Le diagramme suivant illustre l'architecture de haut niveau et le flux de communication des composants dans un environnement Horizon Cloud configuré avec Universal Broker et intégrés à des services Workspace ONE Access et Intelligent Hub.
- Pendant le workflow d'activation, le locataire Workspace ONE Access est enregistré pour l'intégration avec votre locataire Horizon Cloud.
- Workspace ONE Access Connector synchronise le locataire Workspace ONE Access avec les utilisateurs et les groupes Active Directory.
- L'utilisateur s'authentifie via Workspace ONE Access et demande de charger le catalogue du hub.
- Les services de Workspace ONE Intelligent Hub extraient des informations sur les droits de l'utilisateur à partir de toutes les sources configurées du catalogue. Les sources peuvent inclure Workspace ONE Access, Workspace ONE UEM, Okta et le service Universal Broker.
- Le catalogue du hub présente un catalogue unifié de droits à l'utilisateur. Le catalogue inclut les droits d'attribution de l'utilisateur extraits du service Universal Broker.
- Dans le catalogue, l'utilisateur clique sur une application ou un poste de travail attribué pour démarrer une session de connexion.
- Les services Workspace ONE Intelligent Hub préparent l'URL de démarrage de la ressource attribuée en communiquant avec Workspace ONE Access et en générant un artefact SAML, qui est ajouté à l'URL d'Universal Broker. Les services envoient ensuite l'URL de démarrage au client Workspace ONE Intelligent Hub.
- Le client Workspace ONE Intelligent Hub démarre le poste de travail ou l'application Web Horizon Client.
- Horizon Client transfère la demande d'authentification vers le service Universal Broker.
- Grâce aux communications avec Workspace ONE Access, le service Universal Broker résout l'artefact SAML et valide l'utilisateur approuvé.
- Horizon Client demande l'application ou le poste de travail attribué à partir du service Universal Broker.
- Après avoir déterminé l'espace pouvant fournir la meilleure ressource, le service Universal Broker envoie un message au client Universal Broker, qui s'exécute dans cet espace. Le client Universal Broker transfère le message au plug-in Universal Broker s'exécutant sur le serveur de connexion (pour un espace Horizon) ou au gestionnaire d'espace actif (pour un espace dans Microsoft Azure). Le plug-in Universal Broker ou le gestionnaire d'espace actif identifie la meilleure ressource disponible à allouer à l'utilisateur final.
- Le service Universal Broker renvoie une réponse de connexion à Horizon Client qui inclut le nom de domaine complet unique de l'espace. Le nom de domaine complet unique est généralement le nom de domaine complet de l'équilibrage de charge local de l'espace Horizon ou de l'équilibrage de charge Microsoft Azure.
- Après être passée par l'équilibrage de charge, la demande est envoyée à la passerelle Unified Access Gateway de l'espace. Unified Access Gateway confirme que la demande est approuvée et prépare Blast Secure Gateway, PCoIP Secure Gateway et le serveur de tunnel.
- L'utilisateur reçoit le poste de travail attribué et établit une session de connexion basée sur le protocole secondaire configuré (Blast Extreme, PCoIP ou RDP).