Pour les systèmes de production configurés pour le type d'intermédiation à espace unique, l'intégration de Workspace ONE Access à l'espace constitue un cas d'utilisation clé pour la configuration d'un certificat SSL sur les machines virtuelles du gestionnaire de l'espace Horizon Cloud. Workspace ONE Access Connector doit pouvoir approuver les connexions SSL aux VM du gestionnaire d'espace. C'est ainsi que fonctionne l'intégration de ces espaces à Workspace ONE Access. Pour ce cas d'utilisation spécifique de l'intégration à Workspace ONE Access Connector, l'espace nécessite des certificats SSL pour être défini directement sur les VM du gestionnaire d'espace.

Lorsque vos espaces se trouvent dans un environnement d'intermédiation à espace unique, la configuration de Workspace ONE Access Connector pour synchroniser la collecte d'applications virtuelles Horizon Cloud que vous avez configurée dans Workspace ONE Access pour utiliser les applications distantes et les postes de travail provisionnés par l'espace est un élément clé de l'intégration de Workspace ONE Access à un espace Horizon Cloud dans Microsoft Azure. Pour effectuer cette synchronisation, Workspace ONE Access Connector doit communiquer avec les VM du gestionnaire d'espace. Par conséquent, l'espace doit présenter un certificat SSL valide afin que Workspace ONE Access Connector l'approuve. Pour plus d'informations sur cette intégration, reportez-vous à la section Environnement Horizon Cloud avec intermédiation à espace unique : intégration des espaces Horizon Cloud de l'environnement dans Microsoft Azure à Workspace ONE Access.

Relation entre le champ Adresse IP de l'équilibrage de charge de gestion de l'espace de la page Détails de l'espace et les exigences de certificat SSL de Workspace ONE Access Connector

L'adresse IP numérique affichée sur la page des détails de l'espace en regard du libellé Adresse IP de l'équilibreur de charge de gestion de l'espace est une information clé nécessaire à la création d'un certificat SSL approuvé valide que vous pouvez configurer sur les VM du gestionnaire d'espace. La capture d'écran suivante est une illustration de l'emplacement de l'affichage du libellé Adresse IP de l'équilibreur de charge de gestion de l'espace sur la page des détails de l'espace déployé.


Emplacement du libellé Adresse IP de l'équilibrage de charge de gestion de l'espace sur la page des détails de l'espace.

Le certificat SSL approuvé doit être basé sur le nom de domaine complet (FQDN) que vous mappez sur votre serveur DNS à l'adresse IP qui s'affiche dans ce champ. Ce mappage est nécessaire pour que le client d'un utilisateur final configuré pour utiliser ce nom de domaine complet puisse obtenir une connexion approuvée à l'espace.

À présent, à quoi est associé cette adresse IP numérique ? Il s'agit d'une adresse IP privée du sous-réseau de locataire de l'espace. La ressource d'espace à laquelle l'adresse IP est associée varie selon que l'espace dispose de la version de manifeste 1600 ou d'une version ultérieure, ou que sa version de manifeste est antérieure à 1600.

Espaces de la version de manifeste 1600 ou d'une version ultérieure

Pour les espaces de manifeste 1600 ou d'une version ultérieure, l'adresse IP numérique affichée pour le libellé Adresse IP de l'équilibreur de charge de gestion de l'espace est l'adresse IP numérique privée de la ressource d'équilibrage de charge Azure de l'espace. L'architecture des espaces du manifeste 1600 ou d'une version ultérieure comprend un équilibrage de charge Azure d'espace avec une adresse IP privée du sous-réseau de locataire de l'espace. Cet équilibrage de charge Azure d'espace est le point de communication SSL vers les machines virtuelles du gestionnaire d'espace. Comme indiqué, lorsque la fonctionnalité de haute disponibilité est activée pour cet espace, il dispose de deux machines virtuelles du gestionnaire derrière cet équilibrage de charge Azure. Dans ce cas, lorsque vous cliquez sur Télécharger le certificat dans la console d'administration pour charger les fichiers de certificat SSL, Horizon Cloud effectue la configuration sur la machine virtuelle du gestionnaire actif, puis copie la configuration du certificat sur l'autre machine virtuelle du gestionnaire. Lorsque la fonctionnalité de haute disponibilité n'est pas activée pour cet espace, il dispose d'une seule machine virtuelle du gestionnaire derrière cet équilibrage de charge Azure. Lorsque vous cliquez sur Télécharger le certificat dans la console, Horizon Cloud configure le certificat sur cette machine virtuelle du gestionnaire.

La capture d'écran suivante décrit comment l'adresse IP privée de l'équilibrage de charge Azure de l'espace est la même adresse IP que celle qui s'affiche en regard du libellé Adresse IP de l'équilibreur de charge de gestion de l'espace sur la page des détails de l'espace dans la console pour l'exemple précédent.


Capture d'écran illustrant l'équilibrage de charge Azure de l'espace dans l'abonnement et l'adresse IP privée qui lui est attribuée

Espaces des versions de manifeste antérieures à 1600

Pour les espaces de manifestes antérieurs à la version 1600, l'adresse IP numérique affichée pour le libellé Adresse IP de l'équilibreur de charge de gestion de l'espace est l'adresse IP numérique privée du sous-réseau de locataire de l'espace associé à la carte réseau du locataire sur la machine virtuelle du gestionnaire d'espace. L'architecture de l'espace pour les versions antérieures du manifeste dispose d'une seule machine virtuelle du gestionnaire d'espace. L'adresse IP privée de la machine virtuelle du gestionnaire sur le sous-réseau de locataire est le point de communication SSL vers cette VM de gestionnaire. Lorsque vous cliquez sur Télécharger le certificat dans la console, Horizon Cloud configure le certificat sur cette machine virtuelle du gestionnaire.

