Vous utilisez les étapes ci-dessous lorsque votre environnement de locataire Horizon Cloud est configuré pour utiliser l'intermédiation à espace unique et que vous souhaitez utiliser Workspace ONE Access avec celui-ci. En intégrant votre déploiement d'Horizon Cloud on Microsoft Azure à l'environnement Workspace ONE Access hébergé dans le cloud, vous pouvez donner à vos utilisateurs finaux la possibilité de s'authentifier sur leurs postes de travail et applications provisionnés par l'espace autorisé à partir d'un catalogue unifié unique dans Workspace ONE Access.

Horizon Cloud prend en charge l'intégration à l'instance de Workspace ONE Access hébergée dans le cloud.

Pour atteindre cette intégration, vous devez déployer une instance de Workspace ONE Access Connector qui relie votre environnement Workspace ONE Access à l'espace. Celui-ci vous donne la possibilité de synchroniser les droits des utilisateurs finaux de l'espace avec Workspace ONE Access.

Note : Les captures d'écran dans la documentation de Workspace ONE Access peuvent paraître différentes des éléments de l'interface utilisateur que vous observez dans votre environnement Workspace ONE Access spécifique.

Informations et terminologie de base

  • Vous configurez des attributions de postes de travail et d'applications distantes pour vos utilisateurs et groupes dans Horizon Universal Console comme d'habitude.
  • Une fois que vous avez terminé les étapes d'intégration de votre espace à votre environnement Workspace ONE Access, vous synchronisez les informations d'attribution de l'espace avec Workspace ONE Access.
  • Vous pouvez ensuite afficher les postes de travail et applications dans la console d'administration de Workspace ONE Access, et vos utilisateurs finaux peuvent s'authentifier sur leurs ressources attribuées depuis Workspace ONE Access.
  • Vous pouvez configurer un planning de synchronisation régulière pour synchroniser les informations d'attribution de Horizon Cloud avec votre environnement Workspace ONE Access.
  • L'ancien nom de Workspace ONE Access était VMware Identity Manager™. L'ancien nom du connecteur était le connecteur VMware Identity Manager™. Vous pouvez continuer à voir des références à l'ancien nom dans le produit, la documentation et les Articles de la base de connaissances, en particulier si vous utilisez des versions de connecteur plus anciennes.
  • La documentation de Workspace ONE Access utilise le terme « droits » lorsqu'elle décrit la synchronisation du connecteur de l'espace à Workspace ONE Access.

    Dans Horizon Cloud, une attribution représente la combinaison d'une ressource et d'un droit.

    Dans Horizon Universal Console, l'ajout d'un utilisateur à une attribution autorise cet utilisateur à accéder à la ressource provisionnée par l'espace de l'attribution, comme lorsque vous créez une attribution de poste de travail VDI dédié.

  • La console Workspace ONE Access a été mise à jour avec un assistant qui utilise le terme Collection d'Horizon Cloud. Vous pouvez constater les deux expressions dans la documentation de Workspace ONE Access et dans la documentation d'Horizon Cloud : collection d'applications virtuelles et collection d'Horizon Cloud.

Vue détaillée des composants clés

Lorsque votre environnement de locataire Horizon Cloud est configuré pour utiliser l'intermédiation d'un espace unique, intégrez chaque espace individuel dans Microsoft Azure à Workspace ONE Access pour utiliser les fonctionnalités de Workspace ONE Access avec les ressources de l'utilisateur final provisionnées à partir de chaque espace.

L'intégration d'un espace à Workspace ONE Access dans Microsoft Azure implique les concepts clés suivants.

  • Espace déployé dans Microsoft Azure
  • Votre environnement de locataire Workspace ONE Access
  • Certificat SSL valide téléchargé sur les VM du gestionnaire de l'espace. Ce certificat SSL permet à Workspace ONE Access Connector d'approuver la connexion à l'espace lorsque Workspace ONE Access Connector synchronise les droits et les ressources provisionnées par l'espace pour la collection d'applications virtuelles Horizon Cloud définie dans Workspace ONE Access.
  • Une instance de Workspace ONE Access Connector est installée et les paramètres sont mis en place pour synchroniser avec Workspace ONE Access les informations sur ces ressources :
    • Utilisateurs et groupes Active Directory
    • Attributions de l'espace (ressources provisionnées par l'espace et droits à ces ressources)
  • Paramètres de configuration dans Horizon Universal Console pour configurer l'artefact SAML qui permet à Workspace ONE Access d'effectuer la communication SAML avec l'espace.

