Vous utilisez les étapes ci-dessous lorsque votre environnement de locataire Horizon Cloud est configuré pour utiliser l'intermédiation à espace unique et que vous souhaitez utiliser Workspace ONE Access avec celui-ci. En intégrant un espace dans Microsoft Azure à un environnement Workspace ONE Access hébergé dans le cloud, vous pouvez donner à vos utilisateurs finaux la possibilité de s'authentifier sur leurs applications et postes de travail provisionnés par l'espace autorisés à partir d'un catalogue unifié unique dans Workspace ONE Access. Vous devez déployer un connecteur Workspace ONE Access qui ponte votre environnement Workspace ONE Access avec l'espace. Celui-ci vous donne la possibilité de synchroniser les droits des utilisateurs finaux de l'espace avec Workspace ONE Access.

Info-bulle :
  • L'ancien nom de Workspace ONE Access était VMware Identity Manager™. L'ancien nom du connecteur était le connecteur VMware Identity Manager™. Vous pouvez continuer à voir des références à l'ancien nom dans le produit, la documentation et les Articles de la base de connaissances, en particulier si vous utilisez des versions de connecteur plus anciennes.
  • Reportez-vous à la zone Tech de l'espace de travail numérique VMware pour obtenir une excellente description de l'intégration entre Horizon Cloud et Workspace ONE Access.
  • La documentation de Workspace ONE Access utilise le terme « droits » lorsqu'elle décrit la synchronisation du connecteur de l'espace à Workspace ONE Access. Dans Horizon Cloud, une attribution représente la combinaison d'une ressource et d'un droit. Dans Console d'administration d'Horizon Cloud, l'ajout d'un utilisateur à une attribution autorise cet utilisateur à accéder à la ressource provisionnée par l'espace de l'attribution, comme lorsque vous créez une attribution de poste de travail VDI dédié.

Workspace ONE Access est une offre Identity as a Service (IDaaS) qui fournit un provisionnement d'application, un catalogue en libre-service, des contrôles d'accès conditionnels et l'authentification unique (SSO) pour les applications SaaS, Web, cloud et mobiles natives. Workspace ONE Access gère l'authentification des utilisateurs pour accéder aux éléments que vous leur avez configurés dans le catalogue Workspace ONE Access. Les clients Horizon Cloud utilisent généralement l'instance de Workspace ONE Access hébergé dans le cloud par VMware.

Pour obtenir une présentation de cette intégration du point de vue de l'environnement Workspace ONE Access, reportez-vous à la présentation Fourniture de l'accès aux postes de travail et applications VMware Horizon Cloud Service. Vous configurez des attributions de postes de travail et d'applications distantes pour vos utilisateurs et groupes dans Console d'administration d'Horizon Cloud comme d'habitude. Une fois que vous avez terminé les étapes d'intégration de votre espace à votre environnement Workspace ONE Access, vous synchronisez les informations d'attribution de l'espace avec Workspace ONE Access. Vous pouvez ensuite afficher les postes de travail et applications dans la console d'administration de Workspace ONE Access, et vos utilisateurs finaux peuvent s'authentifier sur leurs ressources attribuées depuis Workspace ONE Access. Vous pouvez configurer un planning de synchronisation régulière pour synchroniser les informations d'attribution de Horizon Cloud avec votre environnement Workspace ONE Access.

Note : Les captures d'écran dans la documentation de Workspace ONE Access peuvent paraître différentes des éléments de l'interface utilisateur que vous observez dans votre environnement Workspace ONE Access spécifique.

Vue détaillée des composants clés

Lorsque votre environnement de locataire Horizon Cloud est configuré pour utiliser l'intermédiation à espace unique, vous intégrez chaque espace individuel dans Microsoft Azure à Workspace ONE Access pour utiliser les fonctionnalités de Workspace ONE Access avec les ressources de l'utilisateur final provisionnées à partir de chaque espace. L'intégration d'un espace à Workspace ONE Access dans Microsoft Azure implique les concepts clés suivants.

  • Espace déployé dans Microsoft Azure
  • Votre environnement de locataire Workspace ONE Access
  • Certificat SSL valide téléchargé sur les VM du gestionnaire de l'espace. Ce certificat SSL permet à Workspace ONE Access Connector d'approuver la connexion à l'espace lorsque Workspace ONE Access Connector synchronise les droits et les ressources provisionnées par l'espace pour la collecte d'applications virtuelles Horizon Cloud dans Workspace ONE Access.
  • Une instance de Workspace ONE Access Connector est installée et les paramètres sont mis en place pour synchroniser avec Workspace ONE Access les informations sur ces ressources :
    • Utilisateurs et groupes Active Directory
    • Attributions de l'espace (ressources provisionnées par l'espace et droits à ces ressources)
  • Paramètres de configuration dans Console d'administration d'Horizon Cloud pour configurer l'artefact SAML qui permet à Workspace ONE Access d'effectuer la communication SAML avec l'espace.

