Pour les systèmes de production configurés pour le type d'intermédiation à espace unique, l'intégration de Workspace ONE Access à l'espace constitue un cas d'utilisation clé pour la configuration d'un certificat SSL sur les machines virtuelles du gestionnaire de l'espace Horizon Cloud. Workspace ONE Access Connector doit pouvoir approuver les connexions SSL aux VM du gestionnaire d'espace. C'est ainsi que fonctionne l'intégration de ces espaces à Workspace ONE Access. Pour ce cas d'utilisation spécifique de l'intégration à Workspace ONE Access Connector, l'espace nécessite des certificats SSL pour être défini directement sur les VM du gestionnaire d'espace.
Lorsque vos espaces se trouvent dans un environnement d'intermédiation à espace unique, la configuration de Workspace ONE Access Connector pour synchroniser la collecte d'applications virtuelles Horizon Cloud que vous avez configurée dans Workspace ONE Access pour utiliser les applications distantes et les postes de travail provisionnés par l'espace est un élément clé de l'intégration de Workspace ONE Access à un espace Horizon Cloud dans Microsoft Azure. Pour effectuer cette synchronisation, Workspace ONE Access Connector doit communiquer avec les VM du gestionnaire d'espace. Par conséquent, l'espace doit présenter un certificat SSL valide afin que Workspace ONE Access Connector l'approuve. Pour plus d'informations sur cette intégration, reportez-vous à la section Environnement Horizon Cloud avec intermédiation à espace unique : intégration des espaces Horizon Cloud de l'environnement dans Microsoft Azure à Workspace ONE Access.
Relation entre le champ Adresse IP de l'équilibrage de charge de gestion de l'espace de la page Détails de l'espace et les exigences de certificat SSL de Workspace ONE Access Connector
L'adresse IP numérique affichée sur la page des détails de l'espace en regard du libellé Adresse IP de l'équilibreur de charge de gestion de l'espace est une information clé nécessaire à la création d'un certificat SSL approuvé valide que vous pouvez configurer sur les VM du gestionnaire d'espace. La capture d'écran suivante est une illustration de l'emplacement de l'affichage du libellé Adresse IP de l'équilibreur de charge de gestion de l'espace sur la page des détails de l'espace déployé.
Le certificat SSL approuvé doit être basé sur le nom de domaine complet (FQDN) que vous mappez sur votre serveur DNS à l'adresse IP qui s'affiche dans ce champ. Ce mappage est nécessaire pour que le client d'un utilisateur final configuré pour utiliser ce nom de domaine complet puisse obtenir une connexion approuvée à l'espace.
À présent, à quoi est associé cette adresse IP numérique ? Il s'agit d'une adresse IP privée du sous-réseau de locataire de l'espace et associée à l'équilibrage de charge Azure pour les VM du gestionnaire d'espace de l'espace.
À propos de l'adresse IP de l'équilibreur de charge de gestion de l'espace
Pour tous les manifestes actuellement pris en charge de l'espace, l'adresse IP numérique affichée pour l'étiquette Adresse IP de l'équilibreur de charge de gestion de l'espace est l'adresse IP numérique privée numérique de la ressource d'équilibrage de charge Azure de l'espace. L'architecture de l'espace comprend un équilibrage de charge Azure d'espace avec une adresse IP privée du sous-réseau de locataire de l'espace. Cet équilibrage de charge Azure de l'espace est le point de communication SSL avec les VM du gestionnaire d'espace qui se trouvent derrière cet équilibrage de charge Azure.
Pour un espace dont la haute disponibilité est activée, lorsque vous cliquez sur Charger le certificat dans la console d'administration pour charger les fichiers de certificat SSL, Horizon Cloud effectue la configuration sur la VM du gestionnaire actif, puis copie la configuration du certificat sur l'autre VM du gestionnaire d'espace.
Pour un espace sur lequel la haute disponibilité n'est pas activée (cas atypique), cet espace dispose d'une seule VM du gestionnaire d'espace derrière cet équilibrage de charge Azure. Dans ce cas, lorsque vous cliquez sur Charger le certificat dans la console, Horizon Cloud configure le certificat sur cette VM du gestionnaire d'espace.
La capture d'écran suivante décrit comment l'adresse IP privée de l'équilibrage de charge Azure de l'espace est la même adresse IP que celle qui s'affiche en regard du libellé Adresse IP de l'équilibreur de charge de gestion de l'espace sur la page des détails de l'espace dans la console pour l'exemple précédent.
