Le système de déploiement de l'espace Horizon Cloud requiert un principal de service pour accéder à la capacité de votre abonnement Microsoft Azure et l'utiliser pour vos espaces Horizon Cloud. Lorsque vous enregistrez une application Microsoft Azure AD, le principal de service est également créé. De plus, vous devez générer une clé d'authentification et attribuer un rôle au principal de service au niveau de l'abonnement. Si vous prévoyez d'utiliser la fonctionnalité pour que la passerelle externe utilise son propre abonnement, distinct de celui de l'espace, vous devez également effectuer des étapes similaires pour un principal de service associé à cet abonnement.

Pour obtenir des informations détaillées à jour ainsi que des captures d'écran relatives à la création d'un principal de service, reportez-vous à la rubrique décrivant la façon d'utiliser le portail pour créer une application Azure AD et un principal de service pouvant accéder aux ressources dans la documentation de Microsoft Azure.

Important : Un rôle approprié doit être attribué à chaque principal de service que vous configurez pour l'utilisation d' Horizon Cloud dans l'abonnement associé de ce principal de service. Le rôle attribué à un principal de service doit autoriser les actions qu' Horizon Cloud doit utiliser sur les ressources gérées par Horizon Cloud dans l'abonnement Microsoft Azure associé à ce principal de service. Le principal de service de l'abonnement de l'espace exige un rôle permettant aux actions de déployer l'espace afin d'agir sur ce dernier et sur les ressources gérées par l'espace pour exécuter les workflows de l'administrateur lancés à l'aide de la console d'administration et pour conserver l'espace dans le temps. Lors de l'utilisation d'un abonnement distinct pour la configuration externe d' Unified Access Gateway de l'espace, le principal de service de cet abonnement exige un rôle permettant aux actions de déployer les ressources nécessaires à cette configuration de passerelle pour agir sur ces ressources gérées par Horizon Cloud afin de répondre aux workflows de l'administrateur et pour observer ces ressources liées à la passerelle dans le temps.

Comme indiqué à la section Opérations requises par Horizon Cloud dans vos abonnements Microsoft Azure, un accès doit être accordé au principal de service à l'aide de l'une des méthodes suivantes :

  • Au niveau de l'abonnement, attribuez le rôle Contributeur. Le rôle Contributeur est l'un des rôles intégrés de Microsoft Azure. Le rôle Contributeur est décrit dans la section Rôles intégrés pour les ressources Azure dans la documentation de Microsoft Azure.
  • Au niveau de l'abonnement, attribuez un rôle personnalisé que vous avez configuré pour fournir au principal de service l'ensemble minimal d'actions autorisées requis par Horizon Cloud pour le déploiement des ressources liées à l'espace et pour les workflows lancés par l'administrateur et les opérations de maintenance de l'espace en cours.
  • Lorsque vous utilisez un abonnement distinct pour la configuration externe d'Unified Access Gateway et que vous effectuez un déploiement dans un groupe de ressources existant, une combinaison valide consiste à autoriser l'accès au principal de service pour accéder à ce groupe de ressources et à son réseau virtuel associé à l'aide d'un rôle qui fournit les autorisations de portée limitée, et accorder l'accès au principal de service pour accéder à l'abonnement à l'aide du rôle Lecteur intégré.

Vous devez effectuer cette procédure à l'aide du portail Microsoft Azure applicable à votre compte inscrit. Par exemple, il existe des points de terminaison spécifiques du portail pour ces clouds Microsoft Azure.

  • Microsoft Azure (standard global)
  • Microsoft Azure Chine
  • Microsoft Azure US Government
Note : Lorsque vous effectuez ces étapes, vous pouvez collecter certaines des valeurs dont vous avez besoin pour l'assistant de déploiement, comme décrit dans Informations liées à l'abonnement pour l'assistant de déploiement de l'espace Horizon Cloud, en particulier :
  • ID d'application
  • Clé d'authentification
Attention : Même si vous pouvez définir la durée d'expiration de la clé secrète à un intervalle de temps spécifique, le cas échéant, vous devez vous souvenir d'actualiser la clé avant son expiration sinon l'espace Horizon Cloud associé ne fonctionnera plus. Horizon Cloud ne peut pas détecter ou savoir la durée que vous définissez. Pour un fonctionnement optimal, définissez la durée d'expiration de la clé sur Jamais.