Présentation du processus d'intégration

La liste suivante est un résumé détaillé des étapes de bout en bout pour permettre à vos utilisateurs finaux de s'authentifier sur leurs postes de travail et applications provisionnés par l'espace à l'aide de Workspace ONE Access.

Avant ces étapes, l'espace doit être préalablement déployé dans Microsoft Azure, votre locataire Horizon Cloud doit être configuré pour utiliser l'intermédiation d'un espace unique et vous devez disposer de votre locataire de cloud Workspace ONE Access.

  1. Dans votre serveur DNS, mappez l'adresse IP de l'équilibrage de charge Azure du gestionnaire d'espace à un nom de domaine complet, tel que mypod1.example.com. Vous pouvez localiser cette adresse IP sur la page de détails de l'espace. Reportez-vous à la section Présentation de la configuration des certificats SSL sur les VM du gestionnaire d'espace pour obtenir une illustration de l'emplacement de localisation de cette adresse IP sur la page de détails de l'espace.
    Note : Avant la version de service trimestrielle de juillet 2020, cette adresse IP disposait de l'étiquette Adresse IP du dispositif du locataire sur la page de détails de l'espace. L'étiquette actuelle est Adresse IP de l'équilibreur de charge de gestion de l'espace. Les espaces des manifestes récents incluent un équilibrage de charge Microsoft Azure déployé pour l'instance de gestionnaire d'espace par défaut, et l'étiquette actuelle reflète cette architecture d'espace. Même si les espaces de manifestes antérieurs à 1600 ne disposent pas d'un équilibrage de charge Microsoft Azure déployé pour leur machine virtuelle de gestionnaire d'espace, l'adresse IP que vous devez utiliser pour cette tâche de couplage est l'adresse IP affichée à côté de cette étiquette sur la page de détails de l'espace.
  2. Procurez-vous un certificat SSL approuvé basé sur ce nom de domaine complet. Pour plus d'informations sur les éléments nécessaires, consultez les rubriques suivantes :
    Note : Les formats de fichier de certificat requis pour le téléchargement d'un certificat SSL dans l'espace sont différents de celui du fichier PEM utilisé par les configurations de la passerelle d'espace.
  3. Chargez ce certificat SSL sur les VM du gestionnaire d'espace, comme décrit dans la section Configurer les certificats SSL directement sur les VM du gestionnaire d'espace.
    Important : Si l'espace ne dispose pas d'un certificat SSL configuré comme indiqué, à présenter à Workspace ONE Access Connector qui tente de s'y connecter, la tentative du connecteur de se connecter à l'espace pour synchroniser les droits et les ressources échoue, car il n'établit aucune connexion réseau non approuvée. Le connecteur Workspace ONE Access doit approuver le certificat SSL de l'espace afin qu'il se connecte avec l'espace. Tant que vous n'avez pas téléchargé un certificat SSL qui répond aux critères dans l'espace, vous ne pourrez pas intégrer Workspace ONE Access à l'espace.
  4. Déployez le dispositif Workspace ONE Access Connector dans un réseau capable de communiquer avec l'espace Horizon Cloud et votre environnement Active Directory. L'objectif du connecteur est à la fois de synchroniser des ressources et des droits à partir de l'espace et de synchroniser des utilisateurs et des groupes à partir de votre environnement Active Directory.

    Lisez toutes les conditions préalables liées au connecteur à partir de la section intitulée Éléments requis avant de commencer les étapes d'intégration.

    Important : Vous devez également vérifier que la source de temps d'autorité que vous configurez dans ce connecteur correspond au serveur NTP configuré pour l'espace. Si les sources de temps ne correspondent pas, des problèmes de synchronisation peuvent se produire. La page de détails de l'espace affiche le serveur NTP configuré de l'espace. Vous pouvez ouvrir la page Détails de l'espace sur la page Capacité d' Horizon Universal Console.
  5. Veillez à respecter les conditions préalables de Workspace ONE Access concernant l'intégration, comme décrit dans la documentation du produit Workspace ONE Access s'appliquant à votre situation. Reportez-vous à la section ci-dessous intitulée Éléments requis avant de commencer les étapes d'intégration.

