs perdent leur accès aux ressources de l'espace Horizon Cloud. Pour résoudre ce problème, vous pouvez autoriser temporairement les connexions d'utilisateur à l'instance d'UAG d'un espace individuel en désactivant la redirection d'Intelligent Hub jusqu'à la restauration du service Universal Broker.