Si vous ne souhaitez pas définir cette durée sur Jamais et si vous préférez actualiser la clé avant son expiration, n'oubliez pas de vous connecter à Horizon Cloud avant la date d'expiration et entrez la nouvelle valeur de clé dans les informations d'abonnement de l'espace associé dans les détails de l'abonnement où les informations d'abonnement sont répertoriées. Pour obtenir les étapes détaillées, reportez-vous à la section Mettre à jour les informations d'abonnement associées aux espaces déployés du Guide d'administration.

Dans les étapes ci-dessous, l'étape 7.a illustre le principal de service dont l'accès lui est accordé au niveau de l'abonnement.

Conditions préalables

Si vous souhaitez attribuer un rôle personnalisé au principal de service au lieu du rôle Contributeur intégré, vérifiez que le rôle personnalisé existe dans votre abonnement. Vérifiez que le rôle personnalisé autorise les opérations de gestion requises par Horizon Cloud, comme indiqué la section Opérations requises par Horizon Cloud dans vos abonnements Microsoft Azure.

Procédure

  1. Dans la barre de navigation gauche du portail Microsoft Azure, cliquez sur Élément de menu de Microsoft Azure Active Directory dans le menu principal du portail Microsoft Azure (Azure Active Directory), puis cliquez sur Élément de menu Enregistrements d'application dans le sous-menu Azure AD du portail Azure (Enregistrements d'application).
  2. Cliquez sur Nouvelle inscription d'application.
  3. Tapez un nom descriptif et sélectionnez un type de compte pris en charge.
  4. Dans la section URI de redirection, sélectionnez Web, tapez http://localhost:8000, puis cliquez sur Inscrire.
    Option Description
    Nom C'est vous qui choisissez le nom. Le nom vous permet de différencier ce principal de service utilisé par Horizon Cloud des autres principaux de service qui peuvent exister dans cet abonnement.
    URI de redirection Assurez-vous que Web est sélectionné.

    Tapez http://localhost:8000 comme indiqué. Microsoft Azure marque ce champ comme obligatoire. Du fait qu'Horizon Cloud ne nécessite pas une URL d’authentification pour le principal de service, http://localhost:8000 est utilisé pour remplir les conditions de Microsoft Azure.

    L'inscription de l'application qui vient d'être créée s'affiche à l'écran.
  5. Copiez l'ID d'application et l'ID de répertoire (locataire), puis enregistrez-les dans un emplacement où vous pourrez les récupérer ultérieurement au moment de l'exécution de l'assistant de déploiement.

    Écran des détails du principal de service avec une flèche pointant vers l'ID d'application.

  6. Sur l'écran des détails du principal de service, créez la clé secrète d'authentification du principal de service.
    1. Cliquez sur Élément de menu Certificats et secrets dans le portail Microsoft Azure (Certificats et secrets).
    2. Cliquez sur Nouvelle client secrète client.
    3. Tapez une description, sélectionnez une durée d'expiration, puis cliquez sur Ajouter.
      La description de la clé doit contenir au maximum 16 caractères, par exemple Hzn-Cloud-Key1.
      Attention : Vous pouvez définir la durée d'expiration sur Jamais ou sur une période spécifique. Cependant, si vous avez défini une durée spécifique, n'oubliez pas d'actualiser la clé avant son expiration et d'entrer la nouvelle clé dans Horizon Cloud, à l'aide de la console et dans les détails de l'espace où les informations d'abonnement de celui-ci sont répertoriées. Autrement, l'espace associé cessera de fonctionner. Horizon Cloud ne peut pas détecter ou connaître la durée que vous avez définie sur le portail Microsoft Azure.

      Écran Clés indiquant la nouvelle clé ajoutée avec la durée N'expire jamais.

      Important : Laissez cet écran ouvert pour copier la valeur secrète et la coller dans un emplacement où vous pourrez la récupérer ultérieurement. Ne fermez pas l'écran tant que vous n'avez pas copié la valeur secrète.

      Clé d'authentification affichée dans l'écran des clés secrètes client avec une valeur pixellisée.