Présentation du processus d'intégration

La liste suivante est un résumé détaillé des étapes de bout en bout pour permettre à vos utilisateurs finaux de s'authentifier sur leurs postes de travail et applications provisionnés par l'espace à l'aide de Workspace ONE Access. Avant ces étapes, vous devez disposer de l'espace déjà déployé dans Microsoft Azure et disposer de votre environnement Workspace ONE Access. Si vous souhaitez intégrer à un environnement Workspace ONE Access hébergé dans le cloud et que vous ne disposez pas encore de ce locataire, vous pouvez initier la configuration d'un locataire de cloud Workspace ONE Access à l'aide de la page gestion des identités d'Console d'administration d'Horizon Cloud. Pour plus d'informations, reportez-vous à la section Page gestion des identités sur la Console d'administration d'Horizon Cloud.

  1. Dans votre serveur DNS, mappez l'adresse IP de l'équilibrage de charge Azure du gestionnaire d'espace à un nom de domaine complet, tel que mypod1.example.com. Vous pouvez localiser cette adresse IP sur la page de détails de l'espace. Pour obtenir une illustration de la localisation de cette adresse IP sur la page de détails de l'espace, reportez-vous à la section Présentation de la configuration de certificats SSL sur les machines virtuelles du gestionnaire de l'espace Horizon Cloud, principalement pour une utilisation par Workspace ONE Access Connector avec des espaces dans un environnement de Broker à espace unique.
    Note : Avant la version de service trimestrielle de juillet 2020, cette adresse IP disposait de l'étiquette Adresse IP du dispositif du locataire sur la page de détails de l'espace. L'étiquette actuelle est Adresse IP de l'équilibreur de charge de gestion de l'espace. Les espaces des manifestes récents incluent un équilibrage de charge Microsoft Azure déployé pour l'instance de gestionnaire d'espace par défaut, et l'étiquette actuelle reflète cette architecture d'espace. Même si les espaces de manifestes antérieurs à 1600 ne disposent pas d'un équilibrage de charge Microsoft Azure déployé pour leur machine virtuelle de gestionnaire d'espace, l'adresse IP que vous devez utiliser pour cette tâche de couplage est l'adresse IP affichée à côté de cette étiquette sur la page de détails de l'espace.
  2. Procurez-vous un certificat SSL approuvé basé sur ce nom de domaine complet. Pour plus d'informations sur les éléments nécessaires, consultez les rubriques suivantes :
    Note : Les formats de fichier de certificat requis pour le téléchargement d'un certificat SSL dans l'espace sont différents de celui du fichier PEM utilisé par les configurations de la passerelle d'espace.
  3. Téléchargez ce certificat SSL, comme indiqué à la section Configurez les certificats SSL directement sur les VM du gestionnaire d'espace, par exemple lors de l'intégration du dispositif Workspace ONE Access Connector au dispositif Horizon Cloud dans Microsoft Azure, afin que le connecteur puisse approuver les connexions aux VM du gestionnaire d'espace.
    Important : Si l'espace ne dispose pas d'un certificat SSL configuré comme indiqué, à présenter à Workspace ONE Access Connector qui tente de s'y connecter, la tentative du connecteur de se connecter à l'espace pour synchroniser les droits et les ressources échoue, car il n'établit aucune connexion réseau non approuvée. Le connecteur Workspace ONE Access doit approuver le certificat SSL de l'espace afin qu'il se connecte avec l'espace. Tant que vous n'avez pas téléchargé un certificat SSL qui répond aux critères dans l'espace, vous ne pourrez pas intégrer Workspace ONE Access à l'espace.
  4. Procurez-vous un environnement Workspace ONE Access, en déployant la version dans le cloud ou en vous abonnant à la version hébergée dans le cloud pour avoir un locataire Workspace ONE Access dans le cloud.
    Note : Si vous configurez un locataire Workspace ONE Access à l'aide de la page de gestion des identités de la console, le locataire Workspace ONE Access est associé à votre enregistrement Horizon Cloud dans le cadre de ce processus. Les espaces qui existent déjà pour le même enregistrement client Horizon Cloud peuvent ensuite être intégrés à ce locataire en déployant le connecteur Workspace ONE Access. Dans les étapes suivantes, notez les détails liés au connecteur.
  5. Déployez Workspace ONE Access en fonction des recommandations de Workspace ONE Access pour le modèle de déploiement que vous utilisez.

    Si vous utilisez l'environnement Workspace ONE Access hébergé dans le cloud, vous devez installer le dispositif de connecteur Workspace ONE Access dans votre réseau Active Directory. Lisez toutes les conditions préalables liées au connecteur à partir de la section intitulée Éléments requis avant de commencer les étapes d'intégration.