    Reportez-vous à la page Conditions préalables à l'intégration de la documentation d'Workspace ONE Access.

  6. Activez les postes de travail de votre environnement Horizon Cloud vers l'environnement Workspace ONE Access, comme indiqué dans les informations sur le produit Workspace ONE Access.

    Reportez-vous à la page Configurer le locataire Horizon Cloud dans VMware Workspace ONE Access de la documentation d'Workspace ONE Access.

    Gardez à l'esprit ces points importants lorsque vous suivez les étapes de la documentation de Workspace ONE Access
    • Ne synchronisez pas la collection avant d'avoir terminé l'étape 8 ci-dessous relative à la configuration de l'espace pour l'accès à Workspace ONE Access.
    • Dans l'écran Workspace ONE Access de saisie des informations sur le locataire Horizon Cloud, dans le champ Hôte de cet écran, spécifiez le nom de domaine complet que vous avez mappé dans votre serveur DNS à l'adresse IP de l'équilibrage de charge Azure du gestionnaire d'espace, pour atteindre les VM du gestionnaire d'espace.

      Ce nom de domaine complet doit correspondre au certificat SSL que vous avez directement chargé dans l'espace, comme décrit dans la section Configurer les certificats SSL directement sur les VM du gestionnaire d'espace.

  7. Entrez les paramètres qui permettent d'utiliser votre environnement Workspace ONE Access configuré comme fournisseur de gestion des identités pour l'espace. Reportez-vous à la section Étapes de configuration d'un espace Horizon Cloud avec les informations de locataire Workspace ONE Access appropriées.
  8. Dans votre locataire de cloud Workspace ONE Access, synchronisez manuellement la collection afin de pouvoir la vérifier à l'étape suivante. Dans la console d'administration de Workspace ONE Access, localisez la collection et cliquez sur Synchroniser.
  9. Vérifiez l'accès des utilisateurs finaux aux postes de travail et applications en vous connectant à Workspace ONE Access en tant qu'utilisateur final et en lançant un poste de travail et une application à partir du catalogue. Reportez-vous à la section Confirmer l'accès des utilisateurs finaux aux attributions de poste de travail dans Workspace ONE Access.

Après avoir vérifié le bon fonctionnement de l'intégration, vous pouvez éventuellement contraindre les utilisateurs finaux à authentifier leurs postes de travail et applications et d'y accéder via Workspace ONE Access. Reportez-vous à la section Imposer l'accès des utilisateurs finaux à Workspace ONE Access.

Éléments requis avant de commencer les étapes d'intégration

Pour terminer le processus d’intégration de bout en bout jusqu'à l’étape de vérification d’accès des utilisateurs finaux aux postes de travail fournis sur l'espace ou aux applications distantes RDS à l'aide de Workspace ONE Access, assurez-vous de disposer des éléments suivants.

  • Comme décrit dans la section Présentation de la configuration des certificats SSL sur les VM du gestionnaire d'espace et Conditions préalables à la configuration des certificats SSL sur les VM du gestionnaire d'espace, vous avez besoin d'une entrée dans votre serveur DNS qui mappe l'adresse IP de l'équilibrage de charge Azure du gestionnaire d'espace à un nom de domaine complet (FQDN).

    Vous voulez que le nom de domaine complet que vous utiliserez dans le certificat SSL soit résolu en adresse IP qui s'affiche sur la page de détails de l'espace dans Horizon Universal Console en regard de l'étiquette d' adresse IP de l'équilibreur de charge de gestion de l'espace.

    Par exemple, supposons que vous disposiez de l'espace illustré dans la capture d'écran ci-dessous et que vous souhaitiez utiliser un nom de domaine complet de mypod-a.example.com comme celui de cet espace pour les besoins de la connexion de Workspace ONE Access à l'espace.


    Capture d'écran des détails d'un espace nommé MontereyStores avec une flèche verte pointant vers l'adresse IP de l'équilibrage de charge Azure du gestionnaire d'espace.

    Pour cet exemple, dans votre DNS, mappez mypod-a.example.com à cette adresse IP décrite de 192.168.21.4. 
    mypod-a.example.com    192.168.21.4

    À mesure que vous effectuez les étapes de l'écran Workspace ONE Access pour la saisie des informations du locataire Horizon Cloud, vous spécifiez ce nom de domaine complet pour le champ Hôte dans cet écran Workspace ONE Access.