    4. Copiez la valeur secrète dans un emplacement où vous pourrez la récupérer ultérieurement au moment de l'exécution de l'assistant de déploiement.
  7. Attribuez un rôle au principal de service au niveau de l'abonnement.
    Attention : Si le rôle attribué du principal de service n'autorise pas les opérations requises par le système de déploiement de l'espace, l'assistant de déploiement vous empêche d'effectuer les étapes de l'assistant en fonction des options sélectionnées dans l'assistant de déploiement. Pour obtenir les autorisations que le rôle attribué doit fournir, reportez-vous à la section Opérations requises par Horizon Cloud dans vos abonnements Microsoft Azure.
    1. Accédez à l'écran des paramètres de votre abonnement en cliquant successivement sur Tous les services dans la barre de navigation principale du portail Microsoft Azure, sur Abonnements, puis sur le nom de l'abonnement que vous utiliserez avec l'espace.
      Note : À ce stade, sur l'écran, vous pouvez copier l'ID d'abonnement dont vous aurez besoin ultérieurement dans l'assistant de déploiement.

      Détails de l'abonnement dans le portail Azure avec des ID pixellisés et une flèche verte pointant vers l'ID.

    2. Cliquez sur Élément de menu Contrôle d'accès (IAM) (Contrôle d'accès (IAM)), puis sur Ajouter > Ajouter une attribution de rôle pour ouvrir l'écran Ajouter une attribution de rôle.
    3. Dans l'écran Ajouter une attribution de rôle, pour Rôle, sélectionnez le rôle que vous attribuez, en fonction des règles décrites dans Opérations requises par Horizon Cloud dans vos abonnements Microsoft Azure.
    4. Utilisez la case Sélectionner pour rechercher votre principal de service par le nom que vous lui avez donné.
      La capture d'écran suivante illustre cette étape, dans laquelle le rôle Contributeur est sélectionné pour le principal de service.
      Capture d'écran de l'écran Ajouter des autorisations du portail Azure avec le rôle Propriétaire sélectionné et recherche du principal de service.

      Note : Assurez-vous que la liste déroulante Attribuer l’accès à est définie sur Utilisateur, groupe ou application AD Azure.
    5. Cliquez sur votre principal de service pour en faire un membre sélectionné, puis cliquez sur Enregistrer.

      Sur l'écran Ajouter des autorisations, principal de service ajouté comme membre sélectionné du rôle Propriétaire.

  8. Vérifiez que votre abonnement dispose des fournisseurs de ressources enregistrés dont l'espace a besoin.
    1. Sur l'écran Contrôle d'accès (IAM) de l'étape précédente, accédez à la liste de fournisseurs de ressources de l'abonnement en cliquant sur Choix du menu Fournisseurs de ressources dans le menu Paramètres d'abonnement (Fournisseurs de ressources) dans le menu de l'abonnement.
    2. Vérifiez que les fournisseurs de ressources suivants indiquent l'état Icône de l'état Enregistré dans le portail Azure d'un fournisseur de ressources (Enregistré). Si ce n'est pas le cas, enregistrez-les.
      • Microsoft.Compute
      • microsoft.insights
      • Microsoft.Network
      • Microsoft.Storage
      • Microsoft.KeyVault
      • Microsoft.Authorization
      • Microsoft.Resources
      • Microsoft.ResourceHealth
      • Microsoft.DBforPostgreSQL
      • Microsoft.Sql

      Écran Fournisseurs de ressources avec une flèche verte pointant vers un fournisseur désinscrit.

Résultats

À ce stade, vous avez créé et configuré le fournisseur de services pour l'espace, et vous disposez des valeurs associées aux abonnements dont vous avez besoin à la première étape de l’assistant de déploiement de l'espace. Les quatre valeurs associés aux abonnements sont :

  • ID d'abonnement
  • ID Azure Active Directory
  • ID d'application
  • Valeur de clé d’application

Que faire ensuite

Vérifiez que vous avez collecté toutes les informations associées aux abonnements que vous devez entrer dans l’assistant de déploiement. Reportez-vous à la section Informations liées à l'abonnement pour l'assistant de déploiement de l'espace Horizon Cloud.

Si vous prévoyez d'utiliser un abonnement distinct pour déployer la configuration externe d'Unified Access Gateway dans un groupe de ressources existant et si vous souhaitez accorder des autorisations granulaires de portée limitée au lieu d'un accès au niveau de l'abonnement, reportez-vous à la section Opérations requises par Horizon Cloud dans vos abonnements Microsoft Azure pour plus d'informations. Vérifiez que l'accès approprié est accordé au principal de service afin de répondre aux conditions préalables du système de déploiement Horizon Cloud.