Procédure de configuration des certificats SSL sur les machines virtuelles du gestionnaire de l'espace

La console d'administration permet de configurer les certificats SSL sur les VM du gestionnaire de l'espace. Pour obtenir les étapes détaillées, reportez-vous à la section Configurez les certificats SSL directement sur les VM du gestionnaire d'espace, par exemple lors de l'intégration du dispositif Workspace ONE Access Connector au dispositif Horizon Cloud dans Microsoft Azure, afin que le connecteur puisse approuver les connexions aux VM du gestionnaire d'espace. Pour obtenir les conditions préalables avant d'exécuter ces étapes, reportez-vous à la section Conditions préalables à l'exécution du workflow Télécharger le certificat de l'espace d'Console d'administration d'Horizon Cloud pour configurer des certificats SSL sur les VM du gestionnaire d'espace Horizon Cloud.

Scénarios atypiques nécessitant la configuration des certificats SSL sur les VM du gestionnaire de l'espace

Bien que ces scénarios puissent être appropriés à des fins de validation technique, ils sont déconseillés pour une utilisation en production. Pour les systèmes de production, vous devez exploiter les fonctionnalités d'Horizon Cloud des configurations de passerelles externe et interne qui prennent en charge les connexions des utilisateurs finaux aux ressources provisionnées par l'espace. Pour les connexions d'utilisateurs finaux internes à votre réseau d'entreprise, par exemple sur un VPN, vous devez disposer d'une configuration interne d'Unified Access Gateway sur l'espace. Pour les connexions des utilisateurs finaux sur Internet, vous devez disposer d'une configuration externe d'Unified Access Gateway sur l'espace. Pour obtenir les étapes de l'ajout de ces configurations à votre espace, reportez-vous à la section Ajouter une configuration de passerelle à un espace Horizon Cloud déployé.

Tableau 1. Scénarios atypiques nécessitant la configuration des certificats SSL sur les VM du gestionnaire d'espace
Scénario Description
Espace déployé avec la configuration de la passerelle externe uniquement et aucune configuration interne d'Unified Access Gateway Bien que vos utilisateurs finaux sur Internet accèdent, dans ce scénario, à leurs ressources provisionnées par l'espace via la configuration de la passerelle externe déployée, il n'existe aucune configuration de la passerelle interne parallèle pour vos utilisateurs internes à votre réseau d'entreprise à utiliser pour accéder aux ressources provisionnées par l'espace. Sans configuration interne d'Unified Access Gateway, ces utilisateurs internes doivent pointer leurs connexions client pour accéder directement à l'espace. Ce type d'accès implique le pointage du client vers l'adresse IP affichée en regard du libellé Adresse IP de l'équilibreur de charge de gestion de l'espace sur la page des détails de l'espace, ou vers un nom de domaine complet que vous mappez à l'adresse IP affichée dans votre DNS.
Espace déployé sans aucune configuration de passerelle (zéro VM Unified Access Gateway)

Dans ce scénario, toutes les connexions des utilisateurs finaux aux ressources provisionnées par l'espace doivent utiliser l'une des instances d'Horizon Clients spécifiques au système d'exploitation pour accéder directement à l'espace. Ce type d'accès implique le pointage du client vers l'adresse IP affichée en regard du libellé Adresse IP de l'équilibreur de charge de gestion de l'espace sur la page des détails de l'espace, ou vers un nom de domaine complet que vous mappez à l'adresse IP affichée dans votre DNS.

Attention : Contrairement à l'utilisation de l'une des instances d' Horizon Clients spécifiques au système d'exploitation, lorsque vous pointez directement un navigateur vers l'espace, cette connexion de navigateur se comporte comme une connexion non approuvée, même lorsque vous avez configuré un certificat SSL sur les VM du gestionnaire de l'espace à l'aide de l'action Télécharger le certificat dans la console. La saisie du nom de domaine complet de l'espace directement dans un navigateur permet le type de connexion HTML Access (Blast). En raison du mode de fonctionnement de celui-ci, le navigateur affiche l'erreur de certificat non approuvé standard lorsqu'il établit la connexion directement à l'espace. Pour éviter cette erreur de certificat non approuvé affichée, des passerelles doivent être configurées sur l'espace pour que ces connexions du navigateur disposent de la configuration de passerelle appropriée : configuration de la passerelle externe pour vos utilisateurs finaux se trouvant en dehors de votre réseau d'entreprise et configuration de la passerelle interne pour ceux à l'intérieur de ce réseau. Pour ne pas afficher votre nom de domaine complet sur Internet, utilisez une configuration de passerelle interne. Cette configuration utilise un équilibrage de charge interne Microsoft vers lequel les utilisateurs finaux internes à votre réseau d'entreprise peuvent pointer leurs connexions. Reportez-vous à la section Ajouter une configuration de passerelle à un espace Horizon Cloud déployé.