  • Espace entièrement configuré qui dispose d'un certificat SSL approuvé et valide que vous avez chargé dans les gestionnaires d'espace à l'aide de la page de détails de l'espace. Pour plus d'informations sur le chargement du certificat, reportez-vous à la section Présentation de la configuration des certificats SSL sur les VM du gestionnaire d'espace.
  • Attributions de poste de travail VDI configuré, attributions de poste de travail de session ou attributions d’application distante pour l'espace.
  • Accédez au locataire de cloud Workspace ONE Access configuré de votre organisation.

    Lorsque vous utilisez l'instance de Workspace ONE Access hébergé dans le cloud, un dispositif de connecteur Workspace ONE Access est requis pour l'intégration de votre espace à ce locataire. Ce connecteur envoie les informations sur les droits des utilisateurs et des groupes aux applications et aux postes de travail virtuels à votre locataire Workspace ONE Access. Vous devez installer le dispositif de connecteur Workspace ONE Access dans votre réseau Active Directory. Suivez les étapes comme indiqué dans la documentation du cloud Workspace ONE Access, disponible sur cette page de documentation et décrites dans la section Scénario de déploiement pour l'intégration d'Horizon Cloud à Workspace ONE Access. Pour connaître la version du connecteur requise pour cette version, reportez-vous aux matrices d’interopérabilité des produits VMware sur https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

    Vérifiez que la source de temps d'autorité configurée du connecteur correspond au serveur NTP configuré pour l'espace.

    Note : Si vous avez une intégration existante et un dispositif de connecteur VMware Workspace ONE® Access™, il est recommandé de mettre à jour le connecteur au dernier niveau logiciel de l'espace.
  • Vérifiez que votre environnement Workspace ONE Access configuré respecte toutes les conditions préalables à l'intégration aux ressources Horizon Cloud, comme décrit sur la page Conditions préalables à l'intégration de la page de documentation de Workspace ONE Access.

Environnement Horizon Cloud avec intermédiation à espace unique : étapes de configuration d'un espace Horizon Cloud dans Microsoft Azure avec les informations de locataire Workspace ONE Access appropriées

Pour intégrer un espace à Workspace ONE Access dans Microsoft Azure, vous devez le configurer avec les informations relatives à Workspace ONE Access. Utilisez Horizon Universal Console pour configurer ces informations.

Conditions préalables

Vérifiez qu'un certificat SSL basé sur ce nom de domaine complet est chargé sur les VM du gestionnaire d'espace, comme décrit dans la section Configurer les certificats SSL directement sur les VM du gestionnaire d'espace. Ce certificat SSL doit être basé sur le nom de domaine complet que vous avez mappé à l'adresse IP d'équilibrage de charge Azure du gestionnaire d'espace sur votre serveur DNS, comme indiqué à l'étape 3 de la section Horizon Cloud avec un Broker à espace unique - Intégration à Workspace ONE Access.

Vérifiez que votre environnement Workspace ONE Access est configuré pour utiliser ce nom de domaine complet afin de synchroniser les ressources d'utilisateur final provisionnées par espace et les droits d'accès avec Workspace ONE Access.

Vérifiez que vous disposez des informations suivantes :

  • URL de métadonnées du fournisseur d'identité (IdP) SAML de votre locataire Workspace ONE Access.

    Procurez-vous l'URL de métadonnées du fournisseur d'identité SAML de l'environnement à l'aide de Métadonnées SAML de la console d'administration de Workspace ONE Access.

    Reportez-vous à la page de documentation du cloud Workspace ONE Access Configurer l'authentification SAML dans le locataire Horizon Cloud.

    Lorsque vous cliquez sur le lien Métadonnées du fournisseur d'identité sur cette page, la barre d'adresses de votre navigateur affiche l'URL, en général au format https://WS1AccessFQDN/SAAS/API/1.0/GET/metadata/idp.xml, où WS1AccessFQDN est le nom de domaine complet de votre environnement Workspace ONE Access.

  • Le nom de domaine complet que vous demandez à vos utilisateurs finaux d'utiliser pour établir la connexion à Horizon Cloud.