Procédure de configuration des certificats SSL sur les machines virtuelles du gestionnaire de l'espace
La console d'administration permet de configurer les certificats SSL sur les VM du gestionnaire de l'espace. Pour obtenir les étapes détaillées, reportez-vous à la section Configurez les certificats SSL directement sur les VM du gestionnaire d'espace, par exemple lors de l'intégration du dispositif Workspace ONE Access Connector au dispositif Horizon Cloud dans Microsoft Azure, afin que le connecteur puisse approuver les connexions aux VM du gestionnaire d'espace. Pour obtenir les conditions préalables avant d'exécuter ces étapes, reportez-vous à la section Conditions préalables à l'exécution du workflow Télécharger le certificat de l'espace d'Horizon Universal Console pour configurer des certificats SSL sur les VM du gestionnaire d'espace Horizon Cloud.
Scénarios atypiques nécessitant la configuration des certificats SSL sur les VM du gestionnaire de l'espace
Bien que ces scénarios puissent être appropriés à des fins de validation technique, ils sont déconseillés pour une utilisation en production. Pour les systèmes de production, vous devez exploiter les fonctionnalités d'Horizon Cloud des configurations de passerelles externe et interne qui prennent en charge les connexions des utilisateurs finaux aux ressources provisionnées par l'espace. Pour les connexions d'utilisateurs finaux internes à votre réseau d'entreprise, par exemple sur un VPN, vous devez disposer d'une configuration interne d'Unified Access Gateway sur l'espace. Pour les connexions des utilisateurs finaux sur Internet, vous devez disposer d'une configuration externe d'Unified Access Gateway sur l'espace. Pour obtenir les étapes de l'ajout de ces configurations à votre espace, reportez-vous à la section Ajouter une configuration de passerelle à un espace Horizon Cloud déployé.
| Scénario | Description |
|---|---|
| Espace déployé avec la configuration de la passerelle externe uniquement et aucune configuration interne d'Unified Access Gateway | Bien que vos utilisateurs finaux sur Internet accèdent, dans ce scénario, à leurs ressources provisionnées par l'espace via la configuration de la passerelle externe déployée, il n'existe aucune configuration de la passerelle interne parallèle pour vos utilisateurs internes à votre réseau d'entreprise à utiliser pour accéder aux ressources provisionnées par l'espace. Sans configuration interne d'Unified Access Gateway, ces utilisateurs internes doivent pointer leurs connexions client pour accéder directement à l'espace. Ce type d'accès implique le pointage du client vers l'adresse IP affichée en regard du libellé Adresse IP de l'équilibreur de charge de gestion de l'espace sur la page des détails de l'espace, ou vers un nom de domaine complet que vous mappez à l'adresse IP affichée dans votre DNS. |
| Espace déployé sans aucune configuration de passerelle (zéro VM Unified Access Gateway) | Dans ce scénario, toutes les connexions des utilisateurs finaux aux ressources provisionnées par l'espace doivent utiliser l'une des instances d'Horizon Clients spécifiques au système d'exploitation pour accéder directement à l'espace. Ce type d'accès implique le pointage du client vers l'adresse IP affichée en regard du libellé Adresse IP de l'équilibreur de charge de gestion de l'espace sur la page des détails de l'espace, ou vers un nom de domaine complet que vous mappez à l'adresse IP affichée dans votre DNS.
Attention : Contrairement à l'utilisation de l'une des instances d'
Horizon Clients spécifiques au système d'exploitation, lorsque vous pointez directement un navigateur vers l'espace, cette connexion de navigateur se comporte comme une connexion non approuvée, même lorsque vous avez configuré un certificat SSL sur les VM du gestionnaire de l'espace à l'aide de l'action
Télécharger le certificat dans la console. La saisie du nom de domaine complet de l'espace directement dans un navigateur permet le type de connexion HTML Access (Blast). En raison du mode de fonctionnement de celui-ci, le navigateur affiche l'erreur de certificat non approuvé standard lorsqu'il établit la connexion directement à l'espace. Pour éviter cette erreur de certificat non approuvé affichée, des passerelles doivent être configurées sur l'espace pour que ces connexions du navigateur disposent de la configuration de passerelle appropriée : configuration de la passerelle externe pour vos utilisateurs finaux se trouvant en dehors de votre réseau d'entreprise et configuration de la passerelle interne pour ceux à l'intérieur de ce réseau. Pour ne pas afficher votre nom de domaine complet sur Internet, utilisez une configuration de passerelle interne. Cette configuration utilise un équilibrage de charge interne Microsoft vers lequel les utilisateurs finaux internes à votre réseau d'entreprise peuvent pointer leurs connexions. Reportez-vous à la section
Ajouter une configuration de passerelle à un espace Horizon Cloud déployé.
|