    Important : Vous devez également vérifier que la source de temps d'autorité que vous configurez dans ce connecteur correspond au serveur NTP configuré pour l'espace. Si les sources de temps ne correspondent pas, des problèmes de synchronisation peuvent se produire. La page de détails de l'espace affiche le serveur NTP configuré de l'espace. Vous pouvez ouvrir la page de détails de l'espace, comme indiqué à la section Gestion de vos espaces connectés au cloud, pour tous les types d'espaces Horizon Cloud pris en charge.
  6. Veillez à respecter les conditions préalables de Workspace ONE Access concernant l'intégration, comme décrit dans la documentation du produit Workspace ONE Access s'appliquant à votre situation. Reportez-vous à la section ci-dessous intitulée Éléments requis avant de commencer les étapes d'intégration.
    Important : En plus des conditions préalables répertoriées ci-dessous dans cette rubrique de la documentation, vous devez également vous assurer que votre environnement Workspace ONE Access configuré respecte les conditions préalables pour l'intégration aux ressources Horizon Cloud, comme décrit dans la documentation de Workspace ONE Access.
    Environnement Workspace ONE Access Lien vers les conditions préalables de Workspace ONE Access dans la documentation de Workspace ONE Access
    Hébergé dans le Cloud Conditions préalables pour l'intégration de Workspace ONE Access à Horizon Cloud
  7. Activez les postes de travail de votre environnement Horizon Cloud vers l'environnement Workspace ONE Access, comme indiqué dans les informations sur le produit Workspace ONE Access s'appliquant à votre situation :
    Important : Dans l'écran Workspace ONE Access de saisie des informations sur le locataire Horizon Cloud, dans le champ Hôte de cet écran, vous spécifiez le nom de domaine complet que vous avez mappé dans votre serveur DNS à l'adresse IP de l'équilibrage de charge Azure du gestionnaire d'espace. Ce nom de domaine complet doit être celui sur lequel le certificat SSL que vous avez téléchargé dans l'espace est basé, comme indiqué aux sections Présentation de la configuration de certificats SSL sur les machines virtuelles du gestionnaire de l'espace Horizon Cloud, principalement pour une utilisation par Workspace ONE Access Connector avec des espaces dans un environnement de Broker à espace unique, Conditions préalables à l'exécution du workflow Télécharger le certificat de l'espace d'Console d'administration d'Horizon Cloud pour configurer des certificats SSL sur les VM du gestionnaire d'espace Horizon Cloud et Configurez les certificats SSL directement sur les VM du gestionnaire d'espace, par exemple lors de l'intégration du dispositif Workspace ONE Access Connector au dispositif Horizon Cloud dans Microsoft Azure, afin que le connecteur puisse approuver les connexions aux VM du gestionnaire d'espace.

    Dans les rubriques Configurer le locataire Horizon Cloud dans Workspace ONE Access, qui sont liées ci-dessous, la dernière étape de ces rubriques procédurales explique comment synchroniser les informations sur les droits à partir de votre environnement Horizon Cloud. Cependant, n'effectuez pas cette étape de synchronisation avant d'avoir terminé l'étape 5 ci-dessous relative à la configuration de l'espace pour l'accès à Workspace ONE Access.

    Environnement Workspace ONE Access Lien vers les informations d'activation de poste de travail dans la documentation de Workspace ONE Access
    Hébergé dans le Cloud Configurer le locataire Horizon Cloud dans VMware Workspace ONE Access.
  8. Entrez les paramètres qui permettent d'utiliser votre environnement Workspace ONE Access configuré comme fournisseur de gestion des identités pour l'espace. Reportez-vous à la section Environnement Horizon Cloud avec intermédiation à espace unique : étapes de configuration d'un espace Horizon Cloud dans Microsoft Azure avec les informations de locataire Workspace ONE Access appropriées.
  9. Dans votre environnement Workspace ONE Access, synchronisez les postes de travail et applications autorisés avec Workspace ONE Access. Dans la console d’administration de Workspace ONE Access, accédez à la page Configuration des applications virtuelles pour la collection que vous avez créée à l’étape 4, et cliquez sur Synchroniser.
  10. Vérifiez l'accès des utilisateurs finaux aux postes de travail et applications en vous connectant à Workspace ONE Access en tant qu'utilisateur final et en lançant un poste de travail et une application à partir du catalogue. Reportez-vous à la section Environnement Horizon Cloud avec intermédiation à espace unique : confirmer l'accès des utilisateurs finaux aux attributions de poste de travail dans Workspace ONE Access.

Après avoir vérifié le bon fonctionnement de l'intégration, vous pouvez éventuellement contraindre les utilisateurs finaux à authentifier leurs postes de travail et applications et d'y accéder via Workspace ONE Access. Reportez-vous à la section Environnement Horizon Cloud avec intermédiation à espace unique : contraindre les utilisateurs finaux à passer par Workspace ONE Access pour accéder à leurs applications et postes de travail autorisés.

Éléments requis avant de commencer les étapes d'intégration

Pour terminer le processus d’intégration de bout en bout jusqu'à l’étape de vérification d’accès des utilisateurs finaux aux postes de travail fournis sur l'espace ou aux applications distantes RDS à l'aide de Workspace ONE Access, assurez-vous de disposer des éléments suivants.