Procédure

  1. Dans Horizon Universal Console, accédez à Paramètres > Gestion des identités et cliquez sur Nouveau.
  2. Configurez les options suivantes.
    Paramètre Description
    URL de métadonnées de VMware Workspace ONE Access Entrez l'URL de métadonnées du fournisseur d'identité (IdP) SAML de votre locataire Workspace ONE Access. Cette URL de métadonnées est en général au format https://WS1AccessFQDN/SAAS/API/1.0/GET/metadata/idp.xml, où WS1AccessFQDN est le nom de domaine complet de votre environnement Workspace ONE Access.
    Jeton SSO d'expiration Tapez la durée, en minutes, après laquelle vous souhaitez que le jeton SSO expire. La valeur par défaut du système préremplie est zéro (0).
    Emplacement Sélectionnez l'un de vos emplacements pour filtrer le menu déroulant Espace sur l’ensemble des espaces associés à cet emplacement.
    Espace Sélectionnez l'espace pour lequel cette configuration s'applique.
    Centre de données Le menu déroulant affiche une valeur numérique liée à la version du manifeste de l'espace d'Horizon Cloud. Conservez la valeur par défaut.
    Nom de domaine complet de l'accès client Tapez le nom de domaine complet que vous demandez à vos utilisateurs finaux d'utiliser pour établir la connexion à Horizon Cloud.
    Redirection de Workspace ONE Lorsque vous permettez également à la configuration de forcer l'accès de l'utilisateur final pour passer par Workspace ONE Access, vous pouvez définir cette option sur OUI pour que les clients des utilisateurs finaux effectuent automatiquement la redirection vers leur environnement Workspace ONE Access. Vous pouvez en savoir plus sur la configuration des options pour forcer l'accès des utilisateurs finaux à Workspace ONE Access dans Imposer l'accès des utilisateurs finaux à Workspace ONE Access.

    Avec la redirection automatique configurée sur OUI, dans les clients de l'utilisateur final, lorsque le client tente de se connecter à Horizon Cloud et que vous avez configuré l'authentification forcée via Workspace ONE Access, il est automatiquement redirigé vers l'environnement Workspace ONE Access intégré à l'espace.

    Lorsque l'option est définie sur NON, la redirection automatique n'est pas activée.

    Lorsque la redirection automatique n'est pas activée et que l'accès forcé est configuré, les clients affichent, à la place, un message d'information à l'utilisateur. Pour plus d'informations, reportez-vous à la section Imposer l'accès des utilisateurs finaux à Workspace ONE Access.

    Note : Vous pouvez activer la redirection de Workspace ONE Access pour seulement l'un des fournisseurs de gestion des identités configurés ici. Si l'option est déjà définie sur OUI pour une autre configuration et que vous essayez de définir l'option sur OUI, un message d'erreur s'affiche.
  3. Cliquez sur Enregistrer.

Résultats

Un état vert indique que la configuration est réussie.

Que faire ensuite

Dans votre locataire de cloud Workspace ONE Access, synchronisez manuellement les applications et les postes de travail autorisés. Dans la console d'administration de Workspace ONE Access, localisez la collection définie pour cet espace Horizon Cloud, puis cliquez sur Synchroniser.

Important :
  • À chaque modification des ressources ou des droits dans Horizon Cloud, une synchronisation est nécessaire pour répercuter les modifications sur Workspace ONE Access.
  • Vous devez également vérifier que la source de temps d'autorité que vous configurez dans ce connecteur correspond au serveur NTP configuré pour l'espace. Si les sources de temps ne correspondent pas, des problèmes de synchronisation peuvent se produire. La page de détails de l'espace affiche le serveur NTP configuré de l'espace. Vous pouvez ouvrir la page Détails de l'espace sur la page Capacité d'Horizon Universal Console.

Environnement Horizon Cloud avec intermédiation à espace unique : confirmer l'accès des utilisateurs finaux aux attributions de poste de travail dans Workspace ONE Access

Une fois que vous avez intégré votre environnementHorizon Cloud à votre environnement Workspace ONE Access, vous pouvez suivre cette procédure pour confirmer que les utilisateurs finaux peuvent accéder à distance à leurs postes de travail virtuels provisionnés par l'espace et à leurs applications distantes.

Conditions préalables

Vérifiez que les éléments suivants sont terminés :

Procédure

  1. Utilisez l'URL de Workspace ONE Access de votre organisation pour vous connecter à Workspace ONE Access.
  2. Lancez les applications distantes et les postes de travail autorisés d'Horizon Cloud depuis le portail.